DjangoORM注入分享

于 2024-08-09 15:42:17 发布
阅读量306 收藏 5
点赞数 4
文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83799022/article/details/141063803
版权

DjangoORM注入

简介

​ 这篇文章中,分享一些关于django orm相关的技术积累和如果orm注入相关的安全问题讨论。

​ 攻击效果同数据库注入

从Django-Orm开始

开发角度

​ Django ORM(Object-Relational Mapping)是Django框架中用于处理数据库操作的一种机制。它允许开发者使用Python代码来描述数据库模式和执行数据库查询,进行数据库操作,如创建、读取、更新和删除数据等操作,而不需要直接编写SQL语句。通过ORM,开发者可以更直观和方便地进行数据库操作,同时保持代码的可读性和可维护性。

  • 如果没有ORM,作为后端开发的需要写如下代码
# 假设需求背景 Python 开发人员想要编写一个博客网站,供人们发布文章,并希望向其应用程序添加搜索功能
def search_articles(search_term: str) -> list[dict]:
    results = []
    with get_db_connection() as conn:
        with conn.cursor() as cursor:
            cursor.execute("SELECT title, body FROM articles WHERE title LIKE %s", (f"%{search_term}%",))
            rows = cursor.fetchall()

            for row in rows:
                results.append({
                    "title": row[0],
                    "body": row[1]
                })
    return results
  • 换成ORM模式开发如下
# models/article.py
from django.db import models

class Article(models.Model):
    """
        The data model for Articles
    """
    title = models.CharField(max_length=255)
    body = models.TextField()

    class Meta:
        ordering = ["title"]

# serializers/article.py
class ArticleSerializer(serializers.ModelSerializer):
    """
        How objects of the Article model are serialized into other data types (e.g. JSON)
    """
    class Meta:
        model = Article
        fields = ('title', 'body')

# views/article.py
class ArticleView(APIView):
    """
        Some basic API view that users send requests to for searching for articles
    """
    def post(self, request: Request, format=None):
        # Returns the search URL parameter if present otherwise it is set to None
        search_term = request.data.get("search", None)
        if search_term is not None:
            articles = Article.objects.filter(title__contains=search_term)
        else:
            articles Article.objects.all()
        serializer = ArticleSerializer(articles, many=True)
        return Response(serializer.data)

安全角度

​ Django ORM通常可以防止SQL注入问题,因为它会自动对查询参数进行适当的转义和处理。不过,如果在使用Django ORM时不小心使用了原生的SQL查询或手动构建了SQL语句,也是有SQL注入的问题,不过这个不是这篇文章讨论的主要方向。仅作概述:

  • 使用ORM的过滤器方法: 始终使用Django ORM的过滤器方法,而不是手动构建SQL查询。例如:
# 安全的查询方式
users = User.objects.filter(username=username)
  • 避免使用raw()方法: raw()方法允许你编写原生SQL查询,但如果不正确处理输入,可能会导致SQL注入。
# 不安全的方式
users = User.objects.raw("SELECT * FROM auth_user WHERE username = '%s'" % username)

# 安全的方式
users = User.objects.raw("SELECT * FROM auth_user WHERE username = %s", [username])
  • 使用Django的QuerySet API: 尽量避免使用低级别的数据库API,Django的QuerySet API提供了足够的功能来执行大多数查询,而不需要直接编写SQL
# 安全的方式
users = User.objects.filter(email__icontains='example.com')
  • 使用参数化查询: 如果必须使用自定义的SQL查询,确保使用参数化查询。
from django.db import connection

def get_user_by_username(username):
    with connection.cursor() as cursor:
        cursor.execute("SELECT * FROM auth_user WHERE username = %s", [username])
        row = cursor.fetchone()
    return row
  • 变量效验: 在处理用户输入时,始终进行变量效验,以确保输入数据的安全和有效性。
from django.db import connection

def get_user_by_username(username):
    with connection.cursor() as cursor:
        # 使用参数化查询防止SQL注入
        cursor.execute("SELECT * FROM auth_user WHERE username = %s", [username])
        user = cursor.fetchone()
    return user

Django-Orm注入

​ 首先创建一个django应用,能够获取book信息

  • 此时的view逻辑为:

  • 假设此时后端开发的领导有了如下的要求:
    • 需要一个强大的 API 来允许用户按 book 模型中的任何字段进行过滤
    • 后续会不断新增表中的字段,并且希望 API 无需修改任何代码即可兼容这些更改
    • 任务十分紧急
    • ....

