安全测试-django防御安全策略

django安全性
django针对安全方面有一些处理,学习如何进行处理设置,也有利于学习安全测试知识。

CSRF

跨站点请求伪造(Cross-Site Request Forgery,CSRF)是一种网络攻击方式,攻击者欺骗用户在自己访问的网站上执行恶意操作,通过利用用户当前的身份和权限,发送未经用户许可的请求。

通俗地说,假设你正在浏览社交媒体网站,并且已经登录。在另一个标签页中,你点击了一个通过电子邮件或其他途径获取到的恶意链接,而你并没有察觉它是恶意的。这个链接实际上是一个指向你的银行网站的请求,并且攻击者已经在链接中包含了一些恶意操作,例如转账给攻击者的账户。如果你刚好在银行网站上保持着登录状态,并且该网站没有适当的CSRF防御措施,那么这个恶意操作就可能成功执行。

常用防御措施

为了防御CSRF攻击,以下是一些常用的防御措施:

  1. CSRF Token:应用程序可以为每个用户生成一个唯一的CSRF令牌,并将其嵌入到请求中。提交的每个POST请求都需要包含这个令牌,并在服务器端进行验证。这样,恶意网站无法获取到有效的令牌,并且无法正确构造请求。

  2. SameSite Cookie:通过设置SameSite属性为Strict或Lax,可以限制Cookie仅在同一站点发起的请求中自动附加。这样可以防止跨站点请求攻击。

  3. 验证来源域名:服务器可以验证请求的来源域名,如果请求不来自合法的域名,则拒绝执行操作。可以使用Referer头、Origin头或检查host字段来验证来源。

  4. 双重确认:对于敏感操作,用户可以被要求输入额外的确认信息,例如密码、验证码等,以增加额外的安全层面。

  5. 安全编码实践:开发人员应遵循安全的编码实践,例如适当地转义和验证用户输入,避免在请求中泄露敏感信息等。

这些防御措施可以增加网站的安全性,从而防范CSRF攻击。然而,每个网站的情况可能不同,综合考虑错误消息、访问控制、安全审计等其他因素,定制和应用适合自己应用程序的CSRF防御策略是非常重要的。

django防御

1)CSRF 中间件默认在 MIDDLEWARE 配置中被激活。如果你覆盖了这个配置,请记住 ‘django.middleware.csrf.CsrfViewMiddleware’ 应该排在任何假设 CSRF 攻击已经被处理的视图中间件之前。
2) 在使用POST表单的模板中,模板添加

<form method="post">{% csrf_token %}

SQL注入

SQL 注入能让恶意用户能在数据库中执行任意 SQL 代码。这将导致记录被删除或泄露。

Django 的 querysets 在被参数化查询构建出来时就被保护而免于 SQL 注入。查询的 SQL 代码与查询的参数是分开定义的。参数可能来自用户从而不安全,因此它们由底层数据库引擎进行转义。

Django 也为开发者提供了书写 原始查询 或执行 自定义 sql 的权力。应当尽可能少地使用这些方法,并且您应该小心并准确地转义一切用户可控的参数。另外,在使用 extra() 和 RawSQL 时应当小心谨慎。

防御点击劫持-Clickjacking protection

防止网页被嵌入其他iframe里
浏览器支持 X-Frame-Options HTTP 头,它表明是否允许在框架或 iframe 中加载资源。如果响应包含值为 SAMEORIGIN 的头,那么只有当请求来自同一个网站时,浏览器才会在框架中加载资源。如果头被设置为 DENY,那么无论请求是由哪个网站发出的,浏览器都会阻止资源在框架中加载。

django点击劫持

https://docs.djangoproject.com/zh-hans/4.2/ref/clickjacking/#clickjacking-prevention
假设一家在线商店有一个页面,登录的用户可以点击“立即购买”来购买商品。用户为了方便,选择了保持登录商店。攻击者网站可能会在自己的一个页面上创建一个“I Like Ponies”按钮,并在一个透明的 iframe 中加载商店的页面,使“立即购买”按钮无形中覆盖在“I Like Ponies”按钮上。如果用户访问攻击者的网站,点击“I Like Ponies”将导致无意中点击“立即购买”按钮,并在不知情的情况下购买该商品。

django防御实例

如直接访问django应用
在这里插入图片描述
在这里插入图片描述
可以看到 X-Frame-Options被设置为DENY,禁止嵌入其他iframe。

一个包含iframe的html嵌入该地址

<!DOCTYPE html>
<html>
<head><title>包含 iframe 的页面</title>
</head>
<body><h1>这是一个包含 iframe 的页面</h1><iframe src="http://127.0.0.1:8000/polls/" width="500" height="300"></iframe>
</body>
</html>

