🤵♂️ 个人主页: @计算机魔术师
👨💻 作者简介:CSDN内容合伙人,全栈领域优质创作者。
🌐 推荐一款找工作神器网站: 牛客网🎉🎉|笔试题库|面试经验|实习招聘内推
还没账户的小伙伴 速速点击链接跳转牛客网登录注册 开始刷爆题库,速速通关面试吧🙋♂️
该文章收录专栏
✨—【Django | 项目开发】从入门到上线 专栏—✨
文章目录
假设我们此时有一个视图用于创建
hr管理员,不受csrf_token保护的情况
{% extends 'base.html' %}
{% block content %}
{# onload = 'document.EvilForm.submit() #}
<form action="/create_hr_user/" method="post" name="EvilForm">
{# required 表示必填 #}
First name <input name="username" value="attacker" type="text" required/>
First password <input name="username" value="attacker123" type="password" required/>
Second password <input name="username" value="attacker123" type="password" required/>
<input type="submit" value="提交"/>
</form>
{% endblock %}
"""
演示CSRF漏洞(cross site request forge)
"""
from django.contrib.auth.models import Group, User
from django.views.decorators.csrf import csrf_exempt
from django.contrib.auth.decorators import permission_required
from django.contrib import messages
@csrf_exempt # 设置为不处理csrf攻击
@permission_required('auth.add_user') # 只允许拥有创建用户的权限的用户
def create_hr_user(request):
if request.method == 'GET':
return render(request, 'create_hr_user.html', {})
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
hr_group = Group.objects.create(name='hr')
user = User(is_superuser=False, username=username, is_staff=True, is_active=True)
user.set_password(password)
user.save()
# 添加一个群组对象
user.groups.add(hr_group)
messages.info(request, '成功添加用户hr ')
return render(request, 'create_hr_user.html')
return render(request, 'create_hr_user.html')
urlfrom django.conf import settings
# 演示CSRF 跨站请求伪造
# 测试是否为开发环境
if settings.DEBUG:
urlpatterns += (
path('create_hr_user', jobs.views.create_hr_user, name='create_hr_user')
)
表单演示
现在让我们看看如何在管理员不知情的情况下添加用户
攻击者提供一个页面,诱导管理员点击该页面,此时改
url会自动提交,改url会直接调用之前创建管理员的页面,创建用户
作为黑客,我现在创建一个页面,在超级管理员点击改页面链接便会自动创建.(跨站行为)
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body onload='document.EvilForm.submit()' >
<form action="http://127.0.0.1:8000/create_hr_user/" method="post" name="EvilForm">
First name <input name="username" value="attacker_coming" type="text" required/>
First password <input value="attacker123" type="password" name="password" required/>
Second password <input value="attacker123" type="password" name="retype_password" required/>
<input type="submit" value="提交"/>
</form>
</body>
</html>
我们将这个页面的服务器运行起来(端口为7000)
python -m http.server 7000
此时管理员访问一下这个页面
自动添加成功!!😱😱😱😱😱
这里演示是让管理员自动创建了一名hr,但实际上我们还可以进行账号转账,信息泄露等其他操作🤯。
我们只要使用django自带
csrf处理即可,django在处理每一个页面都会传递一个csrf_token,在表单form中则需要添加{% token %}在页面渲染出来,这样客户端页面会将csrf_token带回服务器,服务端检查token,合法则则正常处理请求
修改原视图 — 删除@csrf_exempt :
@permission_required('auth.add_user') # 只允许拥有创建用户的权限的用户
def create_hr_user(request):
if request.method == 'GET':
return render(request, 'create_hr_user.html', {})
if request.method == 'POST':
username = request.POST.get('username')
password = request.POST.get('password')
hr_group = Group.objects.get(name='HR')
user = User(is_superuser=False, username=username, is_staff=True, is_active=True)
# hash 哈希加密密码(如果是明文会报错)
user.set_password(password)
user.save()
# 添加一个群组对象
user.groups.add(hr_group)
messages.info(request, '成功添加用户hr!!!')
