django 常见web攻击及防范

最新推荐文章于 2024-06-03 12:41:45 发布
最新推荐文章于 2024-06-03 12:41:45 发布
阅读量1.3k 收藏 1
点赞数 2
分类专栏: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33127753/article/details/80890543
版权
本文介绍了Django框架中常见的三种Web攻击:SQL注入、XSS和CSRF,并详细阐述了每种攻击的危害。针对SQL注入,通过示例展示了如何利用未过滤的用户输入获取敏感信息。XSS攻击则可能导致用户信息被盗和恶意操作,防范措施包括输入检查和避免在cookie中存储隐私信息。最后,讨论了CSRF攻击的原理,如通过伪装用户进行恶意操作,防止CSRF的方法是在表单中使用CSRF令牌。
摘要由CSDN通过智能技术生成

from 慕课实战-强力Django+杀手级Xadmin打造在线教育平台

sql注入攻击与防范

sql注入的危害

  • 非法读取、篡改、删除数据库中的数据
  • 盗取用户的各类敏感信息,获取利益
  • 通过修改数据库来修改网页上的内容
  • 注入木马等

在参数中加入sql语句,没有对输入做安全性验证。
如在用户登录界面输入用户名:’ OR 1=1# 密码:任意输入
发现可以获取到我们数据库里面的用户名和密码。

xss攻击与防范

xss跨站脚本攻击(Cross Site Scripting)的危害

  • 盗取各类用户账号,如用户网银账号、各类管理员账号
  • 盗窃企业重要的具有商业价值的资料
  • 非法转账
  • 控制受害者机器向其他网站发起攻击、注入木马等等

