Django-常见的web攻击,及如何防止

最新推荐文章于 2023-03-03 20:15:00 发布
最新推荐文章于 2023-03-03 20:15:00 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: python Django html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jamin2018/article/details/79060515
版权
Django 同时被 3 个专栏收录
41 篇文章 0 订阅
订阅专栏
python
39 篇文章 0 订阅
订阅专栏
html
13 篇文章 0 订阅
订阅专栏

一.sql注入攻击及防范

1.危害

  • sql注入攻击的危害:非法读取、篡改、删除数据库中的数据
  • 盗取用户的各种敏感信息,获取利益
  • 通过修改数据库来修改网页上的内容
  • 注入木马
  • 等等

2.防范

  • django的orm查询和form表单验证都过滤了sql注入攻击

3.漏洞原理

  • 若用原生的查询方式,可以通过输入单引号 1=1(如:‘OR 1=1#)等特殊字符使原生的SQL语句代码被改变。

4.防范原理

  • 转义 单引号 1=1(如:‘OR 1=1#)等特殊字符


二.XSS(跨站脚本攻击)攻击及防范

1.危害

  • 盗取各种用户账号,如用户网银账号、各种管理员账号
  • 盗取企业重要的具有商业价值的资料
  • 非法转账
  • 控制受害者机器向其他网站发起攻击、注入木马
  • 等等

2.防范

  • 表单验证长度
  • 尽量采用POST而非GET提交表单
  • 避免直接在cookie中泄漏用户隐私

3.漏洞原理

  • 网站地址后面会带参数,如name='iphone6'
  • 黑客发现漏洞后,将name='iphone6'改为:name=<script>x=document.cookie;alert(x);</script>,将传递了js代码(这个代码看黑客怎么写)
  • 黑客装作原网站给受害者发送了一个带有该js代码参数的网站链接
  • 黑客获得cookie
  • 黑客就可以伪装受害者获取受害者的信息。
  • 总结:漏洞就是后端中没有过滤xss攻击的代码字段

4.防范原理

  • 首先代码里对用户输入的地方和变量都需要仔细检查长度和对  < , > , ; , ' 等字符做过滤。转义特殊字符。
  • 避免直接在cookie中泄漏用户隐私,例如email、密码等等通过使cookie和系统ip绑定来降低cookie泄漏后的危险
  • 尽量采用POST而非GET提交表单

三.csrf(跨站请求伪造)攻击及防范

1.危害

  • 以受害者的名义发送邮件
  • 盗取受害者的账号
  • 购买商品
  • 虚拟货币的转账

2.防范

  • 表单提交中添加{% csrf_token %}

3.漏洞原理

  • 黑客知道mybank网站的转账流程
  • 受害者在没有登出A网站的情况下访问黑客的网站
  • 黑客的网站有一个图片,图片的url地址是A网站的一个请求转账的url,如:<img src=http://www.mybank.com/Transfer/toBankId=11 & money=1000 >
  • 或者网站加载过程,js代码就默默的提交请求。
  • 受害者点击图片就在不知情的情况下转账给了黑客1000块钱

