flask源码阅读笔记(2)-session相关

最新推荐文章于 2023-11-27 12:51:03 发布
最新推荐文章于 2023-11-27 12:51:03 发布
阅读量324 收藏 1
点赞数
分类专栏: Python相关 WebService flask
本文为博主原创文章,未经博主允许不得转载。更多精彩,微信公众号关注: 大数据与实时计算!
本文链接:https://blog.csdn.net/u013128262/article/details/81074312
版权
Python相关 同时被 3 个专栏收录
21 篇文章 0 订阅
订阅专栏
WebService
5 篇文章 0 订阅
订阅专栏
flask
2 篇文章 0 订阅
订阅专栏

一、session的使用与常识

1.参考flask官方demo实现如下一段代码

# encoding: utf-8
"""
@version: 1.0
@author: pierrexiong
@file: my_session
@time: 2018/7/17 上午12:00
"""
from flask import Flask, session, redirect, url_for, escape, request

app = Flask(__name__)


@app.route('/')
def index():
    if 'username' in session:
        return 'Logged in as %s' % escape(session['username'])
    return 'You are not logged in'


@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'POST':
        session['username'] = request.form['username']
        return redirect(url_for('index'))
    return '''
        <form action="" method="post">
            <p><input type=text name=username>
            <p><input type=submit value=Login>
        </form>
    '''


@app.route('/logout')
def logout():
    # remove the username from the session if it's there
    session.pop('username', None)
    return redirect(url_for('index'))


# set the secret key.  keep this really secret:
app.secret_key = 'A0Zr98j/3yX R~XHH!jmN]LWX/,?RT'

if __name__ == '__main__':
    app.run()

【图片一】
这里写图片描述

基于代码可看出,flask的session是基于cookie实现的,这样可以实现不同请求间存储特定用户的信息,实现用户状态的保持。

当然flask对cookie的安全做了一些基础的加固:

  • cookie是httponly的,这样js就不能获取到,一定程度可以防范xss攻击。
  • cookie的值是可签名的(与app.secret_key的值相关 )。这意味着用户可以查看你 Cookie 的内容,但却不能修改它,除非用户知道签名的密钥。

二、实现原理和源码阅读

正如前文所说flask的session基于cookie实现,相关基础源码见sessions.py,核心安全部分是基于itsdangerous实现(http://itsdangerous.readthedocs.io/en/latest/)

# 生成session
    def save_session(self, app, session, response):
        domain = self.get_cookie_domain(app)
        path = self.get_cookie_path(app)

        # If the session is modified to be empty, remove the cookie.
        # If the session is empty, return without setting the cookie.
        if not session:
            if session.modified:
                response.delete_cookie(
                    app.session_cookie_name,
                    domain=domain,
                    path=path
                )

            return

        # Add a "Vary: Cookie" header if the session was accessed at all.
        if session.accessed:
            response.vary.add('Cookie')

        if not self.should_set_cookie(app, session):
            return

        httponly = self.get_cookie_httponly(app)
        secure = self.get_cookie_secure(app)
        samesite = self.get_cookie_samesite(app)
        expires = self.get_expiration_time(app, session)
        val = self.get_signing_serializer(app).dumps(dict(session))
        response.set_cookie(
            app.session_cookie_name,
            val,
            expires=expires,
            httponly=httponly,
            domain=domain,
            path=path,
            secure=secure,
            samesite=samesite
        )

如上述代码所示,我们使用save_session来生成并保存我们的session。其中不难看出,最终还是将下列值set到cookie里面:

  • cookie是否httponly
  • cookie的值,核心部分,使用到get_signing_serializer这个方法
  • cookie的domain
  • cookie的path
  • cookie的secure值:是否使用https传递cookie
  • cookie的samesite:同站问题
  • cookie的expires值:浏览器保存的周期
# 打开session并进行校验
    def open_session(self, app, request):
        s = self.get_signing_serializer(app)
        if s is None:
            return None
        val = request.cookies.get(app.session_cookie_name)
        if not val:
            return self.session_class()
        max_age = total_seconds(app.permanent_session_lifetime)
        try:
            data = s.loads(val, max_age=max_age)
            return self.session_class(data)
        except BadSignature:
            return self.session_class()

flask打开session时会读取cookie的val,并使用签名来验证是否有效

    salt = 'cookie-session'
    digest_method = staticmethod(hashlib.sha1)
    key_derivation = 'hmac'
    serializer = session_json_serializer
    def get_signing_serializer(self, app):
        if not app.secret_key:
            return None
        signer_kwargs = dict(
            key_derivation=self.key_derivation,
            digest_method=self.digest_method
        )
        return URLSafeTimedSerializer(app.secret_key, salt=self.salt,
                                      serializer=self.serializer,
                                      signer_kwargs=signer_kwargs)

