文章详情

登录

短信预约-IT技能 免费直播动态提醒

选择考试省份

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团

请输入下面的图形验证码

提交验证

短信预约提醒成功

【Django | 安全防护】CSRF跨站伪请求和SQL注入攻击

2023-09-06 17:25

关注

在这里插入图片描述

🤵‍♂️ 个人主页: @计算机魔术师
👨‍💻 作者简介:CSDN内容合伙人,全栈领域优质创作者。

🌐 推荐一款找工作神器网站: 牛客网🎉🎉|笔试题库|面试经验|实习招聘内推
还没账户的小伙伴 速速点击链接跳转牛客网登录注册 开始刷爆题库,速速通关面试吧🙋‍♂️

该文章收录专栏
—【Django | 项目开发】从入门到上线 专栏—

文章目录

一、演示CSRF漏洞

在这里插入图片描述

二、环境准备

假设我们此时有一个视图用于创建 hr管理员,不受csrf_token保护的情况

{% extends 'base.html' %}{% block content %}    {#  onload  = 'document.EvilForm.submit()  #}    <form action="/create_hr_user/" method="post" name="EvilForm">        {#                   required 表示必填         #}        First name <input name="username" value="attacker" type="text" required/>        First password <input name="username" value="attacker123" type="password" required/>        Second password <input name="username" value="attacker123" type="password" required/>        <input type="submit" value="提交"/>    </form>{% endblock %}
"""演示CSRF漏洞(cross site request forge)"""from django.contrib.auth.models import Group, Userfrom django.views.decorators.csrf import csrf_exemptfrom django.contrib.auth.decorators import permission_requiredfrom django.contrib import messages@csrf_exempt  # 设置为不处理csrf攻击@permission_required('auth.add_user')  # 只允许拥有创建用户的权限的用户def create_hr_user(request):    if request.method == 'GET':        return render(request, 'create_hr_user.html', {})    if request.method == 'POST':        username = request.POST.get('username')        password = request.POST.get('password')        hr_group = Group.objects.create(name='hr')        user = User(is_superuser=False, username=username, is_staff=True, is_active=True)        user.set_password(password)        user.save()        # 添加一个群组对象        user.groups.add(hr_group)        messages.info(request, '成功添加用户hr ')        return render(request, 'create_hr_user.html')    return render(request, 'create_hr_user.html')
from django.conf import settings# 演示CSRF 跨站请求伪造# 测试是否为开发环境if settings.DEBUG:    urlpatterns += (        path('create_hr_user', jobs.views.create_hr_user, name='create_hr_user')    )

表单演示
在这里插入图片描述

三、模拟黑客🐱‍👤

现在让我们看看如何在管理员不知情的情况下添加用户

攻击者提供一个页面,诱导管理员点击该页面,此时改url会自动提交,改url会直接调用之前创建管理员的页面,创建用户

作为黑客,我现在创建一个页面,在超级管理员点击改页面链接便会自动创建.(跨站行为)

DOCTYPE html><html lang="en"><head>    <meta charset="UTF-8">    <meta http-equiv="X-UA-Compatible" content="IE=edge">    <meta name="viewport" content="width=device-width, initial-scale=1.0">    <title>Documenttitle>head><body onload='document.EvilForm.submit()' >    <form action="http://127.0.0.1:8000/create_hr_user/" method="post" name="EvilForm">        First name <input name="username" value="attacker_coming" type="text" required/>        First password <input  value="attacker123" type="password"  name="password" required/>        Second password <input  value="attacker123" type="password" name="retype_password" required/>        <input type="submit" value="提交"/>    form>body>html>

我们将这个页面的服务器运行起来(端口为7000)

python -m http.server 7000

此时管理员访问一下这个页面

z

自动添加成功!!😱😱😱😱😱
在这里插入图片描述
在这里插入图片描述
这里演示是让管理员自动创建了一名hr,但实际上我们还可以进行账号转账,信息泄露等其他操作🤯。

四、解决办法

我们只要使用django自带csrf 处理即可,django在处理每一个页面都会传递一个csrf_token,在表单form中则需要添加{% token %} 在页面渲染出来,这样客户端页面会将csrf_token带回服务器,服务端检查token,合法则则正常处理请求

修改原视图 — 删除@csrf_exempt :

@permission_required('auth.add_user')  # 只允许拥有创建用户的权限的用户def create_hr_user(request):    if request.method == 'GET':        return render(request, 'create_hr_user.html', {})    if request.method == 'POST':        username = request.POST.get('username')        password = request.POST.get('password')        hr_group = Group.objects.get(name='HR')        user = User(is_superuser=False, username=username, is_staff=True, is_active=True)        # hash 哈希加密密码(如果是明文会报错)        user.set_password(password)        user.save()        # 添加一个群组对象        user.groups.add(hr_group)        messages.info(request, '成功添加用户hr!!!')        return render(request, 'create_hr_user.html')    return render(request, 'create_hr_user.html')

此时我们再次访问恶意页面(访问失败🎉🎉🎉)

在这里插入图片描述

这是因为没有密钥token没有用作安全校验的csrf_token.,服务在请求一个页面会在requesthead头部存放csrftokn值,一般是放在cookie中,当页面响应中会在response中返回cookie此时服务器如果在cookie中找到所发送对应的csrftoken则会对其请求进行处理,否则访问失败

且之前用于演示所创建的表单模板也会无法访问
在这里插入图片描述
这是由于没有 {csrf_token%},添加代码即可访问

 <form action="/create_hr_user/" method="post" name="EvilForm">        {#                   required 表示必填         #}        {% csrf_token %}        First name <input name="username" value="attacker" type="text" required/>        First password <input  value="attacker123" type="password"  name="password" required/>        Second password <input  value="attacker123" type="password" name="retype_password" required/>        <input type="submit" value="提交"/>    form>

五、SQL注入攻击漏洞

在这里插入图片描述
我们需要使用map的方法传参就可以避免这种漏洞, 这种漏洞与xxs漏洞是类似的(上一篇文章)

        🤞到这里,如果还有什么疑问🤞🎩欢迎私信博主问题哦,博主会尽自己能力为你解答疑惑的!🎩🥳如果对你有帮助,你的赞是对博主最大的支持!!🥳

来源地址:https://blog.csdn.net/weixin_66526635/article/details/125947530

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题

  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     807人已做
    查看

  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     351人已做
    查看

  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     314人已做
    查看

  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     433人已做
    查看

  • 2024年上半年系统架构设计师考试综合知识真题

    难度     221人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机

【Django | 安全防护】CSRF跨站伪请求和SQL注入攻击

后端开发2023-09-06
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载问答资讯