  • 这个时候开发十分容易写出如下代码

盲注获取敏感字段

写在前面,修改部分代码模拟一个靶场环境:

  • 新增flagbook,其中isbn为敏感字段flag,真是环境flag可能为密码、手机号、token等敏感字段

Book.objects.create(title='flagbook', author='flag book', published_date=date(2020, 4, 15), isbn='flag{secret}')
  • 修改后端view代码,不返回isbn字段&调整下代码

  • 通过django filter startwith 进行注入获取flag

具体 django filter语法可参考 https://docs.djangoproject.com/en/5.0/ref/models/querysets/#id4

  • 基础语法,查询flagbook数据

  • 盲注获取flag poc

startswith正确时如下

startswith错误时如下

  • 至此,我们就可以写脚本获取完整的flag

泄露的条件总结

  • 可以控制filter过滤列
  • ORM支持正则、startswith类似操作
  • 表中存在一个隐藏的敏感字段

多表关联的情况

在 Django 中,OneToOneFieldManyToManyField 和 ForeignKey 是用来定义模型之间关系的字段类型。每种字段类型表示不同的数据库关系。

OneToOneField

OneToOneField 表示一对一关系。一个模型实例与另一个模型实例之间有且仅有一个关联。

from django.db import models

class UserProfile(models.Model):
    user = models.OneToOneField(User, on_delete=models.CASCADE)
    bio = models.TextField()

在这个例子中,每个 UserProfile 实例与一个 User 实例有且只有一个关联。

ManyToManyField

ManyToManyField 表示多对多关系。一个模型实例可以与多个另一个模型实例关联,反之亦然。

class Author(models.Model):
    name = models.CharField(max_length=100)

class Book(models.Model):
    title = models.CharField(max_length=100)
    authors = models.ManyToManyField(Author)

在这个例子中,一本书可以有多个作者,一个作者也可以写多本书。

ForeignKey

ForeignKey 表示多对一关系。一个模型实例可以与多个另一个模型实例关联,但反过来每个模型实例只能与一个实例关联。

class Publisher(models.Model):
    name = models.CharField(max_length=100)

class Book(models.Model):
    title = models.CharField(max_length=100)
    publisher = models.ForeignKey(Publisher, on_delete=models.CASCADE)

在这个例子中,一本书只能有一个出版社,但一个出版社可以出版多本书。

关系总结

  • OneToOneField: 一对一关系
  • ManyToManyField: 多对多关系
  • ForeignKey: 多对一关系

demo演示

我们修改model代码如下
from django.db import models

class Publisher(models.Model):
    name = models.CharField(max_length=100)
    address = models.TextField()

    def __str__(self):
        return self.name


class Category(models.Model):
    name = models.CharField(max_length=100)

    def __str__(self):
        return self.name


class Book(models.Model):
    title = models.CharField(max_length=200)
    author = models.CharField(max_length=100)
    published_date = models.DateField()
    isbn = models.CharField(max_length=13, unique=True)
    publisher = models.ForeignKey(Publisher, on_delete=models.CASCADE)
    categories = models.ManyToManyField(Category)

    def __str__(self):
        return self.title

class BookDetail(models.Model):
    book = models.OneToOneField(Book, on_delete=models.CASCADE)
    summary = models.TextField()
    number_of_pages = models.IntegerField()

    def __str__(self):
        return self.book.title
  • demo数据如下
import os
import django
import datetime
import random

os.environ.setdefault('DJANGO_SETTINGS_MODULE', 'MyProject.settings')
django.setup()

from BookStore.models import Book, Publisher, Category, BookDetail

# 清空旧数据
Publisher.objects.all().delete()
Category.objects.all().delete()
Book.objects.all().delete()
BookDetail.objects.all().delete()

# 创建 Publisher 示例数据
publishers = [
    Publisher.objects.create(name=f'Publisher {i}', address=f'{i} Main St') for i in range(1, 6)
]

# 创建 Category 示例数据
categories = [
    Category.objects.create(name=f'Category {i}') for i in range(1, 6)
]

# 创建 Book 示例数据
books = [
    Book.objects.create(
        title=f'Book {i}',
        author=f'Author {i}',
        published_date=datetime.date(2021, 1, i),
        isbn=f'{1234567890123 + i}',
        publisher=random.choice(publishers)
    ) for i in range(1, 6)
]