在SecureCookieSessionInterface类中会使用上述方法生成签名, 其中URLSafeTimedSerializer就是来自itsdangerous。

一旦app.secret_key泄露,则整个session体系将变得不安全。
(后面有时间可以模拟因泄露secret_key而进行的web攻击)

其他

1.指定cookie的名字及配置:

app.session_cookie_name = 'flask_session'
# permanent_session_lifetime 设置session保持时间

2.session数据结构:字典(不细讲)

3.flask_login的安全加固

4.session在模板里面的作用

5.新版本推荐使用session_interface在操纵session

三、总结

flask官方的session实现,依然是俗套的方法:
1. 将session的内容序列化到浏览器的cookie
2. 浏览器再次请求时将反序列化cookie内容

flask在安全上的保证:
1. cookie本身的一些安全防护(httponly等)
2. 基于itsdangerous的签名:内容序列化+时间+防篡改值

四、参考

https://blog.csdn.net/yueguanghaidao/article/details/40016235
https://www.jianshu.com/p/9d8928cbb21d

pierre94
关注
专栏目录
spring-session-data-redis-2.0.4.RELEASE-API文档-中文版.zip
06-26
赠送jar包:spring-session-data-redis-2.0.4.RELEASE.jar; 赠送原API文档:spring-session-data-redis-2.0.4.RELEASE-javadoc.jar; 赠送源代码:spring-session-data-redis-2.0.4.RELEASE-sources.jar; 赠送...
flask session 安全问题 和 python 格式化字符串漏洞
闵行小鱼塘
11-16 1029
ctf题中遇到了伪造session和python的格式化字符串漏洞,这里做个小结
【CTF】buuctf web(五)——[HCTF 2018]admin——flask session伪造+Unicode欺骗
m0_52923241的博客
08-23 1971
[HCTF 2018]admin 这里有两个选项,点击register注册一个新账户 下面这就算是登进来了 查看源码 提示you are not admin,可能需要登录admin才能获取我们想要的东西
flask关于请求知识点
NQ31
01-30 439
一、Request对象 1、概述 flask的request对象主要是封装了解析出来的报文中的数据,其大部分功能是依赖werkzeug完成,每个request对象之间都是线程隔离,保证了数据的安全性 2、request对象常用的方法/属性 2.1常用方法 请求例子的url : http:127.0.0.1:5000/index/?age=18 属性 作用 例子 path 获取不...
flask中的session伪造问题
m0_62422842的博客
09-05 2793
flask中的session伪造问题,涉及两道ctf题目,一道主要考察session伪造,另一道session伪造与py反序列化结合考察。
网络安全CTF流量分析-基础1-FlaskSession流量解密
m0_51198141的博客
11-27 1332
1.admin用户的密码是多少2.app.config['SECRET_KEY']的3.flask网站由哪个用户启动4.攻击者写入的内存马的路由名叫什么这道题整体来说包比较小,但是流量的内容全都是加密的,如果对解密不熟练解决起来就会有困难,其中的FlaskSession的解密还是比较有意思。写的不是很好,有问题欢迎师傅们留言指出基础的篇章开始。
redis-session-manager-redis-session-manager-2.2.0.zip
06-02
在压缩包的文件名称列表中,只给出了"redis-session-manager-redis-session-manager-2.2.0",这可能是整个项目的根目录或者包含项目源码的顶级文件夹。通常,这样的结构可能会包括以下部分: 1. `README`或`README....
redis-session-manager-redis-session-manager-2.0.2.zip
06-02
标题中的"redis-session-manager-redis-session-manager-2.0.2.zip"表明这是一个针对Redis Session Manager的2.0.2版本的软件包,通常包含了该版本的源码、编译好的二进制文件或者相关配置文件。 描述中提到"redis-...
redis-session-manager-redis-session-manager-2.2.1.zip
最新发布
06-02
1. **源代码**:包括Java或其他语言实现的Session Manager的源码,供开发者研究和定制。 2. **编译好的二进制文件**:预编译的可执行文件或JAR包,可以直接在Windows环境下运行。 3. **配置文件**:如`config....
