如何分析Django URL跳转漏洞(cve-2018-14574)复现


这篇文章给大家介绍如何分析Django URL跳转漏洞(cve-2018-14574)复现,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。 Django是一个开放源代码的Web应用框架,由Python写成。采用了MTV的框架模式,即模型M,视图V和模版T。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS软件。并于2005年7月在BSD许可证下发布。漏洞产生原因是如果设置了APPEND_SLASH=True并且初始URL没有以斜杠结尾,且在urlpatterns中找不到它,则通过在末尾附加斜杠来形成新的URL。简单来说就对于末尾没有添加 / 的url且在urlpatterns中定义的url都匹配不上,就会添加上 / 后重新请求。漏洞影响版本: Django1.11.15之前的1.11.x版本以及Django2.0.8之前的Django2.0.x版本下面仅作漏洞复现记录与实现免费云主机域名,利用流程如下:1.漏洞环境本环境采用vulhub搭建执行以下命令完成环境搭建cd vulhub/django/CVE-2018-14574/docker-compose up -d启动完毕后信息如下漏洞链接: http://192.168.101.152:8000/访问后如下图2.利用流程直接访问链接 http://192.168.101.152:8000//www.baidu.com访问后就会跳转至百度结束。关于如何分析Django URL跳转漏洞(cve-2018-14574)复现就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

相关推荐: IP地址详解

IP地址一、查看IP地址:ipconfig /all查看本地计算机地址详细信息;IP地址:192.168.25.13子网掩码:255.255.255.0网关:192.168.25.1DNS:61.139.2.69二、什么是IP地址?IP地址是计算机在网络中的一…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 02/03 11:39
下一篇 02/03 11:39