访问这个html发现无法显示网页
在这里插入图片描述

用户上传内容攻击

用户上传内容攻击指的是恶意用户或攻击者通过在网站或应用程序上上传含有恶意代码或恶意文件的内容,以进行攻击或滥用。

这种攻击可能导致以下安全问题:

  1. 代码注入:攻击者可能上传包含恶意脚本的文件,这些脚本将在其他用户访问这些文件时在其浏览器中执行。这种攻击方式被称为代码注入或远程代码执行(Remote Code Execution,RCE),它可以导致被攻击用户的浏览器受到控制,执行任意恶意操作。

  2. 文件包含漏洞:攻击者可能上传包含敏感数据或系统文件路径的文件,以发现和利用文件包含漏洞。通过利用这些漏洞,攻击者可能能够读取、替换或删除系统上的重要文件。

  3. 恶意文件传播:攻击者可能上传包含恶意软件、病毒或勒索软件的文件。当其他用户下载或执行这些文件时,他们的计算机可能受到感染或遭受数据泄露、数据损坏或勒索等威胁。

常用安全措施

为了防御用户上传内容攻击,以下是一些常用的安全措施:

  1. 文件类型验证:限制用户上传的文件类型,并验证上传文件的扩展名和MIME类型。只允许上传可信和安全的文件类型,拒绝不明文件或高风险文件类型。

  2. 文件大小限制:限制上传文件的大小,避免超过服务器或应用程序的处理能力。

  3. 文件包含漏洞修复和安全配置:确保应用程序已修复可能导致文件包含漏洞的代码问题,并在服务器上进行适当的安全配置,以限制对敏感文件的访问,并避免暴露系统路径等信息。

  4. 安全的文件存储:将用户上传的文件存储在安全的位置,并采取措施确保文件不能通过直接访问进行执行或下载。将上传的文件存储在非Web可访问的目录中,使用服务器端脚本提供安全的读取和下载接口。

  5. 安全编码实践:在开发过程中,使用适当的输入验证和输出编码技术来防止代码注入和跨站脚本攻击(XSS)等安全问题。

综上所述,用户上传内容攻击是一个严重的安全威胁,应该在应用程序的设计、开发和维护过程中采取适当的安全措施来防御这种攻击,并定期进行安全审计和漏洞扫描以及及时修复发现的漏洞。

django建议

1)考虑从云服务或 CDN 提供静态文件服务来避免此类问题。
2)网络服务器配置中把这些上传文件限制在一个合理的大小,以防止拒绝服务(DOS)攻击。在 Apache 中,可以使用 LimitRequestBody 指令
3)确保像 Apache 的 mod_php 这种能把静态文件当作代码来执行的处理程序已经关闭
4)选择定义一个列表来限制允许用户上传的文件的扩展名

其他建议

  1. 确保你的 Python 代码是在网络服务器的根目录之外。这将确保你的 Python 代码不会被意外地作为纯文本提供(或意外地执行)。
  2. 小心一切 用户上传的文件。 Django 不会对认证用户的请求进行节流。为了防止针对认证系统的暴力攻击,你可以考虑部署一个 Django
    插件或网络服务器模块来节制这些请求。
  3. Keep your SECRET_KEY, and SECRET_KEY_FALLBACKS if in use, secret. 用防火墙限制缓存系统和数据库的可访问性是个好主意
  4. 看一下开源 Web 应用安全计划(OWASP)Top 10 list ,它指定了网络应用程序中一些常见的漏洞。尽管 Django
    拥有解决某些问题的工具,但在项目设计中必须考虑其他问题。
    2023版:https://owasp.org/API-Security/editions/2023/en/0x11-t10/
  5. Mozilla 讨论了很多与 web security相关的主题。他们的网页还包括适用于任何系统的安全原则。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/56558.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Python 包管理(pip、conda)基本使用指南