return render(request, 'create_hr_user.html')
return render(request, 'create_hr_user.html')
此时我们再次访问恶意页面(访问失败🎉🎉🎉)
这是因为没有密钥token没有用作安全校验的csrf_token.,服务在请求一个页面会在request的head头部存放csrftokn值,一般是放在cookie中,当页面响应中会在response中返回cookie此时服务器如果在cookie中找到所发送对应的csrftoken则会对其请求进行处理,否则访问失败
且之前用于演示所创建的表单模板也会无法访问
这是由于没有 {csrf_token%},添加代码即可访问
<form action="/create_hr_user/" method="post" name="EvilForm">
{# required 表示必填 #}
{% csrf_token %}
First name <input name="username" value="attacker" type="text" required/>
First password <input value="attacker123" type="password" name="password" required/>
Second password <input value="attacker123" type="password" name="retype_password" required/>
<input type="submit" value="提交"/>
</form>
我们需要使用map的方法传参就可以避免这种漏洞, 这种漏洞与xxs漏洞是类似的(上一篇文章)
🤞到这里,如果还有什么疑问🤞
🎩欢迎私信博主问题哦,博主会尽自己能力为你解答疑惑的!🎩
🥳如果对你有帮助,你的赞是对博主最大的支持!!🥳
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
目录第1题连续问题分析:解法:第2题分组问题分析:解法:第3题间隔连续问题分析:解法:第4题打折日期交叉问题分析:解法:第5题同时在线问题分析:解法:第1题连续问题如下数据为蚂蚁森林中用户领取的减少碳排放量iddtlowcarbon10012021-12-1212310022021-12-124510012021-12-134310012021-12-134510012021-12-132310022021-12-144510012021-12-1423010022021-12-154510012021-12-1523.......找出连续3天及以上减少碳排放量在100以上的用户分析:遇到这类
我正在尝试查询我的Rails数据库(Postgres)中的购买表,我想查询时间范围。例如,我想知道在所有日期的下午2点到3点之间进行了多少次购买。此表中有一个created_at列,但我不知道如何在不搜索特定日期的情况下完成此操作。我试过:Purchases.where("created_atBETWEEN?and?",Time.now-1.hour,Time.now)但这最终只会搜索今天与那些时间的日期。 最佳答案 您需要使用PostgreSQL'sdate_part/extractfunction从created_at中提取小时
我正在使用ruby2.1.0我有一个json文件。例如:test.json{"item":[{"apple":1},{"banana":2}]}用YAML.load加载这个文件安全吗?YAML.load(File.read('test.json'))我正在尝试加载一个json或yaml格式的文件。 最佳答案 YAML可以加载JSONYAML.load('{"something":"test","other":4}')=>{"something"=>"test","other"=>4}JSON将无法加载YAML。JSON.load("
默认情况下:回形针gem将所有附件存储在公共(public)目录中。出于安全原因,我不想将附件存储在公共(public)目录中,所以我将它们保存在应用程序根目录的uploads目录中:classPost我没有指定url选项,因为我不希望每个图像附件都有一个url。如果指定了url:那么拥有该url的任何人都可以访问该图像。这是不安全的。在user#show页面中:我想实际显示图像。如果我使用所有回形针默认设置,那么我可以这样做,因为图像将在公共(public)目录中并且图像将具有一个url:Someimage:看来,如果我将图像附件保存在公共(public)目录之外并且不指定url(同
我找到了这样的东西:Rails:Howtolistdatabasetables/objectsusingtheRailsconsole?这一行没问题:ActiveRecord::Base.connection.tables并返回所有表但是ActiveRecord::Base.connection.table_structure("users")产生错误:ActiveRecord::Base.connection.table_structure("projects")我认为table_structure不是Postgres方法。如何列出Postgres数据库的Rails控制台中表中的所有
Ruby中防止SQL注入(inject)的好方法是什么? 最佳答案 直接使用ruby?使用准备好的语句:require'mysql'db=Mysql.new('localhost','user','password','database')statement=db.prepare"SELECT*FROMtableWHEREfield=?"statement.execute'value'statement.fetchstatement.close 关于ruby-防止SQL注入(inject
我在一个ruby文件中有一个函数可以像这样写入一个文件File.open("myfile",'a'){|f|f.puts("#{sometext}")}这个函数在不同的线程中被调用,使得像上面这样的文件写入不是线程安全的。有谁知道如何以最简单的方式使这个文件写入线程安全?更多信息:如果重要的话,我正在使用rspec框架。 最佳答案 您可以通过File#flock给锁File.open("myfile",'a'){|f|f.flock(File::LOCK_EX)f.puts("#{sometext}")}
我正在编写一个Rails应用程序,它将监视某些特定数据库的数据质量。为了做到这一点,我需要能够对这些数据库执行直接SQL查询——这当然与用于驱动Rails应用程序模型的数据库不同。简而言之,这意味着我无法使用通过ActiveRecord基础连接的技巧。我需要连接的数据库在设计时是未知的(即:我不能将它们的详细信息放在database.yaml中)。相反,我有一个模型“database_details”,用户将使用它来输入应用程序将在运行时执行查询的数据库的详细信息。因此与这些数据库的连接实际上是动态的,细节仅在运行时解析。 最佳答案