Python Trytond模块中的Many2Many字段安全限制绕过漏洞

最新推荐文章于 2025-11-25 11:44:22 发布
最新推荐文章于 2025-11-25 11:44:22 发布
阅读量97 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: python 安全 oracle Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CodeHeroicX/article/details/133316287
Python 专栏收录该内容
280 篇文章 ¥59.90 ¥99.00
订阅专栏
Trytond是一个ERP框架,其Many2Many字段可能导致安全限制绕过。由于中间关联表没有访问控制,用户可能绕过安全规则创建、删除或修改关联记录。修复方法是在中间关联表上定义自定义访问规则,并在Many2Many字段中引用,以限制对中间关联表的访问,提高系统安全性。

Trytond是一个用于构建企业资源规划(ERP)和业务应用的开源框架。它提供了许多功能强大的模块,包括数据库模型的定义和管理。在Trytond中,Many2Many字段用于在两个模型之间建立多对多的关系。然而,如果不正确地使用Many2Many字段,可能会导致安全限制绕过漏洞。本文将详细介绍这个漏洞的原理,并提供相应的源代码示例。

安全限制绕过漏洞的原理是由于Many2Many字段的默认行为。在Trytond中,Many2Many字段默认情况下会自动创建一个中间关联表来管理两个模型之间的多对多关系。这个中间表包含了两个模型的主键作为外键,并且还包含了其他用于管理关系的字段。这些字段中,常见的一个是"rec_name"字段,用于指定关联记录的名称。

然而,由于Many2Many字段的默认行为,Trytond没有对中间关联表进行访问控制。这意味着任何用户都可以直接操作中间关联表,绕过Trytond中定义的安全规则。这种情况下,可能会导致未经授权的关联记录的创建、删除或修改。

下面是一个简单的示例来演示这个漏洞:

from trytond.model import ModelSQL, fields
from trytond
了解本专栏 订阅专栏 解锁全文
Odoo13中many2one字段类型指定不同的form view
fqfq123456的专栏
11-18 711
Odoo中many2one字段类型指定不同的form view,实现也非常简单,只需要在context中指定form_view_ref <field name="fuj" context="{'form_view_ref': 'jkbz.fujian_form'}"/>
Odoo 17 Many2one字段内联编辑完整实现方案
fqfq123456的专栏
06-21 153
本文详细介绍了在Odoo17中实现Many2one字段内联编辑并隐藏公司名的完整解决方案。主要内容包括:1)模型关系定义,通过计算字段自定义显示名称;2)视图配置的两种方式(内联表单和自定义小部件);3)提供自定义小部件方案和覆盖name_get方法的两种实现途径;4)详细说明权限配置、常见问题解决和性能优化建议。文章强调推荐使用自定义小部件+计算字段的方案,既保持数据关联性,又能优化用户体验。最后总结了实现要点:创建M2OPersonWidget、添加计算字段、正确配置视图选项等关键步骤。
odoo中模型类的多对多字段(Many2many)
Mogul的博客
04-14 4142
Many2many字段的源码,以及字段属性的说明 只看Many2many的初始化的函数 def __init__(self, comodel_name=Default, relation=Default, column1=Default, column2=Default, string=Default, **kwargs): super(Many2many, self).__init__( comodel_name=como.
odoo one2many many2many字段只能添加一条数据
隔壁小红馆
04-28 674
针对一个模型里有one2manymany2many字段需要只能添加一条数据,然后只能编辑不能新建。 查找好多资料都不能解决此问题。 可以换个思路来解决,既然是只能是一条数据,那就来给one2manymany2many字段默认一个值,在xml里面去掉创建的按钮, 具体如下: 这样就解决了对于 one2manymany2many字段的只能是一条的数据了。 ...
Odoo中,对于Many2one 字段搜索更多长度调整。
王帅的博客
08-20 805
今天在开发过程中,遇到一个需求。就是针对Many2one 字段,在下拉选择时,搜索更多按钮添加,是数据超过7个以后,会默认添加搜索更多按钮。 如何实现,将长度7个出现的搜索更多,设置为,长度大于3个,就显示搜索更多。 解决办法: 1、在web模块下,static/src/js/fields/relational_fields.js 2、修改inti 初始化方法中,this.limit = 7; 这里。 修改后,全部的Many2one 字段,数据超过3个后,会默认添加搜索更多出来。而不是7个
【odoo15】在Many2One的字段中显示字段值的组合
ONLYSRY的博客
04-13 858
在name这个字段中添加name与serial_number的组合 代码部分: serial_number = fields.Char(string="序列号", copy=False, readonly=True, default=lambda self: _('NEW')) name = fields.Char(tracking=True, required=True) def name_get(self):
odoo14 many2many关联字段赋值详解及one2many字段定义及赋值
lucky_fd的博客
05-30 9417
简介:实际项目开发中经常需要涉及到表与表之间数据的交互关联,Odoo中关联字段就是用来绑定表与表之间数据主从关系的。 Odoo中的关联字段有: Many2one 主表中创建一个字段来存储从表记录的id。这就意味着主表的每条记录只能关联从表中的一条记录。打个比方,银行卡记录表是主表,我们的身份证是从表,每张银行卡只能属于一个人,也就是每张银行卡只能关联一个身份证。 One2many 和上边的Many2one是相反的,主表是身份证,从表是银行卡,一个身份证可以拥有多张银行卡。One2manyMany.
odoo 通过按钮来创建新记录 给one2many字段设定默认值
qq_45260977的博客
06-03 1390
header><button id="button_create_form" name="action_create_form" string="创建转移单" class="btn-primary" type="object"/></header>按钮的HTML DOM ID用于前端JavaScript操作和CSS样式定位按钮关联的后端方法名对应模型中的 def action_create_form(self) 方法string=“创建转移单” :按钮显示文本。
odoo14 many2many字段类型变化记录追踪
lucky_fd的博客
04-14 1484
odoo自带的mail.thread模块具备字段变化记录功能,不过针对One2manyMany2many字段不生效 具体原因可以查看odoo源码中odoo/addons/mail/models/mail_tracking_value.py 中45行create_tracking_values函数中的处理 字段追踪及消息记录参考我另一篇文章:https://blog.youkuaiyun.com/weixin_44863237/article/details/123736932?spm=1001.2014.3001.
odoo14 关联字段many2one many2many按条件筛选显示记录
lucky_fd的博客
02-19 5840
简介:我们在使用关联字段时有时候需要对关联的记录进行筛选显示或者更改关联字段的显示值,我这里整理了三种方法方便大家参考。 场景1:针对不同的群体,many2one字段显示出来可供选择的记录不同 场景2:不想用odoo默认的many2one字段显示值,想自定义显示值 静态筛选是使用字段自带的domain参数进行筛选,这种方式是程序一运行就会执行,没办法根据实际的参数设置筛选条件,所以只能实现固定筛选。...............
如何在 Odoo 16 中对 Many2Many 字段使用 Group by
weixin_62077901的博客
07-05 536
但如果 many2many 字段中的值为 2,则它将以逗号 (,) 显示,如 tag1、tag2 等,因为它是一个字符字段。中,您无法按 many2many 字段分组,因为可以使用 many2many 记录选择任何记录。您可以创建一个替代 Many2Many 字段来计算来自 many2many 字段的值。您可以根据需要提供域名,因为可以在已保存的字段中简单搜索。Many2many 字段Many2one 字段类似,如何在 Odoo 16 中对 Many2Many 字段使用 Group by
Odoo中many2many字段设置不可删除行的方法
在Odoo框架中,"many2many"是表示多对多关系的字段类型。在使用Odoo的多对多字段时,通常...在实际开发过程中,开发者可以根据具体的业务场景和需求来选择合适的方法,实现对many2many字段中记录删除行为的精确控制。
26、绕过API安全控制与速率限制测试技巧
blue的专栏
09-11 81
本文详细介绍了绕过API安全控制和速率限制的测试技巧,涵盖使用Burp Suite和Wfuzz自动化绕过WAF的方法,以及识别和应对速率限制的策略。通过实战案例分析,展示了如何综合运用路径绕过、源头发送方欺骗和IP地址旋转等技术手段,有效突破API的安全防线。适用于安全研究人员和测试人员提升API安全测试能力。
YOLO 训练车牌定位模型 + OpenCV C++ 部署完整步骤
西部秋虫的博客
11-25 395
本文详细介绍了使用YOLOv8训练车牌定位模型并通过OpenCV C++部署的完整流程。主要内容包括:1)数据集准备与标注,使用LabelImg工具生成YOLO格式数据;2)YOLOv8模型训练,重点参数配置和模型优化;3)模型转换为ONNX格式以适应OpenCV DNN模块;4)C++部署实现,包括VS环境配置、预处理、推理和后处理代码详解。整个过程从数据采集到最终部署,提供了关键参数设置和常见问题解决方案,实现高效准确的车牌检测系统。
Java总结进阶之路 (基础二 )
2509_94006474的博客
11-24 630
提示:java总结学习之路。
Python全栈开发项目——AI智能聊天机器人
qiao_yue的博客
11-24 581
本项目实现了AI聊天功能,具有语音输入和聊天背景自定义等亮点功能
使用python的pywin32库实现CANape工程自动化案例
qq_42746084的博客
11-24 804
摘要 本教程介绍使用Python控制CANape进行自动化数据采集与MF4文件分析的方法。主要内容包括: 环境配置:需Windows系统、CANape软件、Python 3.8+及相关库(pywin32、asammdf等) 核心功能: 通过COM接口控制CANape 实现基础数据采集、条件触发录制、定时批量采集等功能 支持批量标定参数写入与验证 提供MF4文件离线分析方案 典型应用案例: 基础数据采集与保存 基于信号阈值的触发录制 定时批量数据采集 批量标定参数验证 技术实现: 使用win32com操作CA
四、python其它高级语法
最新发布
2301_79964758的博客
11-25 290
本文介绍了Python中的迭代器和生成器概念。迭代器通过实现__iter__和__next__方法实现惰性加载,示例演示了自定义迭代器模拟range功能。生成器是迭代器的语法糖,通过推导式或yield关键字创建,具有内存占用小的优势(示例显示生成器仅占用192字节,而列表占用8448728字节)。此外还介绍了property属性的两种实现方式:装饰器方式(@property和@属性名.setter)和类属性方式(property()函数),用于将方法封装为属性访问。
98-爬取租房网站信息-1
11-24 166
import aiohttp #异步的网络请求模块。import asyncio #异步请求。操作系统:windows11。语言:Python3.10。开发环境:PyCharm。#导入伪造头部的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值