| ID: | 16665 |
|---|---|
| 标题: | django url跳转 (CVE-2018-14574) |
| 描述: | django url跳转 (CVE-2018-14574) vulfocus/django-cve_2018_14574:latest Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django默认配置下,如果匹配上的URL路由中最后一位是/,而用户访问的时候没加/,Django默认会跳转到带/的请求中。(由配置项中的django.middleware.common.CommonMiddleware、APPEND_SLASH来决定)。 在path开头为//example.com的情况下,Django没做处理,导致浏览器认为目的地址是绝对路径,最终造成任意URL跳转漏洞。 该漏洞利用条件是目标URLCONF中存在能匹配上//example.com的规则。 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | 无 |
| writeup: | https://blog.csdn.net/weixin_50217210/article/details/134167757 |