漏洞描述
Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。Django1.10.8之前的版本和1.11.5之前的1.11.x版本中的Technical500Template存在安全漏洞,该漏洞源于程序没有正确的过滤用户提交的输入。远程攻击者可利用该漏洞在浏览器中执行任意脚本代码。
影响版本:1.11.5之前的版本。
漏洞环境
kali+docker
(root
相关文章
- 01-18Django:表结构发生变化需要执行命令
- 01-18WAF——针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等
- 01-18使用gevent-socketio和WSGIHandler时,Django:捕获/记录异常
- 01-18开发基于Django和Websocket的堡垒机
- 01-18Django-Channels使用和部署
- 01-18Django 中的 channels
- 01-18django channels
- 01-18在Django中template遇到 "context must be a dict rather
- 01-18django-drf框架自带的路由以及最简化的视图
- 01-18升级Python至2.7.8,并安装django