Django之sql注入,XSS攻击,CSRF攻击原理及防护

最新推荐文章于 2024-05-08 21:24:58 发布
最新推荐文章于 2024-05-08 21:24:58 发布
阅读量5.7k 收藏 9
点赞数 2
分类专栏: Django学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34964399/article/details/80531558
版权

sql注入的危害

非法操作用户数据库的数据来获取利益,
通过修改数据库来修改网页的内容,

注入木马等

比如下面的用户登录时进行sql注入

class LoginUnsafeView(View):
    def get(self,request):
        return render(request,'login.html')

    def post(self,request):
        user_name = request.POST.get('username','')
        pwd = request.POST.get('password','')

        import MYSQLdb
        conn = MYSQLdb.connect(host="127.0.0.1",user='root',password='root',db='test',charset='utf8')
        cursor = conn.cursor()
        sql_select = "select * from users_userprofile where email='{0}' and password='{1}' ".format(user_name,pwd)

        result = cursor.execute(sql_select)
        for row in cursor.fetchall():
            pass

Django的ORM是不会有sql注入的。他会将单引号等转义的。如果在登录页面随便写个错误的用户名后端不会查询到该用户,但是当在登录页面写上sql比如有 单引号和OR 语句, 后端能查询到sql注入的用户

点击 登录 ,后台就会查询到所有的数据。因为该sql注入,会使下面的查询为真的,这个1=1 就使条件为真



xss攻击

危害:

1 盗取各类用户帐户,如网银账户

2 盗取企业重要的具有商业价值的资料

3 非法转账

4 控制受害者及其向其他网站发起攻击,注入木马等

攻击流程


如果黑客发送的链接没有了“<” 那么xss发送来的script代码就无法执行了,所以可以通过以下方式防护

1 代码里对用户输入的地方和变量都需要仔细检查长度和对“>”,"<" ,  " ; " ,  " ' "等字符做过滤;
2 避免直接在cookie中泄露用户隐私,例如email、密码等等
3 通过使cookie和系统ip绑定来降低cookie泄露后的危险
4 尽量采用POST而非GET提交表单 


csrf攻击

csrf跨站请求伪造(Cross-site request forgery)的危害
1 以你名义发送邮件
2 盗取你的账号
3 购买商品
4 虚拟货币转账 

攻击原理


攻击示例过程


 

信任网站bank.com页面的情况下访问了wenxian.com(关闭后可能导致cookie消失,csrf攻击就无用了),这时浏览器会自动加载比如image中的代码(即危险网站要求访问bank网站),这时浏览器就会带着用户的cookie去访问bank网站,bank网站以为是用户就通过,从而达到了一次csrf(跨站请求伪造)攻击

