Hello there, ('ω')ノ

 

ユーザ提供のオブジェクトを介した情報開示を伴う。

サーバ側のテンプレートインジェクションを。

 

このラボは、オブジェクトがテンプレートに渡される方法が原因で。

サーバ側のテンプレートインジェクションに対して脆弱で。

 

まずは、ログインして。

 

 

編集ページを確認すると、下記のように変換されている箇所が確認できて。

　{{product.price}}

　⇩

　$99.87

 

 

適当に下記を挿入しれプレビューしてみると。

　{{ Hello <%[%'"}}

 

 

エラーメッセージからDjangoフレームワークが使用されているようで。

 

 

下記のサイトでDjangoのドキュメントを調べて。

debugタグでデバッグ情報を表示できるようで。

　https://docs.djangoproject.com/en/3.2/ref/settings/

 

 

下記のステートメントを入力して、デバッグを呼び出すと。

　{% debug %}

 

 

アクセスできるオブジェクトとプロパティのリストが含まれていて。

 

 

下記サイトで、Djangoドキュメントの設定オブジェクトを調べると。

SECRET_KEYプロパティが含まれていて。

 

　https://docs.djangoproject.com/en/3.2/ref/settings/

 

 

下記を入力して、保存するとSECRET_KEYが表示されて。

　ydcdl5zq9g7526vec0g6pioxnqxu043q

 

SECRET_KEYを入力すると。

 

 

クリアできた。

 

 

Best regards, (^^ゞ