您好,欢迎访问代理记账网站
  • 价格透明
  • 信息保密
  • 进度掌控
  • 售后无忧

Django debug page XSS漏洞(CVE-2017-12794)

漏洞简介

Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django 1.10.8之前的版本和1.11.5之前的1.11.x版本中的Technical 500 Template存在安全漏洞,该漏洞源于程序没有正确的过滤用户提交的输入。远程攻击者可利用该漏洞在浏览器中执行任意脚本代码。

漏洞详细

具体详细过程可以参考:https://vulhub.org/#/environments/django/CVE-2017-12794/

漏洞复现

环境启动后,访问http://your-ip:8000/create_user/?username=<script>alert(1)</script>创建一个用户
创建成功后,再次访问http://your-ip:8000/create_user/?username=<script>alert(1)</script>即可触发XSS
我这里用的是vulhub的环境,根本就开不起来,不知道为什么…


分享:

低价透明

统一报价,无隐形消费

金牌服务

一对一专属顾问7*24小时金牌服务

信息保密

个人信息安全有保障

售后无忧

服务出问题客服经理全程跟进