上面的是get方式发起攻击,下面的post也能完成攻击,当用户点击了危险网站后,自动执行下面的post代码,完成攻击

所以在处理敏感数据的时候就用表单进行post提交,然后加上{% csrf_token %}。攻击网站即使生成自定义的csrf_token码也无法完成后台验证


xiaoa~
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Django注入
Ren59421的博客
05-13 581
Django靶场Django: the Web framework for perfectionists with deadlines. 要求: sql注入考题,利用漏洞django-cve_2019_14234,向系统里写一个以自己班级名字命名的文件。 1.进入靶场出现界面 由下图可知,存在用户admin 2.用户登录 进入登录界面 ,已知信息 用户admin 未知信息 密码 使用Burpsuite专业版进行爆破 2.1Burpsuite爆破 ...
Django注入信息
jxy191021的博客
05-13 251
1进入靶场 输入网址:Django: the Web framework for perfectionists with deadlines.进入靶场 2登录 输入Log in | Django site admin进入登录页面 2.1 查找用户名 利用authentucate(认证客户端)函数,认证存在的用户 输入http://110.40.154.100:8000/authentucate查找存在的用户 由上图可知这里的用户名为admin 2.2查找密码 打开ka.
CSRF, XSS, Sql注入原理和处理方案
weixin_33701564的博客
12-02 511
CSRF 含义 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSR...
Python 开发 框架安全:Django SQL注入漏洞测试.(CVE-2021-35042)
网络安全领域___专研者.
05-08 686
Django 是一个用 Python 编写的 Web 应用程序框架。它提供了许多工具和库,使得开发 Web 应用程序变得更加容易和高效。Django 遵循了“MTV”(模型-模板-视图)的设计模式,将应用程序的不同组件分离开来,使得开发人员可以更加专注于应用程序的不同方面。
Django SQL注入 (CVE-2022-28346)
weixin_46801402的博客
11-01 1082
Django SQL注入 (CVE-2022-28346)
基于Python入侵检测IDS系统2.0框架 html + css + jquery + python 3.9 +django
最新发布
05-19
基于Python入侵检测IDS系统2.0 框架 html + css + jquery + python 3.9 + django+ scapy...常见的一些攻击方式sql,xss,csrf,ssrf,arp,ddos 后期有时间的话本人会1 00更新一个实时监控的ids/ips防火墙 先获取网络信息,
基于Python入侵检测IDS系统3.0框架 html + css + jquery + python 3.9 +django
05-19
基于Python入侵检测IDS系统3.0 框架 html + css + jquery + python 3.9 + django+ scapy + snort 抓包工具 winshark,etherDetect,sniffer python manage.py runserver 0.0.0.0:8000...常见的一些攻击方式sql,xss,csrf,
手把手带你学会Django2.0框架
06-16
本课程是基于Python3.8和Django2.1.5框架进行讲解,主要内容有:1、模型模块学习内容大概是:模型分析、模型创建、模型迁移、模型查询等操作2、视图模块学习内容...7、安全内容大概是:CSRFXSS、点击劫持、SQL注入
Django Documentation Release 4.1.4
03-10
10. **Security** - Django重视安全性,提供了许多内置的安全功能,如CSRF防护XSS防护SQL注入防护等,但开发者仍需了解并遵循最佳安全实践。 11. **Internationalization and localization** - 国际化和本地化...
06.如何使用Django模板.mp4
01-18
Django提供了许多内置的功能和组件,包括: ORM(对象关系映射):Django的ORM允许开发人员使用...安全性:Django提供了一系列的安全性保护机制,包括防止跨站脚本攻击XSS)、跨站请求伪造(CSRF)和点击劫持等。
python+Django实现防止SQL注入的办法
01-02
先看看那种容易被注入的SQL id = 11001 sql = SELECT id, name, age FROM student WHERE id = +id+ cursor = connection.cursor() try: cursor.execute(sql) result = cursor.fetchall() for result1 in result: // 代码块
django框架防止XSS注入的方法分析
09-19
主要介绍了django框架防止XSS注入的方法,结合实例形式分析了XSS攻击原理Django框架防止XSS攻击的相关操作技巧,需要的朋友可以参考下
djongo sql注入漏洞(CVE-2021-35042)
qq_49279082的博客
02-23 199
Django靶场注入用户信息
m0_64118193的博客
05-13 614
Django靶场Django: the Web framework for perfectionists with deadlines. 要求: sql注入考题,利用漏洞django-cve_2019_14234,向系统里写一个以自己班级名字命名的文件。 1.进入靶场出现界面 使用函数authentucate(认证客户端)认证存在用户 由下图可知,存在用户admin 用户登录 进入登录界面 ,已知信息 用户admin 未知 密码 使用Burpsuite专业版进行爆破 Burpsui
django-sql注入攻击
随风逆流的蒲公英的博客
06-18 397
什么是sql注入注入本质上就是把输入的数据变成可执行的程序语句,所谓SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的查询,篡改命令。它能够轻易的绕过防火墙直接访问数据库,甚至能够获得数据库所在的服务器的系统权限。在Web应用漏洞中,SQL Injection 漏洞的风险要高过其他所有的漏洞。
Django SQL注入漏洞复现(CVE-2021-35042)
xiaobai_20190815的博客
04-08 6396
一、漏洞介绍 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器敏感信息泄露。利用方式:1、用户认证:不需要用户认证 2、触发方式:远程,属于高危漏洞。 二、影响版本 Django 3.2 Django 3.1 三、源码分析 在add_ordering()函数中,进行如下了五个判断:字段中是否带点、字段是否为问号、字段开头是否
什么是XSS攻击?什么是SQL注入攻击?什么是CSRF攻击
weixin_30480583的博客
01-10 178
1. XSS(Cross Site Script,跨站脚本攻击) 是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式。 1.1跨站脚本攻击分有两种形式: 反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论坛、微博发布含有恶意脚本的URL就属于这种方式) 持久型攻击(将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数...
django中安全sql注入
reblue520的专栏
12-16 381
模拟sql注入 使用原生sql语句编写login登录逻辑 class LoginUnsafeView(View): def get(self, request): return render(request, "login.html", {}) def post(self, request): user_name...
django 原理详解
03-28
Django 是一个基于 Python 的 Web 开发框架,它的核心思想是 DRY(Don’t Repeat Yourself),即避免重复的代码和逻辑。下面是 Django原理详解: MVC 模式 Django 遵循 MVC(Model-View-Controller)模式,即将应用程序分为三个部分: - 模型(Model):负责处理数据存储和检索。 - 视图(View):负责数据呈现和用户交互。 - 控制器(Controller):负责处理用户请求并返回响应。 在 Django 中,控制器和视图被合并成了一个中间件(Middleware),称为视图(View)。这样做的好处是可以将控制器的逻辑和视图的逻辑分离,使代码更加清晰。 ORM 框架 Django 使用 ORM(Object-Relational Mapping)框架来处理数据库操作。ORM 框架允许开发者使用面向对象的方式来操作数据库,而不需要直接写 SQL 语句。Django 的 ORM 框架支持多种数据库,包括 MySQL、PostgreSQL、SQLite 等。 路由系统 Django 的路由系统可以将 URL 映射到相应的视图函数上。路由系统是一个 URLconf(URL 配置)模块,它定义了 URL 和视图之间的映射关系。Django 的路由系统支持正则表达式和命名参数,可以方便地处理不同的 URL。 模板系统 Django 的模板系统使用 HTML、CSS 和 JavaScript 来构建用户界面。模板系统允许开发者将视图和模板分离,使代码更加清晰。模板系统支持模板继承、模板标签、模板过滤器等功能,可以方便地构建复杂的用户界面。 缓存系统 Django 的缓存系统可以缓存视图的输出结果,减少服务器负载和响应时间。缓存系统支持多种缓存后端,包括内存缓存、文件缓存、Redis 缓存等。 安全性 Django 的安全性得到了广泛的认可。Django 的安全功能包括 CSRF(Cross Site Request Forgery)保护、XSS(Cross Site Scripting)保护、SQL 注入保护等。 总结 Django 的核心思想是 DRY,它遵循 MVC 模式,使用 ORM 框架来处理数据库操作,具有强大的路由系统、模板系统、缓存系统和安全性。Django原理非常清晰,使开发者可以快速构建高质量的 Web 应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值