Python 包管理 概述 介绍 Python 有丰富的开源的第三方库和包&#xff0c;可以帮助完成各种任务&#xff0c;扩展 Python 的功能&#xff0c;例如 NumPy 用于科学计算&#xff0c;Pandas 用于数据处理&#xff0c;Matplotlib 用于绘图等。在开始编写 Pytlhon 程序之前&#…

【力扣】2813 子序列最大优雅度

class Solution//诡异的数据结构维护反悔贪心 { public:long long findMaximumElegance(vector<vector<int>>& items, int k){sort(items.begin(), items.end(), [](const auto &a, const auto &b){return a[0] > b[0];});//奇妙的排序方法long lon…

K8S最新版本集群部署(v1.28) + 容器引擎Docker部署(上)

温故知新 &#x1f4da;第一章 前言&#x1f4d7;背景&#x1f4d7;目的&#x1f4d7;总体方向 &#x1f4da;第二章 基本环境信息&#x1f4d7;机器信息&#x1f4d7;软件信息&#x1f4d7;部署用户kubernetes &#x1f4da;第三章 Kubernetes各组件部署&#x1f4d7;安装kube…

Linux(实操篇一)

Linux实操篇 Linux(实操篇一)1. 常用基本命令1.1 帮助命令1.1.1 man获得帮助信息1.1.2 help获得shell内置命令的帮助信息1.1.3 常用快捷键 1.2 文件目录类1.2.1 pwd显示当前 工作目录的绝对路径1.2.2 ls列出目录的内容1.2.3 cd切换目录1.2.4 mkdir创建一个新的目录1.2.5 rmdir删…

Linux环境搭建SVN服务器并实现公网访问 - cpolar端口映射

文章目录 前言1. Ubuntu安装SVN服务2. 修改配置文件2.1 修改svnserve.conf文件2.2 修改passwd文件2.3 修改authz文件 3. 启动svn服务4. 内网穿透4.1 安装cpolar内网穿透4.2 创建隧道映射本地端口 5. 测试公网访问6. 配置固定公网TCP端口地址6.1 保留一个固定的公网TCP端口地址6…

【HashMap】key和value能否为null

【HashMap】key和value能否为null 【一】HashMap【二】HashTable【三】ConcurrentHashMap【四】测试代码【五】底层代码分析 【一】HashMap &#xff08;1&#xff09;结论&#xff1a;HashMap对象的key、value值均可为null HashMap 的 key 和 value 都可以为 null 值。在 Jav…

Ubuntu20.04下安装搜狗输入法Linux版

Ubuntu20.04下安装搜狗输入法Linux版 参考搜狗输入法的官网安装指南&#xff1b; 第一步&#xff1a;打开搜狗输入法官网&#xff1b; https://shurufa.sogou.com/ 点击X86_64后将会自动跳转到搜狗输入法的安装指南中&#xff1b; 安装指南 Ubuntu搜狗输入法安装指南 搜狗…

Linux的Man Page知识记录

Man&#xff08;short for manual&#xff09; Page是Unix和Linux操作系统中的一个重要文档&#xff0c;提供命令、函数、系统调用等的详细介绍和使用说明。它是以纯文本的形式出现&#xff0c;通常在终端&#xff08;terminal&#xff09;中使用man命令访问。Man Page按照章节…

elementui的el-tabs标签页样式修改

一、官网样式&#xff1a; 二、修改样式 1.去掉下划线 效果&#xff1a; 代码: /* 去掉tabs标签栏下的下划线 */ ::v-deep .el-tabs__nav-wrap::after {position: static !important;/* background-color: #fff; */ } 2.改变下划线颜色 效果&#xff1a; 代码&#xff1a;…

Docker网络-探索容器网络如何相互通信

当今世界&#xff0c;企业热衷于容器化&#xff0c;这需要强大的网络技能来正确配置容器架构&#xff0c;因此引入了 Docker Networking 的概念。Docker 是一种容器化平台&#xff0c;允许您在独立、轻量级的容器中运行应用程序和服务。Docker 提供了一套强大的网络功能&#x…

QNAP(威联通)NAS外远程访问指南,免费内网穿透工具的应用和配置指导——“cpolar内网穿透”