xss攻击流程
这里写图片描述

这里写图片描述

xss攻击防护

  • 首先代码里对用户输入的地方和变量都需要仔细检查长度和对<>;’等字符做过滤
  • 避免直接在cookie中泄漏用户隐私,例如email、密码等
  • 通过使cookie和系统ip绑定来降低cookie泄漏后的危险
  • 尽量采用POST而非GET提交表单
最低0.47元/天 解锁文章
Hayley-L
关注
专栏目录
django实战——常见web攻击防范
爱吃串串的瘦子的博客
02-18 590
1.sql注入攻击防范 2.xss攻击 3.csrf攻击   1.sql注入攻击防范 sql注入的危害 非法读取、篡改、删除数据库中的数据 盗取用户的各类敏感信息,获取利益 通过修改数据库来修改网页上的内容 注入木马等   #不安全的登陆模式 class LoginUnsafeView(View): def get(self, request): ...
Django_xAdmin项目(二)之常见web攻击防范
Javascript && Python的博客
10-23 689
用户通过前端输入sql语句如 'OR 1=1# 等进行攻击 防范措施:前端进行表单校验,django的models中操作数据库的方法已经对sql注入的攻击进行了处理         伪造表单自动提交    csrf的攻击防范措施: 表单提交都要加{% csrf_token %}标识...
django 基于中间件实现限制ip频繁访问过程详解
09-18
主要介绍了django 基于中间件实现限制ip频繁访问过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Python爬虫攻击Django框架测试
热门推荐
zhu6201976的博客
08-03 7万+
结论:Django认证+权限+限流功能还是非常强大的,能反一般的爬虫,但若爬虫同时设置代理ip池+cookie池,还是照样可以拿到数据。 """ 1.django配置:任何人可访问,未登陆用户3次/分钟,登陆用户5次/分钟,requests发送请求测试 # 全局认证,单独配置无效,只做认证 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framew...
防止dos攻击
weixin_30655219的博客
05-27 181
#!/bin/bash while [ 1 -eq 1 ] do block_ip=`awk '{IP[$1]++} END{for (i in IP) {print i,IP[i]}}' /var/log/httpd/access_log | awk '$2>1000{print $1}'` block_source=`firewall-cmd --zone=block --...
python sql注入框架_Django SQL注入漏洞(CVE-2020-7471)威胁通告
weixin_39943799的博客
12-09 177
阅读:1,3732月3日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞(CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg,从而绕过转义并注入恶意SQL语句。漏洞概述2月3日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利...
Django为例谈谈XSS和CSRF攻击
Deft_MKJing的博客
05-19 1032
前言 在Web安全领域,XSS和CSRF两个是最常见攻击方式,由于最近在研究Django框架,阅读源码的同时分析下这两个攻击攻击方式和防御方式 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;在别人的站点嵌入脚本,而这个脚本原来不是属于这个站点的,所以叫跨站脚本,其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安...
Web常见攻击防范汇总
weixin_44568633的博客
03-29 513
文章目录Web常见攻击防范汇总一、SQL注入攻击防范1.什么是SQL注入?2.SQL注入原理剖析3.如何防范SQL注入?二、XSS攻击防范1.什么是XSS攻击?2.XSS攻击原理剖析3.如何防范XSS攻击?三、CSRF攻击防范(*敲重点)1.什么是CSRF攻击?2.csrf攻击原理剖析3.如何防范CSRF攻击? Web常见攻击防范汇总 伴随着Web2.0、社交网络、微博等一系列新型互联网...
198、Django安全攻略:全方位防护Web应用常见漏洞
最新发布
silenceallat的博客
06-03 1032
本文深入探讨了Python开发框架Django的安全性,重点介绍了如何防范常见Web安全漏洞。通过详细解释Django的安全特性和实用技巧,以及最佳安全实践,文章强调了在开发过程中持续关注和应用安全知识的重要性。结合案例分析,文章旨在帮助开发者构建既安全又可靠的Web应用程序,并保持对最新安全趋势的敏感度。
pythondjangoddos_初始Django
weixin_39767513的博客
12-09 96
开始玩耍DjangoDjango是一个开放源代码的Web应用框架,由Python写成。采用了MVT的框架模式;最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件框架是以比利时的吉普赛爵士吉他手Django Reinhardt来命名的django安装pip install django==2.0.4(版本号)pip install django默认安...
Django如何实现防止XSS攻击
12-16
一、什么是XSS攻击 xss攻击:—–>web注入   xss跨站脚本攻击(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。   我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cookie信息。 PS: 把用户输入的数据以安全的形式显示,那只能是在页面上显示字符串。 django框架中给数据标记安全方式显示(但
Django 防御 csrf 攻击的方式(包括ajax请求)
HYESC的博客
07-10 825
csrf攻击简要说明: 用户A现在登录了某银行网站的官网,浏览器记录了该网站生成的记录用户信息的cookie,而后用户A点击了钓鱼网站(该网站和银行网站长的一样),该钓鱼网站内有js代码向银行官网发起转账请求,此时该请求会自动携带记录用户信息的cookie值去访问银行官网进行转账操作,银行网站的后端若没有设置csrf防御机制,仅仅验证用户是否登录,就会认为该转账操作是该用户的合法操作。如果银行网站...
Django中CSRF攻击原理及其防御方式
Shaun_X
03-18 936
攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。
Django之XSS攻击
weixin_30568715的博客
08-06 386
Django之XSS攻击   XSS是什么:XSS是跨站脚本攻击。   XSS可以获取用户的信息,比如登录凭证Cookie,那样就可以登录用户的账号,但是在django中,XSS 是默认阻止的。因为在django中,a标签是字符串类型的。   比如在评论中提叫script的代码,会以字符串的形式显示出来。   views.py msg = [] def commen...
DjangoUEditor 1.9.143任意文件上传漏洞依然存在 黑客可以上传木马 但作者已经停止更新了...
weixin_34168880的博客
09-01 358
DjangoUeditor是将百度开发的富文本编辑器Ueditor移植到Django中的组件,它的使用率还是相当高的。经笔者测试,即便是现在可以下载使用的1.9.143版本中,依然存在着这个漏洞。 虽然这个漏洞距今已经快两年了,但DjangoUeditor于2015年1月17号后,再也没有更新过,见github上作者的说明: DjangoUedito...
python---Django常见web攻击防范
weixin_34357267的博客
03-31 435
1、sql注入攻击防范 2、xss攻击防范 3、csrf攻击防范 一、sql注入攻击防范 1、sql注入的危害: 非法读取、篡改、删除数据库中的数据 盗用用户的各种敏感信息,获取利益 通过修改数据库来修改网页上的内容 注入木马 2、攻击的方法: 项目中,执行数据库中操作不是用orm来编写,用原生的sql语句,例如登录页面: 1 from django...
最浅显易懂的Django系列教程(42)-XSS攻击
jspython的博客
05-14 362
XSS攻击 XSS(Cross Site Script)攻击又叫做跨站脚本攻击。他的原理是用户在使用具有XSS漏洞的网站的时候,向这个网站提交一些恶意的代码,当用户在访问这个网站的某个页面的时候,这个恶意的代码就会被执行,从而来破坏网页的结构,获取用户的隐私信息等。 XSS攻击场景: 比如A网站有一个发布帖子的入口,如果用户在提交数据的时候,提交了一段js代码比如:<script>alert("hello world");</script>,然后A网站在渲染这个帖子的时候,直接把这个
Django 实现有点安全的网站登录认证机制——口令爆破
Bcdfxg的博客
01-06 1725
这次讲登录认证机制最常见的漏洞,口令暴力破解
Django-常见web攻击,及如何防止
Jamin2018的博客
01-15 2296
一.sql注入攻击防范 1.危害 sql注入攻击的危害:非法读取、篡改、删除数据库中的数据盗取用户的各种敏感信息,获取利益通过修改数据库来修改网页上的内容注入木马等等 2.防范 django的orm查询和form表单验证都过滤了sql注入攻击 3.漏洞原理 若用原生的查询方式,可以通过输入单引号 1=1(如:‘OR 1=1#)等特殊字符使原生的SQL语句代码被改变
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值