tornado 10、网站安全问题

最新推荐文章于 2023-05-04 14:30:02 发布
最新推荐文章于 2023-05-04 14:30:02 发布
阅读量551 收藏 1
点赞数
分类专栏: tornado 文章标签: tornado 密码 加密 cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16234613/article/details/52264029
版权

  实际使用过程中,网站总是会遇到这样那样安全问题,以下是我基于tornado网站做的一些防护。

一、用户验证问题

  首先用户登录使用安全cookie,见《tornado 8、用户登录验证 secure_cookie》。在登录过程中我们还可以对用户密码进行加密,即使数据被获取,也得不到用户的真实密码。
  一般对密码加密,我们可以使用不可逆算法,如md5等。但是这样只是避免用户密码暴露,如果坏人知道了MD5加密后的密码,还是可以登录我们的网站的。
  因此我们还需要提高密码强度,俗称加盐。我们可以对用户输入密码进行动态加密。这样密码一致在变化。这个地方我对前端密码加密过程中使用的验证码答案。

前端代码:
var imgID = $(".indetify").val();
var pasw = $.md5($.md5($.trim($(".pasw").val()))+imgID);

  看到我首先对用户密码进行MD5加密,在把加密后的代码与用户输入验证码进行MD5加密。这样前端传递到后端的密码每次都在变化。即使被人截取也没用。

二、安全cookie

  目前浏览器都允许插件的存在,插件有时能够获取我们的安全cookie,对后台恶意传输数据。我们

  1. 可以在后端设置cookie属性,
  2. 设置关闭浏览器清除cookie达到session效果,
  3. 使用https协议,让cookie只能走ssl通道。(需支持网站https)
# expires_days关闭浏览器清除cookie
# secure只能在https中传递cookie,防止在传送中被截取
 # httponly禁止javascript读取cookie
 self.set_secure_cookie("sessionID",str("uid"),expires_days=None,httponly=True)

三、XSRF跨站请求

对于get方法:
  我们可以在路由参数使用正则匹配,严格控制get参数。

(r"/member/detail/(\w*)/([01]*)", F.MemberDetailHandler),

对于post方法:
  tornado提供了XSRF保护,我们在前端需要使用的地方生成一个_xsrf参数,在post过程中带上这个参数,tornado会自动帮我们验证_xsrf是否正确。如果不正确则不会相应。
  1.开启使用:

settings = {
    "xsrf_cookies": True
}

  2.form中使用:

<form action="/purchase" method="POST">
    {% raw xsrf_form_html() %}
    <input type="text" name="title" />
    <input type="text" name="quantity" />
    <input type="submit" value="Check Out" />
</form>

  3.ajax post中使用:
  在jquey中能在ajax请求前设置一些参数:

function getCookie(name) {
    var c = document.cookie.match("\\b" + name + "=([^;]*)\\b");
    return c ? c[1] : undefined;
}
// 对基于jquery的postajax使用ajaxSetup添加xsrf;对ajaxfileupload手动添加。
$.ajaxSetup({
    beforeSend: function(jqXHR, settings) 
    { 
        type = settings.type 
        if (type != 'GET' && type != 'HEAD' && type != 'OPTIONS') 
        { 
            var pattern = /(.+; *)?_xsrf *= *([^;" ]+)/; 
            var xsrf = pattern.exec(document.cookie); 
            if (xsrf) {
                jqXHR.setRequestHeader('X-Xsrftoken', xsrf[2]);
                console.log(xsrf[2]);
            }
        }
    }
});

或者使用:

