Django

Django

Django是一个开放源代码的由Python写成的Web应用框架。
默认端口:8000

Django debug page XSS漏洞(CVE-2017-12794)

影响版本<1.11.5

在新版本1.11.5中,修复了500页面中可能存在的一个XSS漏洞。在对数据库进行操作时,会引发该漏洞。

输入payload,创建新用户

http://192.168.239.136:8000/create_user/?username=%3Cscript%3Ealert(1)%3C/script%3E

在这里插入图片描述

当再次访问添加同一用户的时候,引发了xss
Django_第1张图片

Django < 2.0.8 Open redirect possibility in CommonMiddleware(CVE-2018-14574)

影响版本1.11.0 <= version < 1.11.15 和 2.0.0 <= version < 2.0.8

这个漏洞的具体成因在 https://xz.aliyun.com/t/3302 中说的很详细
Django_第2张图片
可以看到访问的目标网站是192.168.239.136,但是Location却成了百度,状态码也变成了301,此处发生了url的跳转。

reference:
https://xz.aliyun.com/t/3302

你可能感兴趣的:(Django)