Django 常见Web攻击
2019-04-12 本文已影响3人
阿提艾斯
1、sql注入攻击与防范
sql注入是黑客攻击数据库最常用的手段。
sql注入的危害:
- 非法读取、篡改、删除数据库中的数据
- 盗取用户的各类敏感信息获取利益
- 通过修改数据库来修改网页上的内容
- 注入木马等等
例子
如下是一个不安全的登录逻辑,仅仅是从数据库中查找用户名和密码是否一致。(users.view)
class LoginUnsafeView(View):
def get(self, request):
return render(request, "login.html", {})
def post(self, request):
user_name = request.POST.get("username", "")
pass_word = request.POST.get("password", "")
import MySQLdb
conn = MySQLdb.connect(host="127.0.0.1", user="root", passwd="123456", db="mooc_online", charset="utf8")
cursor = conn.cursor()
sql_select = "select * from users_userprofile where email='{0}' and password='{1}'".format(user_name, pass_word)
result = cursor.execute(sql_select)
for row in cursor.fetchall():
# 查询到用户
pass
# 配置url
urlpatterns = [
url(r'^xadmin/', xadmin.site.urls),
# url('^login/$', LoginView.as_view(), name="login"),
url('^login/$', LoginUnsafeView.as_view(), name="login"),
]
配置好url之后,去登录页面界面进行登录。
输入账号: ' OR 1=1#
密码:随意输入
登录
调试之后,发现查询到结果,数据库中共有2条用户信息。绕过了sql 语句的检查,永远为真,实现登录。所以在写登录逻辑时要检查,用户不能输入单引号。。。
debug调试
2、xss攻击与防范
xss跨站脚本攻击(Cross Site Scripting)的危害:
- 盗取各类用户账号,如用户网银账号、各类管理员账号
- 盗窃企业重要的具有商业价值的资料
- 非法转账
- 控制受害者机器向其它网站发起攻击、注入木马等等。
xss攻击流程:
1、受害者向服务器发送请求url
2、服务器根据url发送数据到受害者
例子:
正常请求:http://www.bank.com/product/list/?name='iphone6'
黑客在参数里加入js代码,拿到用户cookie信息,伪装用户向服务器发送请求:
http://www.bank.com/product/list/?name=<script>x=document.cookie;alert(x);</script>
防止xss攻击:
- 首先代码里对用户输入的地方和变量都需要仔细检查长度和对“<”,“>”,“;”,“'”等字符做过滤;
- 避免直接在cookie中泄露用户隐私,例如email、密码等等
- 通过使cookie和系统ip绑定来降低cookie泄漏后的危险。
- 尽量使用POST而非GET提交表单
3、csrf攻击与防范
csrf跨站请求伪造(Cross-site request forgery)的危害:
- 以你名义发送邮件
- 盗取你的账号
- 购买商品
- 虚拟货币转账
csrf攻击原理:
csrf攻击简单理解就是:黑客想让你转账到一个账号,黑客没有你的sessionid不能转,但是你有sessionid啊,你可以转,黑客可以给你发链接,让你点击后自己转账。
举个例子:
黑客给你传入的html页面中有一个图片,
<img src=http://www.mybank.com/Transfer/toBankId=11&money=1000>,当你点击后,因为你有sessionid,会通过系统认证,会成功给用户11转账1000,从而达到黑客转账的目的。
csrf攻击原理
这里关键的是用户在没有登出A的时候访问B,如果用户登出A,cookie就会失效,上面例子中的转账操作就会失败。
Django项目中POST提交表单中添加{% csrf_token %}就是为了防止csrf攻击。