redis-session-manager-redis-session-manager-2.0.2.tar.gz
06-02
1. **源代码**:Java、Python或其他语言实现的Redis Session Manager的源代码,供开发者阅读和修改。 2. **文档**:包括用户手册、API参考、配置指南等,帮助开发者了解如何安装和使用该工具。 3. **示例**:可能...
Python高效开发实战 Django Tornado Flask Twisted 中文版 完整版 带书签
08-13
Python高效开发实战 Django Tornado Flask Twisted, 中文版,完整版,带书签目录。
flask session安全问题(转载)
weixin_44140395的博客
10-04 1773
摘自I春秋 yanzm 师傅的文章。原文链接:https://bbs.ichunqiu.com/thread-53404-1-1.html 侵删 本篇文章主要以一个ctf选手的视角来讲一下flask session所可能存在的问题,既然提到了session,那么首先普及一下session这个知识点,简单来说session是浏览器与服务器交互的会话,这个session可以来验证访问者的身份,大多数的session都是保存在服务器的,但是也有少部分是客户端session,就比如我们今天所要将的flask框架
[BUUCTF][HCTF 2018]admin
cosmoslin的博客
11-16 1200
考点 flask session伪造 unicode欺骗 条件竞争 法一:flask session伪造 查看源码,提示you are not admin,猜测需要admin登录 注册登录,网站功能页面很多,依次查看源码,在change password界面发现源码 是一个flask框架,进入routes.py,看一下注册和登录部分的源码 @app.route('/register', methods = ['GET', 'POST']) def register(): if current_
CTFshow-菜狗杯-flask session伪造-抽老婆
qq_31415417的博客
01-02 1507
CTFshow-菜狗杯-flask session伪造-抽老婆
python_CPU多进程处理
ssslevel的博客
01-29 756
job是需要多进程处理的函数;multicpu执行多进程处理;pool是一个任务池,输入参数空默认使用cpu的所有核心,输入参数为某一数字确定使用核心个数。Queue存储进程输出,Prrocess建立进程,target为目标函数,args为输入参数;start(),开始进程;join()执行进程;map函数执行进程池任务,参数一为待执行job函数,参数二为可迭代输入参数序列。cpu有多个核心,在默认的程序运行中只使用了一个核心,其它的核心处于闲置状态。最后返回[1000000, 1000, 1];
Flasksession伪造
TenG的博客
05-22 4297
前言 本文结合CTF中遇到的题目来说一下session伪造,虽然已经有很多师傅写了,而且写的都特别好,但是还是想自己记录一下,也方便以后复习。ciscn中就有一个session伪造的题,由于之前没有做过就没做出来,还是有点遗憾的。但比较戏剧性的是,上午比赛刚结束,下午刷BUU的时候就遇到了同样的题目。嗐,还是自己太菜,下面就结合BUUCTF中的[HCTF 2018]admin来说一下,文中比较拙劣的地方还请师傅们指正一下。参考文章 正文 本来这个题是有三种解法的,分别是:flask session伪造、Un
flask 自定义session机制
JackLiu16的博客
09-09 2062
# flask原生session机制,cookie中返回session加密的value class SecureCookieSessionInterface(SessionInterface): """The default session interface that stores sessions in signed cookies through the :mod:`i...
性能爆炸!Python多进程模式实现多核CPU并行计算
2301_80240808的博客
11-13 6407
随着计算机硬件的不断发展,多核CPU已经成为普及的硬件设备,利用多核CPU的优势可以有效的提高程序的执行效率。而多进程模式可以实现多核CPU的并行计算。Python作为一门高级编程语言,提供了多进程、多线程等多种方式来实现并行计算。在本文中,我们将重点介绍在Python中如何利用多进程模式提高程序的执行效率。在Python中,使用多进程模式可以实现多核CPU的并行计算,从而提高程序的执行效率。
【Python】多进程线程与CPU核数
littlemichelle
11-03 5560
多进程数量设置为CPU核数,或者略小于CPU核数;多线程数量,如果是CPU密集任务设为1;如果是IO密集设为合理的
掌握Java源码阅读:常用代码块分析与实战笔记技巧
资源摘要信息:"如何查看Java源码以及阅读Java源码笔记方法" 在Java开发中,理解语言特性和框架设计往往需要深入阅读Java的源码。以下是如何高效地阅读Java源码以及如何记录笔记的详细指南: 1. 理解Java源码的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值