# 添加 Book 到 Category
for book in books:
    book.categories.add(*random.sample(categories, k=2))  # 随机选择两个分类

# 创建 BookDetail 示例数据
for book in books:
    BookDetail.objects.create(
        book=book,
        summary=f'This is the summary for {book.title}.',
        number_of_pages=random.randint(100, 500)
    )

print("Demo data created successfully.")
  • 依旧是这个接口逻辑不变

  • 一对一的方式,通过bookdetail关联 book 的isbn列数据包

  • 多对一的方式,通过book 关联 publishers 的address地址列数据包

  • 多对多的方式,通过book 关联 Category的name列数据包

写在最后

​ 其余的一点思考:created_by__user__password__regex 类似这种会不会造成数据库redos攻击!因为之前学习过redos,答案很明显:几乎不大可能会。数据库的正则引擎为有限状态向量机。https://xz.aliyun.com/t/14653?

网络安全工程师老王
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
190、探索Django ORM:数据库操作的艺术与科学
silenceallat的博客
06-02 815
本文深入探讨了Django ORM的高级查询与关联操作,包括一对一、一对多和多对多关系,以及自关联的使用。同时,文章介绍了如何使用预fetch related objects、使用only和defer、使用values和values_list以及执行原生SQL查询等进阶技巧。最后,提出了性能优化、代码可读性、避免SQL注入和编写测试等最佳实践。
Django ORM详解:最全面的数据库处理指南
Rocky006的博客
08-05 1197
在深入讨论DjangoORM(Object-Relational Mapping,对象-关系映射)之前,让我们先理解一下什么是ORMORM是一种编程技术,用于在面向对象的软件和关系数据库之间建立一种可兼容的系统。简单来说,ORM能够让你使用Python(或其他编程语言)来操作数据库,就像你在操作Python对象一样。DjangoORM是一个非常强大的工具,它帮助你管理和查询数据库。基于Django ORM的主要优势,你可以:利用Python的对象模型进行数据库查询,无需编写复杂的SQL语句。
DjangoORM介绍
玄色i 的博客
02-25 245
前言 最近由于对Python这一门编程语言产生想要继续深入学习的兴趣也好还是因为和别人一同参加比赛需要这方面的技术也好,都使得我在疫情期间坚持深入学习Python的更多知识。碰巧也是前几天涉及到了有关ORM的知识,想着用博客记录一下自己的学习心得与体会,并且也帮助正在学习相关知识的朋友们更好的理解什么是ORM。 ——————————————————————————————————— 引子 在正...
Django中的数据库优化与ORM性能调优
一键难忘的博客
04-17 2194
在开发基于DjangoWeb应用程序时,数据库是至关重要的组成部分之一。DjangoORM(对象关系映射)为开发者提供了便利,使得与数据库的交互变得简单且直观。然而,在处理大量数据或者对性能要求较高的应用中,数据库优化和ORM性能调优是至关重要的。本文将介绍一些优化数据库和ORM性能的技巧,并提供相应的案例代码。
一、Django框架介绍
qq_15239397的博客
07-11 5217
一、Django框架介绍 1.1 框架背景 ​ 要学习一个框架,了解它的诞生,背景,特点是
Django中的定时任务与后台任务队列的实践
一键难忘的博客
04-16 2857
Web开发中,处理定时任务和后台任务队列是很常见的需求。Django作为一个功能强大的Web框架,提供了多种方式来实现这些任务。本文将介绍如何在Django中实践定时任务和后台任务队列,并提供案例代码示例。
Django Web开发基础知识
CSDN
12-19 5470
Django是一个开源的Web框架,用于使用Python语言构建Web应用程序。它由一个高度可重用和可插拔的组件集合构成,使得开发者能够更快速、更轻松地构建功能强大的Web应用。Django采用了MVC(Model-View-Controller)的设计模式,但在Django中通常被称为MTV(Model-Template-View)。
django 技术总结
weixin_40426261的博客
11-20 31
flink技术总结待续
Django知识点笔记
suic009的博客
01-15 4498