4.防范原理

  • 后端接收csrf_token值进行判断
Jamin2018
关注
专栏目录
django实战——常见web攻击与防范
爱吃串串的瘦子的博客
02-18 588
1.sql注入攻击与防范 2.xss攻击 3.csrf攻击   1.sql注入攻击与防范 sql注入的危害 非法读取、篡改、删除数据库中的数据 盗取用户的各类敏感信息,获取利益 通过修改数据库来修改网页上的内容 注入木马等   #不安全的登陆模式 class LoginUnsafeView(View): def get(self, request): ...
部署前清单:Django Web安全性
编程故事的地方
12-23 366
您已经知道Web安全对于防止黑客和网络窃贼访问敏感信息很重要。 因此,在本文中,我们将检查Django安全漏洞以及如何修复它们。 部署清单 首先,请通过以下命令检查您的安全漏洞: manage.py check --deploy 您会看到一些描述,这些描述提供了有关Django Web应用程序漏洞的信息。 尝试搜索这些安全问题,并在生产前修复它们。 Mozilla天文台 如果您已经部署了...
Web攻击手段
py_tamir的博客
11-01 220
1. XSS  [ cross site scripting ] 跨站脚本攻击 【防】对用户输入的数据进行HTML转义处理;   2. CSRF [cross site request forgery] 跨站请求伪造 【防】将cookie 设置为httponly; 添加token ; 通过referer 识别   3. SQL 注入攻击 【防】使用预编译语句 prepared s...
Django-Web安全防范
高一少年的博客
02-13 311
文章目录sql注入攻击跨站脚本攻击xss(Cross Site Scripting)CSRF跨站请求伪造(Cross Site Request Forgery) sql注入攻击 在直接采用sql语句或者不通过re验证 比如在用户登陆中,输入username为’ OR 1=1# 那位整个sql语句为true,即可拿到所有的用户信息 django的ORM即可以对输入字段进行转义验证 跨站脚本攻击xss...
常见web攻击手段
liuqi332922337的专栏
01-14 546
常见web攻击手段有: XSS攻击; CSRF攻击; SQL注入攻击: DDOS攻击。 XSS攻击XSS攻击:全称是跨站脚本攻击,指的是攻击者在脚本中嵌入恶意脚本程序,当用户打开网页时,脚本程序便开始在客户端的浏览器上执行,以盗取客户端COOKIE,用户名密码,下载执行病毒木马程序,甚至是获取客户端的admin权限。防范对用户输入的数据进行html转义处理,将其中的“尖括号”,“单引号”,“
django-trench:django-trench提供了一组REST API端点,以通过多因素身份验证(MFA,2FA)补充django-rest-framework。 它支持标准的内置身份验证方法以及JWT(JSON Web令牌)
02-04
**Django** 是一个广泛使用的Python web框架,它允许开发者快速、高效地构建高质量的Web应用。而 **Django REST Framework**(DRF)是针对Django的一个强大且灵活的工具集,专门用于构建RESTful API。DRF提供了许多...
pythonWeb框架Django-2.1
11-20
Python Web框架Django是用于构建高效、优雅且实用的Web应用程序的强大工具。Django 2.1是这个著名框架的一个版本,它包含了多项改进和新特性,旨在提升开发者的工作效率和应用性能。在这个版本中,Django进一步强化...
Django-中文教程.pdf
最新发布
07-04
- **安全性考量**:采取措施防止常见Web攻击,如XSS、SQL注入等。 #### 九、国际化与本地化 **知识点16:国际化** - **多语言支持**:实现多语言切换功能。 - **时区处理**:正确处理不同时区下的时间戳转换问题。...
django-readthedocs-io-en-stable.pdf
06-28
#### 1.14 常见Web应用工具 除了核心功能外,Django还支持集成多种第三方工具和服务。这包括但不限于搜索引擎索引、社交媒体认证、支付网关接口等。这些工具能够进一步增强应用的功能性和可用性。 #### 1.15 其他...
常见Web攻击手段-整理
nzz_1214
03-18 175
整理常见Web攻击手段: XSS攻击 CSRF攻击 SQL注入攻击 文件上传漏洞 DDoS攻击 其他攻击手段 XSS攻击 XSS(Cross Site Scripting)跨站脚本攻击,为了不与层叠样式表(CSS)混淆,故将跨站脚本攻击缩写为XSS。原理即在网页中嵌入恶意脚本,当用户打开网页时,恶意脚本便开始在用户浏览器上执行,以盗取客户端cookie、用户名、密码,甚至下载木马程式,危害可想而知。 以一个表单输入举例说明 <input type="text" name="fir
使用Python Django开发web应用16 安全
