当前位置: 首页 > news >正文

Django SQL注入-漏洞分析

news 2024/11/13 11:43:10

1.进入项目界面

图1 项目主界面

2.访问任意不存在的目录路径报错,提示存在demo接口

图2 提示存在接口

3.访问/demo/,提示有一个name参数

图3 发现隐藏参数

4.对接口参数进行fuzz(实战思路),vulfocus已经给出了/demo?field=demo.name

先下载项目arjun

安装pip install arjun

或者下载github项目,使用python安装

python setup.py install

图4 cmd进入工具路径

图5 安装arjun

图6 安装成功

然后我们输入单个url进行扫描

arjun -u http://123.58.224.8:59122/demo/

图7 单url扫描

5.对接口进行SQL注入测试(单引号,双引号等),发现双引号报错,页面直接返回了flag

图8 正常界面

图9 页面返回flag

图10 flag找寻

图11 提交

图12 通过


http://www.mrgr.cn/news/30965.html

相关文章:

  • npm i忽略依赖冲突
  • 源码解析-Spring Eureka
  • 2024 年 8 个最佳 API 设计工具图文介绍
  • PHPCUSTOM用久了占用变大,请关闭日志功能即可
  • Python爬虫开发中的分析与方案制定
  • Go常见框架对比
  • GitLab将会持续支持FluxCD
  • 准备招银社招记录
  • 【Elasticsearch系列十五】强大特性
  • 做完自动化测试,但别让不会汇报毁了你!
  • java--面向对象编程(中级部分)
  • Eclipse如何调整编辑器中的字体大小?
  • 让医院更智慧,让决策更容易
  • 代码随想录训练营第20天|235. 二叉搜索树的最近公共祖先、 701.二叉搜索树中的插入操作、450.删除二叉搜索树中的节点
  • 欧拉筛素数板子
  • 硬盘数据恢复必备:4 款强大硬盘数据恢复软件推荐!
  • [ComfyUI]Flux:更强融图!阿里最新重绘CN模型,生态加速器
  • OpenCV_图像像素读写操作
  • 什么是css?
  • 实现快速排序(Quicksort)
  • 【Git】Git Commit Angular规范详解
  • IMS 中private user id/public user id的格式
  • 基于Springboot+vue实现的Cosplay论坛系统
  • SwiftData 共享数据库在 App 中的改变无法被 Widgets 感知的原因和解决
  • 新160个crackme - 060-snake
  • 条件编译代码记录