[原创]cve-2014-0472漏洞分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]cve-2014-0472漏洞分析

发表于: 2015-9-16 22:13 4783

[原创]cve-2014-0472漏洞分析

Chenlgen

2015-9-16 22:13

4783

本次分析的cve-2014-0472之前Django web框架爆出的可远程执行漏洞，django.core.urlresolvers模块存在一个BUG，问题在于urlresolvers.py中的reverse函数，在将dotted python路径表示的view转化为URL时，没有检查该view是否在当前的URL patterns中存在定义，导致远程攻击者可利用该漏洞导入Python import Path下的模块，并可能导致远程代码执行。本文主要包括以下内容：
1. 漏洞的基本信息
2. 漏洞的成因
3. 漏洞的测试情况，分析其利用的条件与可行性
4. 漏洞补丁的情况

附件中是分析的文档

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

cve-2014-0472分析报告.doc （1.18MB，205次下载）

收藏・6

免费・3

支持

赞赏记录

参与人

雪币

留言

时间

飘零丶

为你点赞~

2024-5-31 05:41

shinratensei

为你点赞~

2024-5-31 05:32

PLEBFE

为你点赞~

2022-7-27 02:42

最新回复 (2)
LOVEZ 雪币： 76 活跃值： (226) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 135 粉丝 0 关注私信	LOVEZ 2 楼前排支持 2015-9-17 09:49 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 3 楼抢占前排…… 2015-9-18 01:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Chenlgen

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
LOVEZ 雪币： 76 活跃值： (226) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 135 粉丝 0 关注私信	LOVEZ 2 楼前排支持 2015-9-17 09:49 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 3 楼抢占前排…… 2015-9-18 01:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]cve-2014-0472漏洞分析

账号登录 验证码登录

账号登录

验证码登录