【漏洞剖析-django-JSONField注入】从CVE-2019-14234看Django ORM的攻防边界

原创

于 2026-05-16 09:19:41 发布 · 189 阅读

标签

#Django安全 #SQL注入 #漏洞分析 #Web安全

收录于

1. Django ORM的安全边界与JSONField特性

Django作为Python生态中最流行的Web框架之一，其ORM系统一直以安全可靠著称。但2019年曝光的CVE-2019-14234漏洞却让我们看到，即便是最成熟的技术栈也可能存在意想不到的安全盲区。这个漏洞的核心在于Django的JSONField查询接口，攻击者可以通过精心构造的键名绕过安全过滤，最终实现SQL注入。

我在实际审计过程中发现，JSONField的设计初衷是为了方便开发者处理半结构化数据。比如一个用户配置表可能这样定义：

class UserProfile(models.Model):
    settings = models.JSONField(default=dict)  # 存储用户个性化设置

查询时通常使用双下划线语法：

UserProfile.objects.filter(settings__theme='dark')  # 查找使用暗色主题的用户

问题就出在这个看似无害的双下划线语法上。Django ORM会将settings__theme解析为JSON字段中的键路径，但在某些版本中，这个解析过程没有对键名做充分的安全校验。

2. 漏洞原理深度拆解

2.1 ORM查询的转换机制

当Django处理filter(settings__theme='dark')这样的查询时，内部会经历几个关键步骤：

解析字段路径：将settings__theme拆解为settings字段和theme键名
生成SQL表达式：转换为PostgreSQL的json_field->'theme'操作符
参数化查询：将值'dark'作为参数绑定

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

黄芸芳

关注关注

9
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Django SQL注入漏洞的演示与编程学习

ByteCodN的博客

09-12

395

避免直接将用户输入拼接到SQL查询中，而是使用参数化查询或框架提供的安全机制，如Django的ORM。当应用程序将用户输入数据直接拼接到SQL查询中时，如果没有正确地进行输入验证和转义处理，攻击者可以通过构造恶意输入来修改SQL查询的结构，从而执行任意的数据库操作。本文通过在Django框架中创建一个简单的用户认证系统来演示了SQL注入漏洞的原理和危害，并提供了相应的源代码。在修复后的代码中，我们使用了Django的ORM来构建查询，并将用户输入作为参数传递给过滤器。，密码字段中输入任意值。

参与评论您还未登录，请先登录后发表或查看评论

Django框架漏洞深度剖析：从漏洞原理到企业级防御实战指南——为什么你的Django项目总被黑客盯上？

w2361734601的博客

05-16

1255

Django为开发者筑起了一道城墙，但城门的钥匙仍在你手中。每一次raw()的随意使用、每一个|safe的天真信任、每一次对第三方库的盲目安装，都在为黑客铺路。记住：没有“绝对安全”的框架，只有“永不松懈”的开发者。（实战加固代码已开源至Github，搜索“Django安全加固宝典”获取一键脚本，涵盖本文所有防护方案）

CVE-2020-7471原理分析及复现

无知亦乐

01-10

1297

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档文章目录漏洞简介漏洞影响版本一、漏洞原理分析二、相关说明三、复现总结漏洞简介 2020年2月3日，Django 官方发布安全通告公布了一个通过StringAgg（分隔符）实现利用的潜在SQL注入漏洞（CVE-2020-7471）。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg，从而绕过转义符号（\）并注入恶意SQL语句。漏洞影响版本一、漏洞原理分析在 Github

Python 开发框架安全：Django SQL注入漏洞测试.（CVE-2021-35042）

网络安全领域___专研者.

05-08

2218

Django 是一个用 Python 编写的 Web 应用程序框架。它提供了许多工具和库，使得开发 Web 应用程序变得更加容易和高效。Django 遵循了“MTV”（模型-模板-视图）的设计模式，将应用程序的不同组件分离开来，使得开发人员可以更加专注于应用程序的不同方面。

Django SQL注入漏洞复现(CVE-2021-35042)

又菜又爱倒腾的博客

10-29

7597

#Django SQL注入漏洞(CVE-2021-35042)# 一、漏洞简介 Django是一个开放源代码的Web应用框架，由Python写成。采用了MVC的框架模式，即模型M，视图V和控制器C。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的，即是CMS（内容管理系统）软件。 Django 组件存在 SQL 注入漏洞，该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行 SQL 注入攻击，最终造成服务器

Django SQL注入-漏洞分析

徐徐徐的博客

09-20

622

4.对接口参数进行fuzz（实战思路），vulfocus已经给出了/demo?5.对接口进行SQL注入测试（单引号，双引号等），发现双引号报错，页面直接返回了flag。2.访问任意不存在的目录路径报错，提示存在demo接口。或者下载github项目，使用python安装。3.访问/demo/，提示有一个name参数。然后我们输入单个url进行扫描。图4 cmd进入工具路径。图9 页面返回flag。先下载项目arjun。图5 安装arjun。图10 flag找寻。

Django及Flask漏洞合集

小小猪的博客

08-20

3962

Django漏洞 Django任意代码执行 poc: import os os.environ.setdefault('DJANGO_SETTINGS_MODULE','settings') from django.conf import settings from django.core import signing from django.contrib.sessions.backends import signed_cookies class

【漏洞复现】Django _2.0.8_任意URL跳转漏洞(CVE-2018-14574)

