Django下的Race Condition漏洞

最新推荐文章于 2024-05-22 16:48:23 发布
最新推荐文章于 2024-05-22 16:48:23 发布
阅读量2.5k 收藏 5
点赞数 16
分类专栏: 安全 数据库 文章标签: django python 后端 安全 web安全 3d 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68163788/article/details/134384147
版权

目录

环境搭建

无锁无事务的竞争攻击复现

无锁有事务的竞争攻击复现

悲观锁进行防御

乐观锁进行防御

环境搭建

首先我们安装源码包:GitHub - phith0n/race-condition-playground: Playground for Race Condition attack

然后将源码包上传到Ubuntu

为了方便使用我们可以对文件进行重命名

解压

unzip race-condition-playground-main.zip

备份env文件

root@utuntu000:~/race-condition# cp .env.default .env.default.bak
root@utuntu000:~/race-condition# mv .env.default .env

修改env文件内容:

原:DEBUG=true //因为这里不对
修改后:DEBUG=True

安装需要的库:

pip3 install -r requirements.txt

注:可以使用豆瓣源来下载,速度更快

生成数据表:migrate:

python3 manage.py migrate

 

使用python生成前端代码:

python3 manage.py collectstatic

使用python创建用户:

python3 manage.py createsuperuser

运行:

gunicorn -w 2 -k gevent -b 0.0.0.0:8080 race_condition_playground.wsgi
[2023-11-13 16:44:25 +0800] [9072] [INFO] Starting gunicorn 21.2.0
[2023-11-13 16:44:25 +0800] [9072] [INFO] Listening at: http://0.0.0.0:8080 (9072)
[2023-11-13 16:44:25 +0800] [9072] [INFO] Using worker: gevent
[2023-11-13 16:44:25 +0800] [9075] [INFO] Booting worker with pid: 9075
[2023-11-13 16:44:25 +0800] [9076] [INFO] Booting worker with pid: 9076

注:如果没有gunicorn工具,可以使用pip3 linstall 来安装

然后我们就可以尝试访问这个后台

然后我们就可以尝试访问一下admin

我们输入账号密码,成功的登录到了后台页面

我们现在就可以给用户增加一些钱:

然后我们在URL中访问

http://192.168.159.219:8080/ucenter/1/

 

我们尝试在amount中输入100

这里可以看到我们提交的金额大于所拥有的金额,会直接报错

无锁无事务的竞争攻击复现

我们首先进入到:/root/race-condition/templates

将form表单的提交方式修改为form-data流的形式

输入金额

先使用Burpsuite进行抓包(浏览器开启代理)

点击提交后

赋值内容,然后DROP这个包

关闭代理,再去查看一下金额:发现金额并没有改变

然后打开Yakit软件

点击本地的这个项目->打开项目,或看到这样一个页面

然后就来到了这里,然后将前面抓到的数据粘贴进这里:

POST /ucenter/1/ HTTP/1.1
Host: 192.168.159.219:8000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://192.168.159.219:8000/ucenter/1/
Content-Type: multipart/form-data; boundary=---------------------------366213157039382255462597162624
Content-Length: 366
Origin: http://192.168.159.219:8000
Connection: close
Cookie: __tins__21208037=%7B%22sid%22%3A%201699867069692%2C%20%22vd%22%3A%2011%2C%20%22expires%22%3A%201699870531399%7D; __51cke__=; __51laig__=11; csrftoken=PqAPXKFwTwIlbNyqhrelYxqbWgKPtsKjXdlcwxe3TqCfxT44ecNu3QLFhZWnRiaQ; sessionid=3kx07mweulpr4559s5gyfte6d2whwfna
Upgrade-Insecure-Requests: 1
​
-----------------------------366213157039382255462597162624
Content-Disposition: form-data; name="amount"
​
10
-----------------------------366213157039382255462597162624
Content-Disposition: form-data; name="csrfmiddlewaretoken"
​
2s3TnpbX4HE23G8XhBfoAaoyTXKUklEmafOgWcKu4ByWpMEBemOxFtJ2eGWsIb4T
-----------------------------366213157039382255462597162624--

可以将一些没有用的东西删除掉,删除完成后:

POST /ucenter/1/ HTTP/1.1
Host: 192.168.159.219:8000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Content-Type: multipart/form-data; boundary=---------------------------366213157039382255462597162624
Cookie: __tins__21208037=%7B%22sid%22%3A%201699867069692%2C%20%22vd%22%3A%2011%2C%20%22expires%22%3A%201699870531399%7D; __51cke__=; __51laig__=11; csrftoken=PqAPXKFwTwIlbNyqhrelYxqbWgKPtsKjXdlcwxe3TqCfxT44ecNu3QLFhZWnRiaQ; sessionid=3kx07mweulpr4559s5gyfte6d2whwfna
Upgrade-Insecure-Requests: 1
​
-----------------------------366213157039382255462597162624
Content-Disposition: form-data; name="amount"
​
10
-----------------------------366213157039382255462597162624
Content-Disposition: form-data; name="csrfmiddlewaretoken"
​
2s3TnpbX4HE23G8XhBfoAaoyTXKUklEmafOgWcKu4ByWpMEBemOxFtJ2eGWsIb4T
-----------------------------366213157039382255462597162624--