function getCookie(name) {
    var c = document.cookie.match("\\b" + name + "=([^;]*)\\b");
    return c ? c[1] : undefined;
}
jQuery.postJSON = function(url, data, callback) {
    _xsrf = getCookie("_xsrf");
    jQuery.ajax({
        url: url,
        data: {_xsrf:_xsrf},   //在post传递的数据中添加
        dataType: "json",
        type: "POST",
        success: callback
    });
}
青盏
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tornado替换文件win7_and_win10.zip
12-01
win7或者win10tornado替换文件
前端安全之xss与xsrf
qq_41801117的博客
03-27 4129
提到前端安全,往往离不开xss(跨站脚本攻击)、xsrf(跨站伪造请求),在此记录一下关于前端安全的学习过程。 什么是xss? 跨站脚本攻击(Cross Site Scripting),为了不和css(层叠样式表)混淆,故记为xss。其原理是利用用户对某个指定网站的信任,被恶意用户进行了web攻击(通常这种攻击会利用js实现)。 简单攻击场景 某用户A逛网站时发现某可以分享文章的论坛,非常感兴趣,写下以下文章 用户A:你好,我是用户A,<script>alert(3)</script&gt
浅谈Web前端安全策略xss和csrf,及又该如何预防?
moandaylab
05-28 1432
Web前端安全策略xss和csrf的攻击和防御一、XSS跨站请求攻击1、什么是XSS2、场景模拟3、XSS的攻击类型4、如何防御XSS二、XSRF跨站请求伪造1、什么是csrf2、场景模拟(1)场景一(2)场景二3、CSRF的特点4、CSRF攻击方式5、CSRF常见的攻击类型6、如何防御csrf三、CSRF与 XSS 区别四、结束语 随着前端技术的不断革新,前端早已不再是简简单单的做页面了。现在的前端网站上会涉及到大量用户的数据和隐私,那这些用户数据安全吗?答案并不是肯定的。因此,这个时候前端安全就显得尤为
XSS与CSRF定义
2301_77512689的博客
05-04 393
验证码的验证思路是在服务器端生成验证字符串并保存在Session中,然后在客户端使用图片显示这段字符串,当用户输入验证码之后交给服务器处理,如果验证码与Session中的字符串相匹配,就代表验证码正确,可以发起请求,反之亦然。反射型XSS也被称为非持久性XSS,是现在最容易出现的一种xss漏洞。当用户访问一个带有XSS代码的URL的请求时,服务器端接收数据后处理,然后把带有XSS代码的数据发送到浏览器,浏览器解析这段带有XSS代码的数据后,最终造成XSS漏洞,这个过程就像一次反射,故称为反射型xxs。
Tornado及Bottle 漏洞合集
小小猪的博客
08-20 1032
Tornado 漏洞 Tornado 文件读取漏洞 搭建好环境之后,这时候我们就可以直接请求到/static/01.txt这样的静态文件了: 正常情况下,我们是不能够请求到这个目录以外的文件的,如/etc/passwd: 如上图,tornado对请求的路径进行了一定判断,抛出了这个错误。然后我们去他源码中看看是怎么判断的: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 .
web安全之CSRF(XSRF)浅析
LQ55
10-11 1870
CSRF(XSRF)是什么? CSRF (cross-site request forgery),中文的名称:跨站请求伪造,也被称为:one click attack/ session riding,缩写为:CSRF/XSRF。 CSRF(XSRF)可以做什么? CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括,以你的名义发送邮件,发消息,盗取你的账号,甚
tornado-swagger
04-30
from tornado . web import RequestHandler , HTTPError from tornado_swagger import swagger swagger . docs () # You may decorate your operation with @swagger.operation and use docs to inform information...
Tornado框架基础
03-23
Tornado是FriendFeed使用的可扩展的非阻塞式web服务器及其相关工具的开源版本。这个Web框架看起来有些像web.py或者Google的webapp,不过为了能有效利用非阻塞式服务器环境,这个Web框架还包含了一些相关的有用工具和...
tornado.pdf
06-02
tornado 入门开发 Tornado is different from most Python web frameworks. It is not based on WSGI, and it is typically run with only one thread per process. See the User’s guide for more on Tornado’s ...
tornado celery example
12-07