刘一凡的博客
08-13 1364
版本声明:转载请注明出处。未经允许,禁止商业用途。 使用Python Django开发web应用 安全 ----刘一凡 XSS Cross Site Script,跨站脚本攻击。为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故缩写为XSS。 一个恶意的使用者将代码注入网页,如果服务器不对用户提供的数据进行充分检查,当其它用户查看网页内容时,他的Web...
WEB常见攻击方式有哪些?如何防御?
茉莉蜜茶~~~
03-26 1633
一、 什么是web攻击 Web攻击WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为 如植入恶意代码,修改网站权限,获取网站用户隐私信息等等 Web应用程序的安全性是任何基于Web业务的重要组成部分 确保Web应用程序安全十分重要,即使是代码中很小的 bug 也有可能导致隐私信息被泄露 站点安全就是为保护站点不受未授权的访问、使用、修改和破坏而采取的行为或实践 我们常见Web攻击方式有 XSS (Cross Site Scripting) 跨站脚本攻击 CSRF(Cross-
web应用常见攻击手段
m0_50579386的博客
04-11 2450
根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击
常见Web攻击手段,拿捏了!
Cbuc丶的博客
08-15 1159
大家好,我是小菜。 一个希望能够成为 吹着牛X谈架构 的男人!如果你也想成为我想成为的人,不然点个关注做个伴,让小菜不再孤单! 本文主要介绍 互联网中常见Web 攻击手段 如有需要,可以参考 如有帮助,不忘 点赞 ❥ 微信公众号已开启,小菜良记,没关注的同学们记得关注哦! 午饭期间,读者小李与我闲聊,谈到上周去面试的过程。经典的高开低走,面试初期答的还可以,但是到后面却不尽人意。其中有个面试问题引起了我的注意,面试官当时问小李:你知道有哪几种常见Web 攻击手段吗? Web 攻击手段?对于开发
web常见攻击方式
热门推荐
weixin_50736511的博客
04-18 1万+
xss攻击 用户通过浏览器访问web网页,xss攻击通过各种办法在用户访问页面的时候,插入一些自己的代码或者脚本,让用户访问页面的时候,就可以执行这个脚本,攻击者通过插入的脚本的执行就会获得一些信息(比如cookie),发送到攻击者自己的网站,这就是跨站 xss的危害 1.挂马 把一个木马程序插入一个网站中,利用木马生成器生成一个网码,在传到服务器上,加上一写代码就可以让这个木马程序在打开网页的时候运行, 2.盗取用户的cookie 3.DDOS(拒绝服务)客户端浏览器 4.钓鱼攻击 5.删除目标文章,恶意
Web常见攻击方式
javagty6778的博客
03-03 1106
在上段代码中,我们可以看到攻击者在它的页面上构建了一个隐藏的表单,该表单内容就是一个某网站的转账接口,当用户打开该站点之后,这个表单就会被自动执行提交;攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击的网站发送跨站请求。4.当小明看到广告,点开链接,这时,恶意代码就存在在了小明的浏览器上,由于小明的淘宝处于登录状态,所以恶意代码可以获取小明的Cookie,故也能。诱骗用户点击URL带攻击代码的链接,服务器解析后响应,在返回的响应内容中隐藏和嵌入攻击者的XSS代码,被浏览器执行,从而攻击用户。
网络安全-常见web攻击手段
qq_45129167的博客
12-31 1922
1、XSS Cross Site Scripting 跨站脚本攻击 XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞Web⽹站注册⽤户的浏览器内运⾏⾮法的HTML标签或JavaScript进⾏的⼀种攻击。 跨站脚本攻击有可能造成以下影响: 利⽤虚假输⼊表单骗取⽤户个⼈信息。 利⽤脚本窃取⽤户的Cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求。 显示伪造的⽂章或图⽚。 XSS攻击分类 反射
Django:用于轻松安全 Web 开发的高级 Python Web 框架
努力是为了站在万人之中,成为别人的光
02-08 5148
Vue.js 快速入门实战以Vue.js的知识点为基础,结合TypeScript的使用,循序渐进地介绍了Vue.js 3.0(简称Vue3)的知识点和实战技巧,可以帮助零基础的读者掌握独立开发项目和部署项目上线的技术。
精通Django:Python Web开发实战指南
此外,书中可能还会涉及Django与其他技术的集成,例如与Google App Engine的结合,以及创建如博客、照片画廊、实时博客和Pastebin等常见Web应用的实例。同时,它也可能是面向初学者的教程,逐步引导读者从基础到高级...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值