查看: 14523|回复: 3

Django SQL注入检测工具-CVE-2021-35042

[复制链接]
匿名
匿名  发表于 2021-7-6 20:44:47 |阅读模式
本帖最后由 匿名 于 2021-7-6 20:46 编辑

      Django是一个开放源代码的Web应用框架,由Python写成。采用了MTV的框架模式,即模型M,视图V和模版T。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件。

2021年7月5日360安服-江浙鲁实验室检测到Django存在SQL注入漏洞(CVE-2021-35042)。


我们发现漏洞源于对QuerySet.order_by()中用户提供数据的过滤不足,未经过滤的用户输入可在标记为弃用的路径中绕过预期的列引用验证,从而导致SQL命令执行。


我们第一时间推出了Django SQL注入漏洞检测工具,帮助用户自我检测是否存在该漏洞。


注:本检测工具仅限检测CVE-2021-35042漏洞,工具内不包含Exp,但可能会被杀软进行报毒,请放心使用。

【文档校验】
Django SQL注入检测工具-CVE-2021-35042.exe
-MD5:f33e0fb5b0e2407081e242f60407ab2e

Django SQL注入检测工具-CVE-2021-35042_linux
-MD5:ff35451049f2e217517741ee4c11ea0c

Django SQL注入检测工具-CVE-2021-35042_MAC
-MD5:cbb9c8d2ef90a99d92eaae4f09a6bd76

检测工具下载地址:
https://fd7c6e.link.yunpan.360.cn/lk/surl_yBhJB9AngBN#/-0



解压密码:360360


QQ截图20210706204638.jpg

               
回复

使用道具 举报

匿名
匿名  发表于 2021-7-8 13:52:22
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

匿名
匿名  发表于 2021-7-9 15:48:06
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

头像被屏蔽
  • TA的每日心情
    奋斗
    2021-7-31 00:43
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2021-7-30 19:22:36 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-23 10:02 , Processed in 0.022271 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部