文章目录 前言1. 威联通安装cpolar内网穿透2. 内网穿透2.1 创建隧道2.2 测试公网远程访问 3. 配置固定二级子域名3.1 保留二级子域名3.2 配置二级子域名 4. 使用固定二级子域名远程访问 前言 购入威联通NAS后&#xff0c;很多用户对于如何在外在公网环境下的远程访问威联通NAS…

Qt 自定义菜单、右键菜单

在接触Qt这段时间以来&#xff0c;经常遇到菜单项的问题&#xff08;右键菜单、托盘菜单、按钮菜单等&#xff09;&#xff0c;QMenu用于菜单栏,上下文菜单,弹出菜单等&#xff0c;利用QMenuQAction就可以达到效果&#xff01; 右键菜单实现&#xff1a;通过重写contextMenuEv…

【redis问题】Caused by: io.netty.channel

遇到的问题&#xff1a; 在使用 RedisTemplate 连接 Redis 进行操作的时候&#xff0c;发生了如下报错&#xff1a; 测试代码为&#xff1a; 配置文件&#xff1a; 问题根源&#xff1a; redis没有添加端口映射解决方案&#xff1a; 删除原来的redis容器&#xff0c;添加新…

stm32之11.USART串口通信

可以添加上拉电阻&#xff0c;但会增加功耗&#xff0c;传输距离变长 要添加库函数USART 官方参考文档说明书位置 ALT&#xff0b;左键可实现整体删除&#xff08;如下图&#xff09; 输出模式第三种模式AF ---------------------- 源码 远程控制pc端 #include <stm32f4x…

springboot服务端接口外网远程调试,并实现HTTP服务监听

文章目录 前言1. 本地环境搭建1.1 环境参数1.2 搭建springboot服务项目 2. 内网穿透2.1 安装配置cpolar内网穿透2.1.1 windows系统2.1.2 linux系统 2.2 创建隧道映射本地端口2.3 测试公网地址 3. 固定公网地址3.1 保留一个二级子域名3.2 配置二级子域名3.2 测试使用固定公网地址…

MDK 5.xx.0 + STM32F10x 笔记

天才脑袋比不上烂笔头, 写给自己看, 自用资料。 安装MDK STM32环境 Download MDK安装 MDK -> c:\keil_v5 用默认路径下载 ARMCC V5.06 Update 7 (build960) <- 长期稳定支持版本安装至 c:\keil_v5\arm\ARMCC开启 uVision.设定 预设编译程序版本 : V5.06 Update 7 (bui…

java 版本企业招标投标管理系统源码+功能描述+tbms+及时准确+全程电子化 tbms

​ 功能描述 1、门户管理&#xff1a;所有用户可在门户页面查看所有的公告信息及相关的通知信息。主要板块包含&#xff1a;招标公告、非招标公告、系统通知、政策法规。 2、立项管理&#xff1a;企业用户可对需要采购的项目进行立项申请&#xff0c;并提交审批&#xff0c;查…

数学系硕士研究生的科研过程——PDE约束下含参优化控制问题的深度学习算法

笔者今天上午收到了之前北大课题组老板的通知&#xff0c;得知研究生期间和学长合作的论文终于被siam接收&#xff0c;终于为自己研究生涯画上了一个句号。这里打算分享一下个人的科研过程以及这篇论文的工作&#xff0c;即将读研或者打算读研的同学或许可以从中获得益处。论文…

【数据结构】 队列(Queue)与队列的模拟实现

文章目录 &#x1f340;队列(Queue)的概念&#x1f38b;队列的使用&#x1f38d;队列的模拟实现&#x1f6a9;创建队列&#x1f6a9;入队列&#x1f6a9;出队列&#x1f6a9;获取队头元素&#x1f6a9;获取队列长度&#x1f6a9;判断是否为空&#x1f6a9;完整代码 &#x1f33…

软件工程(十三) 设计模式之结构型设计模式(一)

前面我们记录了创建型设计模式,知道了通过各种模式去创建和管理我们的对象。但是除了对象的创建,我们还有一些结构型的模式。 1、适配器模式(Adapter) 简要说明 将一个类的接口转换为用户希望得到的另一个接口。它使原本不相同的接口得以协同工作。 速记关键字 转换接…