1、tornado server 2、使用异步gen.coroutine 3、异步任务,使用future,callback 4、celery task,使用sqlite 或 redis 5、脚本部署启动。 文件如下: example.py run_shell.py setting.py stop.sh tc.db redis_...
XSRF:它是什么,如何工作,如何阻止它?
IT与开发人员的地盘
05-22 1734
最近出现了一种晦涩难懂的骇客,它是现在声名狼藉的XSS的分支。 它被称为跨站点请求伪造,简称XSRF。 XSRF是一种临时身份盗用形式,可能导致您的计算机启动银行交易,发送电子邮件或短信,甚至更改您喜欢的站点上的帐户信息...而您从未意识到! 好消息 在我们开始陷入困境和阴霾之前,您应该知道XSRF尽管可能非常具有破坏性,但实际上很容易防御。 另外,许多现代站点都采用了反XSS和XSRF...
XSRF:它是什么,如何工作,以及如何阻止它?
IT与开发人员的地盘
05-17 1878
最近出现了一种不太明显的骇客,它是现在臭名昭著的分支 XSS 。 它被称为跨站请求伪造,简称XSRF。 XSRF是一种临时的身份盗用形式,可能导致您的计算机启动银行交易,发送电子邮件或短信,甚至更改您喜欢的站点上的帐户信息...而您从未意识到! 好消息 在我们开始陷入困境和阴霾之前,您应该知道XSRF尽管可能非常具有破坏性,但实际上很容易防御。 另外,许多现代站点都采用了反XSS和...
服务器路径泄露漏洞
linhl_sdysit的博客
12-17 1896
tornado服务器路径泄露漏洞 该漏洞一般是由于目标web应用没有处理好应用错误信息导致的。如果攻击者获取到这些信息,可以了解目标服务器目录结构,并通过利用该信息,再配合其它漏洞对目标服务器实施进一步的攻击。 Traceback (most recent call last): File "/usr/local/python27/lib/python2.7/site-packages/tornado/web.py", line 1590, in _execute result = method
XSRF
人饭子的博客
11-13 9658
XSRF 跨站请求伪造 先建立一个网站127.0.0.1:8000,使用上一节中的Cookie计数器: class IndexHandler(RequestHandler): def get(self): cookie = self.get_secure_cookie("count") count = int(cookie) + 1 if cook
CSRF/XSRF简介
程序猿小九九的博客
06-07 1382
CSRF意思是跨站请求伪造。就是通过伪造用户请求对服务器进行攻击,是一种对网站的恶意利用。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,甚至财产操作(如转账和购买商品)等)。早期的网站用户和服务器的通信,是使用cookie进行认证的。攻击者可以通过完全伪造用户的请求,因为请求中所有的用户验证信息都是存在于cookie中的。所以现在为抵御这一攻击,就是要让认证信息部分是无法被伪造,同时用户的关键信息(如密码等)是不能够被直接查看到的(一般是进行加密)
tornado框架漏洞 攻防世界(easytornado
一醉一休的博客
02-23 1959
#Tornado全称Tornado Web Server,是一个用Python语言写成的Web服务器兼Web应用框架 #tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。 一、easytornado 1)点开链接 2)逐个点开(render函数是渲染函数) 3)要找出filehash值,...
CSRF/XSRF概述
weixin_38597669的博客
06-03 4161
本文主要叙述了CSRF产生的原因,危害和预防方法!!
XSRF 防御
Geordies的博客
01-05 917
# XSRF 防御 # 需求分析 XSRF 又名 CSRF (opens new window),跨站请求伪造,它是前端常见的一种攻击方式,我们先通过一张图来认识它的攻击手段。 CSRF 的防御手段有很多,比如验证请求的 referer,但是 referer 也是可以伪造的,所以杜绝此类攻击的一种方式是服务器端要求每次请求都包含一个 token,这个 token 不在前端生成,而是在我们每次访...
XCTF-攻防世界CTF平台-Web类——15、easytornado(SSTI服务器模板注入、Tornado 框架render渲染函数、MD5加密
Onlyone_1314的博客
12-11 2657
目录标题找到注入点查看tornado的官方文档得到cookie_secret的值计算md5值得到flag 打开题目地址: 题目描述使用了Tornado 框架,Tornado是Python的一种 Web 服务器软件框架。 有三个文件,分别查看: 提示flag所在的文件/fllllllllllllag,url中GET方式提交了2个参数:filename=/flag.txt&filehash=6d9ebcb83324409e048e0d8086173713 提示使用了render函数,由于rend
win10 tornado2.2替换
最新发布
07-02
替换Win10 Tornado2.2的步骤如下:首先,从官方网站下载Tornado2.2版本的安装包。然后,双击安装包文件,按照安装向导的指示完成安装过程。安装完成后,进入系统设置,找到“应用程序和功能”选项,在已安装的程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值