CVE-2021-35042 Django SQL注入
Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。
通过未净化的 QuerySet.order_by() 输入进行 SQL 注入
环境搭建:https://github.com/YouGina/CVE-2021-35042
运行./setup.sh初始设置
打开docker镜像启动数据库: docker exec -it {container_id} /bin/bash 并运行以下命令:
python manage.py makemigrations cve202135042
python manage.py migrate使用以下命令启动实例: docker-compose up
现在打开以下 URL 以加载示例数据:
http://localhost:8000/load_example_data然后转到易受攻击的页面: http://localhost:8000/users/
利用以下参数: http://localhost:8000/users/?order_by=name
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-07-15,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
相关产品与服务
容器镜像服务
容器镜像服务(Tencent Container Registry,TCR)为您提供安全独享、高性能的容器镜像托管分发服务。您可同时在全球多个地域创建独享实例,以实现容器镜像的就近拉取,降低拉取时间,节约带宽成本。TCR 提供细颗粒度的权限管理及访问控制,保障您的数据安全。
腾讯云开发者
