Django debug page XSS漏洞复现(CVE-2017-12794)

Django debug page XSS漏洞复现(CVE-2017-12794)

复现过程

首先我们来到debug页面

image

然后我们构造URL,创建新用户,同时拼接XSS语句,访问后得到用户已创建的提示:

http://[靶场地址]/create_user/?username=<script>alert('mvp')</script>

image

此时,我们再次访问该连接(即创建同一个XSS用户),弹出报错信息,触发恶意代码:

image

然后我们点击确定查看报错信息就知道问题就出现在了报错信息这里。

image

posted @ 2021-09-29 11:25  hacker-裁决者  阅读(184)  评论(0编辑  收藏  举报