前言:本人十分懒,动手练习,4天二倍速看教学视频学完了Django,发现配套的教学笔记很多干货都没有记载下来,又担心自己遗忘,于是犹豫很久还是自己敲一篇笔记加深理解巩固记忆吧。 内容可能有一点点乱,因为我把前后涉及的知识点全罗列出来了,因此不适合初学的小白观看,但用来复习还是不错的。 如何快速(简单几个步骤)又全面地(每个步骤涉及的小知识点基本都用上)写一个小项目? settings里面有什么?(auth) 一、 Django开篇 **MVT与MVC Django 采用
基于Django的LivePhoto分享网站.zip
09-29
13. 安全性:Django内置了许多安全特性,如防止XSS和SQL注入攻击,开发者在开发过程中应遵循最佳实践以保证网站的安全性。 14. 部署:Django项目通常部署在服务器上,如Apache或Nginx,配合Gunicorn或uWSGI等应用...
django query模块
09-19
Django Query模块是Django ORM(对象关系映射)的一部分,它使得开发者能够以Python的方式进行数据库操作,而不是直接编写SQL语句。这极大地提高了开发效率和代码的可维护性。Query模块主要由两部分组成:`QuerySet`...
Django 中文手册
06-10
在模型层面,Django提供了ORM(对象关系映射),允许开发者使用Python类来定义数据库表结构。通过定义模型类,可以轻松地创建、读取、更新和删除数据,同时支持数据库迁移,确保数据库结构随着项目发展而同步。 ...
Django说明及示例
08-13
- **防止SQL注入**:内置的ORM提供了对SQL注入的防护。 ##### 3. 国际化和本地化 - **多语言支持**:支持多种语言的国际化。 - **时间格式化**:支持不同地区的日期和时间格式。 ##### 4. 性能和优化 - **缓存机制...
基于django的知识管理平台.zip
01-15
综上所述,“基于django的知识管理平台”利用了Python和Django的强大功能,构建了一个全面的系统,旨在促进知识的分享、存储和检索。通过合理的架构设计和功能实现,可以满足不同用户群体的需求,为知识工作者提供...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8376
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Gartner发布2024年网络风险管理成熟度曲线:使网络安全战略与业务目标保持一致的概念、方法、流程和技术
最新发布
lurenjia404的博客
08-07 734
网络风险管理现在是高管和监管机构最关注的问题,它采用多种方法和技术来支持治理、风险管理和合规性。安全和风险管理领导者可以使用此技术成熟度曲线来评估解决方案并做出适当的采用决策。
《密码编码学与网络安全原理与实践》第四章第六章第七章 对称加密体制
m0_57291352的博客
08-06 970
对称加密包括分组密码和流密码分组密码:信息被分块(block)进行加密和解密,连续的明文元素使用相同的密钥K来加密,密文C=c1c2…=EK(m1)EK(m2)…C =c_1c_2…=E_K(m_1)E_K(m_2)…C=c1​c2​…=EK​(m1​)EK​(m2​)…。分组密码可以看作是一个字符长度很大代换——如64比特或更多。大部分的分组对称密码都基于Feistel结构。可逆变换是必要条件。设计”安全”的密码算法不难,只要使用足够多的轮数就可以,但降低速度,因此所有问题就是平衡问题。流密码:流密码中按
Web安全学习
荆鹏的博客
08-06 334
应用层:为用户为用户的应用进程提供网络通信服务协议——DNS协议、HTTP协议、HTTPS协议传输层:负责两台主机之间的数据传输,将数据从发送端传输到接收端协议——TCP协议、UDP协议网络层:负责传输的地址管理和路由选择,在众多复杂的网络环境中确定一条合适的路径协议——IP协议数据链路层:负责设备之间数据帧的传送和识别,将网络层传递的数据报封装成帧,在处于同一个数据数据链路节点的两个设备之间传输协议——ARP协议、MTU协议。
Django ORM
10-24
Django ORMDjango框架提供的一种对象关系映射(ORM)工具,它允许开发者使用Python代码来操作数据库,而不需要编写SQL语句。Django ORM提供了一种高级的、Pythonic的API,使得开发者可以更加方便地进行数据库操作。Django ORM支持多种数据库后端,包括MySQL、PostgreSQL、SQLite等。同时,Django ORM还提供了一些高级功能,如查询优化、事务管理、缓存等。开发者可以使用Django ORM来定义模型类,然后通过这些模型类来进行数据库操作,包括增删改查等。Django ORM还提供了一些查询API,如filter()、exclude()、order_by()等,使得开发者可以更加方便地进行复杂的查询操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值