1
/
5

テックブログ:Djangoの脆弱性 (CVE-2022-34265)のPoC検証

弊社エーアイセキュリティラボでは、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事を、定期的にQiitaにアップしております。

今回は Django の脆弱性 (CVE-2022-34265)を説明した記事になります。

https://qiita.com/AeyeScan/items/7e807375eeaef999beb1

脆弱性の調査経緯とPoc検証について

弊社では、既知の脆弱性をスキャンルールとして作成するだけではなく、新たな脆弱性についての調査・Poc検証も行っています。今回は Django を対象に調査を行いました。

Django は、Python で書かれたオープンソースの Web フレームワークです。過去に Django において発見された脆弱性には SQL Injection が多く、類似の脆弱性が潜在しているのではないかという仮説をもとに調査を進めた結果、新たな脆弱性の発見に至りました。具体的には、Django の日付データに使う関数の引数を SQL で実行する際の文字列の加工が適切でなかったことに起因する脆弱性になります。

記事のなかで検証に使用したアプリケーションも公開しておりますので、脆弱性にご興味がある方はそちらもぜひご確認ください。

余談ですが、今回の脆弱性は弊社メンバー吉開が初めて独力で発見した脆弱性です。彼のホワイトハッカーとしての第一歩を支援できたことを非常に嬉しく思います。これからも共に切磋琢磨し、AeyeScan を成長させていきましょう!

このストーリーが気になったら、遊びに来てみませんか?
脆弱性診断員からのキャリアチェンジ歓迎!カスタマーサクセス大募集!
株式会社エーアイセキュリティラボでは一緒に働く仲間を募集しています
4 いいね!
4 いいね!

同じタグの記事

今週のランキング

Aeye 採用担当さんにいいねを伝えよう
Aeye 採用担当さんや会社があなたに興味を持つかも