Django SQL注入-漏洞分析

1.进入项目界面

图1 项目主界面

2.访问任意不存在的目录路径报错,提示存在demo接口

图2 提示存在接口

3.访问/demo/,提示有一个name参数

图3 发现隐藏参数

4.对接口参数进行fuzz(实战思路),vulfocus已经给出了/demo?field=demo.name

先下载项目arjun

安装:pip install arjun

或者下载github项目,使用python安装

python setup.py install

图4 cmd进入工具路径

图5 安装arjun

图6 安装成功

然后我们输入单个url进行扫描

arjun -u http://123.58.224.8:59122/demo/

图7 单url扫描

5.对接口进行SQL注入测试(单引号,双引号等),发现双引号报错,页面直接返回了flag

图8 正常界面

图9 页面返回flag

图10 flag找寻

图11 提交

图12 通过

相关推荐
泯泷13 小时前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷13 小时前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt5 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab9 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31113 天前
VPN 与内网穿透
安全
Mr_愚人派14 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao15 天前
【无标题】
人工智能·安全
Alsn8615 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
网络研究院15 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
treesforest15 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全