现实告诉我：保持好奇心，享受孤独

Django < 2.0.8 在 CommonMiddleware 中打开重定向可能性 (CVE-2018-14574)

发表于 2021-07-12 | 分类于漏洞复现 |

如果django.middleware.common.CommonMiddleware和APPEND_SLASH设置都已启用，并且项目的 URL 模式接受以斜杠结尾的任何路径，则对该站点的恶意制作的 URL 的请求可能会导致重定向到另一个站点，从而启用网络钓鱼和其他攻击。

漏洞复现

现在访问http://your-ip:8000//www.example.com，您将被重定向到//www.example.com/：

本文作者： joker0xxx3
本文链接： http://joker-vip.github.io/2021/07/12/Django%E3%80%8A2.0.8%20%E5%9C%A8%20CommonMiddleware%20%E4%B8%AD%E6%89%93%E5%BC%80%E9%87%8D%E5%AE%9A%E5%90%91%E5%8F%AF%E8%83%BD%E6%80%A7%20(CVE-2018-14574)/
版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 3.0 许可协议。转载请注明出处！