然后进行并发配置,然后发送

但是这里并没有测试成功,我们删除这条日志:

然后再为yps用户增加10块钱,用于测试

然后我们可以再次测试:

我们可以将重复发包数修改为1000再次尝试,但是还是没有成功(重复以上操作,直到成功)

可以看到,这里转发了两次,我们再看看日志

这里很明显购买了两次,我们只有10块钱,却购买了两次10块钱的东西,这里成功的利用竞争漏洞实现了攻击!

无锁有事务的竞争攻击复现

我们可以在源代码中增加事务(注:本代码中已经有了,不需要手动添加):

class WithdrawView2(BaseWithdrawView):
    success_url = reverse_lazy('ucenter:withdraw2')
 
    @transaction.atomic
    def form_valid(self, form):
        amount = form.cleaned_data['amount']
        self.request.user.money -= amount
        self.request.user.save()
        models.WithdrawLog.objects.create(user=self.request.user, amount=amount)
 
        return redirect(self.get_success_url())

然后删除之前的日志,然后为用户增加10元

重新抓包,相同的方法放到Yakit软件中

然后还是一样反复的使用对线程并发的发送请求:(多试试几次)

可以看到,还是出现了多个302跳转,说明事务无法阻止竞争型漏洞

从日志中也可以看到,成功了!

悲观锁进行防御

代码中的3页面就是使用了悲观锁进行防御

还是像上面一样来测试

这里就只展示多线程访问的结果:

可以看到只有一个302跳转,我们尝试多次也是这个结果,说明成功的访问到了

查看日志也可以看到是正常的:

但是这里还有一个问题就是:悲观锁会把读和写都锁住,性能会收到影响,那么我们就可以使用乐观锁进行防御

乐观锁进行防御

代码中的4页面就是使用了乐观锁进行防御

代码中的3页面就是使用了悲观锁进行防御

还是像上面一样来测试

这里就只展示多线程访问的结果:

这里的结果与悲观锁的结果是差不多的只有一个302跳转,我们尝试多次也是这个结果

乐观锁就是我们结果这个Race Condition漏洞的防御方案了!

