Django debug page XSS漏洞复现（CVE-2017-12794）

Django debug page XSS漏洞复现（CVE-2017-12794）

复现过程

首先我们来到debug页面

然后我们构造URL，创建新用户，同时拼接XSS语句，访问后得到用户已创建的提示：

http://[靶场地址]/create_user/?username=<script>alert('mvp')</script>

此时，我们再次访问该连接(即创建同一个XSS用户)，弹出报错信息，触发恶意代码：

然后我们点击确定查看报错信息就知道问题就出现在了报错信息这里。