标签：XSS 1.11 Django 漏洞 user debug CVE

漏洞简介

Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django 1.10.8之前的版本和1.11.5之前的1.11.x版本中的Technical 500 Template存在安全漏洞，该漏洞源于程序没有正确的过滤用户提交的输入。远程攻击者可利用该漏洞在浏览器中执行任意脚本代码。

漏洞详细

具体详细过程可以参考：https://vulhub.org/#/environments/django/CVE-2017-12794/

漏洞复现

环境启动后，访问http://your-ip:8000/create_user/?username=<script>alert(1)</script>创建一个用户
创建成功后，再次访问http://your-ip:8000/create_user/?username=<script>alert(1)</script>即可触发XSS
我这里用的是vulhub的环境，根本就开不起来，不知道为什么…

标签：XSS,1.11,Django,漏洞,user,debug,CVE
来源： https://blog.csdn.net/EC_Carrot/article/details/117256562

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。