本博客已搬迁至:https://n0puple.github.io/ 此处不再更新文章

本文首发于奇安信攻防社区:https://forum.butian.net/share/1923

本文仅用于技术讨论与研究,文中的实现方法切勿应用在任何违法场景。如因涉嫌违法造成的一切不良影响,本文作者概不负责。

0x00 前言

最近总结了一下 Django 框架曾经出现的 SQL 注入漏洞,总共有七个 CVE ,分别都简单分析复现并写了文章,总体来说会觉得比较有意思,在这里分享一下。

0x01 目录

本篇文章分享四个 CVE ,剩余三个 CVE 将在下篇文章展现。

  • CVE-2019-14234
  • CVE-2020-7471
  • CVE-2020-9402
  • CVE-2021-35042

0x02 CVE-2019-14234

漏洞描述

Django 在2019年发布的一个安全更新,修复了在 JSONFieldHStoreField 两个模型字段中存在的SQL注入漏洞。

漏洞影响

  • Django 2.2.x < 2.2.4
  • Django 2.1.

细数Django框架核心历史SQL注入漏洞(上)相关推荐

  1. python网站设计理念_简单介绍下python Django框架的历史,设计理念及优势_Django讲解2...

    简单介绍下python Django框架的历史,设计理念及优势 Django是一个高层次的 Python Web 框架,它是一个鼓励快速开发和干净,实用的框架设计.Django可以更容易地快速构建更好 ...

  2. java 框架注入漏洞修复_Mybatis框架下易产生SQL注入漏洞的场景和修复方法

    一.Mybatis框架下易产生SQL注入漏洞的场景 在基于Mybatis框架的Java白盒代码审计工作中,通常将着手点定位在Mybatis的配置文件中.通过查看这些与数据库交互的配置文件来确定SQL语 ...

  3. thinkphp日志泄漏漏洞_ThinkPHP框架通杀所有版本的一个SQL注入漏洞详细分析及测试方法...

    ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件 根据官方文档对"防止SQL注入" ...

  4. 测试php框架漏洞,ThinkPHP框架通杀所有版本的一个SQL注入漏洞详细分析及测试方法...

    作者: seay 下面是摘自thinkphp官方的一个公告,官方直接贴出这些东西是非常不负责的行为,跟上次apache公开的Struts2的代码执行一样的行为,会造成很多用户被黑.建议类似的厂商不要再 ...

  5. /plus/recommend.php sql注入漏洞,代码审计:ThinkPHP框架通杀所有版本的一个SQL注入漏洞详细分析及测试方法 | Seay 渗透 编程 代码审计 网络安全博客...

    显示不全请点击全屏阅读 下面是摘自thinkphp官方的一个公告,官方直接贴出这些东西是非常不负责的行为,跟上次apache公开的Struts2的代码执行一样的行为,会造成很多用户被黑.建议类似的厂商 ...

  6. Web安全之SQL注入漏洞学习(一)

    Web程序三层架构 三层架构主要是指将业务应用规划为的表示层 UI.数据访问层 DAL 以及业务逻辑层 BLL,其分层的核心任务是"高内聚低耦合"的实现.在软件体系架构设计中,分层 ...

  7. php100漏洞,phpyun人才管理系统V5.0 SQL注入漏洞分析

    *世界上最愚蠢的事莫过于我们无比狂热地做一件事,到最后却不知道为什么要做* cms背景介绍 PHP云人才管理系统(phpyun)是国内主流人才管理CMS系统之一!PHP云专为中文用户设计和开发,采用: ...

  8. Goby 漏洞更新 | 铭飞 CMS list 接口 sqlWhere 参数 sql 注入漏洞

    漏洞名称:铭飞 CMS list 接口 sqlWhere 参数 sql 注入漏洞 English Name:MCMS list Interface sqlWhere Sql Injection Vul ...

  9. SQL 注入漏洞详解

    [渗透测试实用手册]SQL注入漏洞 漏洞名称 SQL注入漏洞 漏洞地址 漏洞等级 高危 漏洞描述 SQL 注入漏洞是指攻击者通过把恶意的 SQL 语句插入到网站的输入参数中,来绕过网站的安全措施,获取 ...

最新文章

  1. python头文件math.h_将常量从.h文件导入到python中
  2. Android开发--FileInputStream/OutStream/Sdcard写入
  3. 【LeetCode从零单排】No.169 Majority Element(hashmap用法)
  4. QT教程3: 日期和时间的对象操作
  5. Exchange安装
  6. JS判断数字字母中文
  7. 今天上班的乐趣是......
  8. Graphviz-Gdot语言学习
  9. 方差、标准差、均方根误差
  10. 新型互联网交换中心促进互联网产业发展,助力信息经济创新
  11. python 3解释器_python004 Python3 解释器
  12. 12306再曝漏洞,一张身份证可买两张相同火车票
  13. 行内元素、块状元素和行内块元素
  14. psd文件用什么打开?如何修改psd文件?psd样式怎么修改文字?
  15. VBA 把电信的电话费用表转换成部门电话费用明细表(图文)
  16. 迅为iTOP-4418开发板烧写 Android 7.1 镜像
  17. #Java学习#习题一
  18. 2023 IEEE Fellow出炉:唐立新、宗成庆、朱军、姬水旺等入选
  19. Unsupervised Domain Adaptive Re-Identification: Theory and Practice阅读总结
  20. 数学建模(1)-matlab之fprintf函数用法

热门文章

  1. swagger无法正确显示属性描述缺失或者错误显示
  2. 当前的安全设置不允许从该位置下载文件 解决方法
  3. python删除文件部分内容_Python实现删除文件中含“指定内容”的行示例
  4. 常见linux运维选择题
  5. 大事!谷歌将关闭物联网开发平台 Android Things
  6. leetcode_885. 螺旋矩阵 III
  7. 【编程实践】Git命令基础教程和代码实例讲解
  8. 【软件相关】公式编辑器Axmath快捷键设置技巧
  9. 华为WeLink钉钉企业微信飞书等,通过竹云IDaaS,访问企业内部应用及SaaS应用
  10. 《阿里聚安全2016年报》