过期的秋刀鱼

11-05

1100

Django是一个广泛使用的Python web框架，它有很多方便和强大的功能。但是，像任何其他软件一样，Django也可能存在安全漏洞，这个漏洞在Django的CommonMiddleware中可能导致开放重定向。的情况下，Django没做处理，导致浏览器认为目的地址是绝对路径，最终造成任意URL跳转漏洞。 Django默认配置下，如果匹配上的URL路由中最后一位是。，Django默认会跳转到带/的请求中。Django版本

漏洞盒子/细数Django框架核心历史SQL注入漏洞（上）_详细信息安全笔记

程序员三九的博客

06-15

998

0x02 CVE-2019-14234漏洞描述Django 在2019年发布的一个安全更新

Python Web 框架 Django 修复SQL注入漏洞（CVE-2022-34265）

murphysec的博客

07-09

2218

Django 是一个由 Python 语言编写的开源 Web 应用框架，Github 上 star 为 64.9K。Python 开发者使用 Django 可以快速开发、设计和部署网站。7月4日，OSCS 监测到 Django 官方修复了一个 SQL 注入漏洞。如果 Trunc() 方法的 kind 参数和 Extract() 方法的 lookup_name 参数没有进行安全过滤，可能会造成 SQL 注入的风险，建议各位开发者关注。更多漏洞详细信息可进入 OSCS 社区查看：https://www.oscs

17 - vulhub - Django GIS SQL注入漏洞（CVE-2020-9402）

易编橙 · 终身成长社群，相遇已是上上签！

11-10

2252

文章目录漏洞名称：Django GIS SQL注入漏洞（CVE-2020-9402）影响版本漏洞原理漏洞复现漏洞利用限制环境准备漏洞利用漏洞一漏洞二漏洞详细分析修复建议漏洞名称：Django GIS SQL注入漏洞（CVE-2020-9402）简介： Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django 1.11.29之前的1.11.x版本、2.2.11之前的2.2.x版本和3.0.4之前的3.0.x版本中存在S

python框架漏洞

weixin_68408599的博客

12-10

1856

此博客讲述的是基于python框架的各种漏洞复现以及原理，包括sql注入以及ssti模板注入进行复现的过程，以及造成漏洞形成的粗略原理，靶场环境来自vulhub。

Django debug page XSS漏洞（CVE-2017-12794）漏洞复现

huayimy的博客

05-11

712

Django debug page XSS漏洞（CVE-2017-12794）漏洞复现

python和django的目录遍历漏洞(任意文件读取)

Fly_鹏程万里

03-16

6724

1. 什么是目录遍历漏洞 “目录遍历漏洞”的英文名称是Directory Traversal 或 Path Traversal。指攻击者通过在URL或参数中构造 ../ ..%2F /%c0%ae%c0%ae/ %2e%2e%2f 或类似的跨父目录字符串，完成目录跳转，读取操作系统各个目录下的敏感文件。很多时候，我们也把它称作“任意文件读取漏洞”。 2. Python和Djan...

Django-RCE漏洞复现实验记录

最新发布

sechub的博客

07-18

1088

本实验成功复现了Django框架中链式目录遍历与CSV解析器滥用导致的RCE漏洞。实验环境搭建在Linux系统上，使用Python 3.10.12和Django 4.2.7版本。通过构造恶意username参数实现目录遍历攻击，结合CSV文件注入技术，成功将恶意代码写入wsgi.py等关键系统文件，实现远程代码执行。实验验证了该漏洞组合的严重性，并对比了漏洞版本与安全版本的防护措施差异，包括输入验证、路径检测、数据净化等关键防护手段。实验过程中遇到了numpy版本兼容性、服务器自动重载机制等问题并成功解决，

Django -CSRF漏洞

二进制杯莫停的博客

02-08

731

跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。 1 CSR...

Django SQL注入（CVE-2022-28346）

qq_23003811的博客

07-17

764

在 2.2.28 之前的 Django 2.2、3.2.13 之前的 3.2 和 4.0.4 之前的 4.0 中发现了一个问题。QuerySet.annotate()、aggregate() 和 extra() 方法会通过精心制作的字典（带有字典扩展）作为传递的 **kwargs 在列别名中进行 SQL 注入。该框架包括面向对象的映射器、视图系统、模板系统等。4、对接口进行SQL注入测试（单引号，双引号等），发现双引号报错，页面直接返回了flag。1、访问任意不存在的目录路径报错，提示存在demo接口。

漏洞深度分析 | CVE-2023-36053-Django 表达式拒绝服务

LJQClqjc的博客

07-10

1577

当这个输入被URLValidator处理时，由于正则表达式的处理时间与输入的长度呈指数关系，所以可能会导致处理时间过长实现导致服务拒绝。它由经验丰富的开发人员构建，解决了 Web 开发的大部分麻烦，因此您可以专注于编写应用程序，而无需重新发明轮子。这是因为正则表达式的处理时间与输入的长度呈指数关系，如果输入的长度非常大会导致处理时间过长，实现DoS。在URLValidator中，增加了一个max_length属性，其值为2048，用于限制URL的最大长度。如果URL的长度超过这个值，将会抛出一个验证错误。

Django任意URL跳转漏洞（CVE-2018-14574）

qq_68163788的博客

07-01

1266

Django 最初被设计用于具有快速开发需求的新闻类站点，目的是要实现简单快捷的网站开发。以下内容简要介绍了如何使用 Django 实现一个数据库驱动的网络应用。Django默认配置下，如果匹配上的URL路由中最后一位是/，而用户访问的时候没加/，Django默认会跳转到带/的请求中。（由配置项中的django.middleware.common.CommonMiddleware、APPEND_SLASH来决定）。在path开头为//example.com的情况下，Django没做处理，导致浏览器认