但是我们还是要知道的是乐观锁并没有悲观锁安全,但是乐观锁的性能比悲观锁好

未知百分百
关注
  • 16
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
Django下防御Race Condition漏洞
离别歌
03-19 306
今天下午在v2ex上看到一个帖子,讲述自己因为忘记加分布式锁导致了公司的损失:我曾在《从Pwnhub诞生聊Django安全编码》一文中描述过关于商城逻辑所涉及的安全问题,其中就包含并发漏洞Race Condition)的防御,但当时说的比较简洁,也没有演示实际的攻击过程与危害。今天就以v2ex上这个帖子的场景来讲讲,常见的存在漏洞Django代码,与我们如何正确防御竞争漏洞的方法。0x01 P...
那些在CDH5中是bug,到了CDH6版本就修复了的问题
ClouderaHadoop的博客
09-27 691
盘点那些在CDH5中是bug,到了CDH6版本就修复了的问题。涉及到Hadoop、HDFS、YARN、HBASE、hive、hue、impala、kudu、oozie、solr、spark、kafka、parquet、zookeeper等组件。如果你的集群问题是被列出的这些,那么升级是可以解决问题的。 列出的只是部分的一百多个问题,Cloudera今年年底会停止CDH5的支持,对于CDH5的用户来说,升级是大势所趋。 问题 问题描述 HADOOP-12267 s3a failure due to int
【WEB】gunicorn走私漏洞
HWHXY的博客
12-16 1081
但其他的代理服务器则会认为是一个请求,因为没有Sec-Websocket-Key1的逻辑。这里需要自己计算不同的content-length在不同的proxy中的请求体内容。例如前端haproxy拒绝访问POST请求,但是gunicorn可以访问。那么借此就可以绕过gunicorn之外的一些服务器的限制。那么就将content_length强制赋值为8。burp开启自动更新则可以计算body的大小。gunicorn会认为上述请求是两个请求。关闭则可以自己repeat poc。则可以利用上述POC构造。
Race Condition漏洞
m0_63521991的博客
08-05 113
竞态条件((Race Condition))是指多个进程或线程在访问共享资源时的执行顺序无法确定,从而导致意外的结果。在Linux系统中,竞态条件可能会导致一些不安全的情况,例如文件的并发读写或竞争条件下的访问控制问题。
Race竞争型漏洞
meow的博客
08-02 449
竞争型漏洞Race Condition Vulnerability)是一种存在于并发编程中的安全漏洞。它通常发生在多个线程或进程同时访问和修改共享资源时,由于执行顺序的不确定性而导致意外的结果。多个线程或进程同时开始访问一个共享资源,例如一个变量或一个文件。这些线程或进程可能会按照不同的顺序执行操作,比如读取、写入或修改资源。如果操作的顺序不正确,就会导致不一致的状态或错误结果。举个例子来说明竞争型漏洞的风险。
原型链污染及Race漏洞
Mr_Rongyao的博客
08-03 98
通俗点说:原型链污染就是一个函数下的一个实例对象对该函数的原型进行了修改,然后让该函数下的其他对象访问这个函数时,就都会得到被修改后的原型对象。例// foo是一个简单的JavaScript对象 let foo = {
JS沙箱绕过以及竞争条件型漏洞复现
求大佬师傅带
08-02 551
JS沙箱绕过以及竞争条件型漏洞复现
python执行txt中代码_【技术分享】文件解压之过 Python中的代码执行
weixin_40008033的博客
11-23 142
预估稿费:200RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿一、前言Python中负责解压压缩文件的代码实现上并不安全,存在目录遍历漏洞,攻击者可以利用该漏洞覆盖__init__.py文件,实现任意代码执行。在PHP中,实现代码执行最为简单的一种方式就是利用PHP中不安全的文件上传处理逻辑。如果你可以欺骗文件上传逻辑,上传任意PHP文件,那么你就可以执行任意PHP代码...
django项目实战之漏洞扫描系统(源码+说明+演示视频).zip
06-10
python+Django+mysql 【实现功能】 本次的漏洞扫描主要是集中在对于端口的漏洞扫描,是通过对目标主机的端口和网络服务进行扫描来确认该主机是否存在后门和漏洞。将端口的扫描与漏洞扫描相分离,通过分开的方式来...
2023年Django大二下学期期末复习
06-05
2023年Django大二下学期期末复习
如何基于Django实现上下文章跳转
12-16
您可能感兴趣的文章:详解django使用include无法跳转的解决方法Django 在iframe里跳转顶层url的例子django写用户登录判定并跳转制定页面的实例django创建最简单HTML页面跳转方法在django中实现页面倒数几秒后自动...
docker下使用django的项,
03-10
docker下使用django的项目,GitHub链接: https://github.com/twtrubiks/docker-tutorial
基于python的web漏洞挖掘技术的研究(django).zip
07-06
基于python的web漏洞挖掘技术的研究(django) 关键词:Web漏洞挖掘;python;django;mysql; 本次技术通过利用Python技术来开发一款针对web漏洞挖掘扫描的技术,通过web漏洞的挖掘扫描来实现对网站URL的漏洞检测,...
使用 Django 显示表中的数据
huakej_的博客
05-21 581
当我们使用 Django 进行 Web 开发时,经常需要在 Web 页面上显示数据库中的数据。例如,我们可能需要在一个页面上显示所有用户的信息,或者在一个页面上显示所有文章的标题和作者。那么,如何使用 Django 来显示表中的数据呢?完成以上步骤后,我们就可以在浏览器中访问。URL 来查看所有用户的信息了。希望这些信息对您有所帮助!
Django 入门教程
最新发布
m0_65621281的博客
05-22 1232
path和re_path都是 Django 中的 URL 路由函数,用于将 URL 模式与视图函数进行关联。path函数用于匹配精确的 URL 路径。re_path函数用于匹配正则表达式。以上的类名代表了数据库表名,且继承了,类里面的字段代表数据表中的字段(name),数据类型则由CharField(相当于varchar)、DateField(相当于datetime), max_length 参数限定长度。
基于Django的图书管理系统
m0_46657126的博客
05-15 702
本网站调用Django编写了图书管理网站,可以在后端控制书籍,前端进行书籍预览项目基于python+django+mysql进行开发。
Django的快速入门——3项目的模型
xyh2004的博客
05-22 570
注意:Django使用MySQL数据库需要加载 MySQLdb模块,需要安装 mysqlclient,若已经安装请略过。默认情况下,配置使用SQLite。若不使用SQLite作为数据库,则需要额外的设置,例如 USER,PASSWORD和HOST必须加入。该 myappConfig班是在myapp/apps.py文件中,所以它的虚线路径'myapp.apps.myappConfig'。要将该应用程序包括在我们的项目中,我们需要在设置中添加对其配置类的引用INSTALLED_APPS。
Django1 漏洞
02-10
然而,随着版本的更新和开发人员使用的不当,Django 应用程序可能存在安全漏洞。 一些常见的 Django 1 漏洞包括: 1. 跨站脚本 (XSS) 攻击:攻击者可以在没有用户的知情的情况下注入恶意脚本,并在用户的浏览器中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未知百分百

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值