Django下防御Race Condition漏洞

最新推荐文章于 2024-05-08 21:24:58 发布
最新推荐文章于 2024-05-08 21:24:58 发布
阅读量399 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: django python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/asasd101/article/details/129659577
本文通过一个实例展示了Django应用中如何遭受Race Condition攻击,详细解释了无锁无事务、无锁有事务时的竞争攻击,并提出使用悲观锁和乐观锁结合事务来防御这种并发漏洞。通过实验验证了悲观锁和乐观锁的有效性,提供了防止资产损失的解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天下午在v2ex上看到一个帖子,讲述自己因为忘记加分布式锁导致了公司的损失:

c1684f9e019bf8a3ebff1958e90a3b5d.png

我曾在《从Pwnhub诞生聊Django安全编码》一文中描述过关于商城逻辑所涉及的安全问题,其中就包含并发漏洞(Race Condition)的防御,但当时说的比较简洁,也没有演示实际的攻击过程与危害。今天就以v2ex上这个帖子的场景来讲讲,常见的存在漏洞的Django代码,与我们如何正确防御竞争漏洞的方法。

0x01 Playground搭建

首先,使用我这个Django-Cookiecutter脚手架创建一个项目,项目名是Race Condition Playground。

创建两个新的Model:

class User(AbstractUser):
    username = models.CharField('username', max_length=256)
    email = models.EmailField('email', blank=True, unique=True)
    money = models.IntegerField('money', default=0)

    USERNAME_FIELD = 'email'
    REQUIRED_FIELDS = ['username']

    class Meta(AbstractUser.Meta):
        swappable = 'AUTH_USER_MODEL'
        verbose_name = 'user'
        verbose_name_plural = verbose_name

    def __str__(self):
        return self.username


class WithdrawLog(models.Model):
    user = models.ForeignKey('User', verbose_name='user', on_delete=models.SET_NULL, null=True)
    amount = models.IntegerField('amount')

    created_time = models.DateTimeField('created time', auto_now_add=True)
    last_modify_time = models.DateTimeField('last modify time', auto_now=True)

    class Meta:
        verbose_name = 'withdraw log'
        verbose_name_plural = 'withdraw logs'

    def __str__(self):
        return str(self.created_time)

一个是User表,用以储存用户,其中money字段是这个用户的余额;一个是WithdrawLog表,用以储存提取的日志。我们假设公司财务会根据这个日志表来向用户打款,那么只要成功在这个表中插入记录,则说明攻击成功。

然后,我们编写一个WithdrawForm,其字段amount,表示用户此时想提取的余额,必须是整数:

class Withd
最低0.47元/天 解锁文章

200万优质内容无限畅学
落沐萧萧
关注
Django任意URL跳转漏洞(CVE-2018-14574)
jammny
01-25 2177
前言 Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身 Voulhub靶机平台环境搭建和使用: https://blog.youkuaiyun.com/qq_41832837/article/details/103948358 目录: 漏洞原理 漏洞详情 漏洞复现 ...
Django框架漏洞深度剖析:从漏洞原理到企业级防御实战指南——为什么你的Django项目总被黑客盯上?
最新发布
w2361734601的博客
05-16 929
Django为开发者筑起了一道城墙,但城门的钥匙仍在你手中。每一次raw()的随意使用、每一个|safe的天真信任、每一次对第三方库的盲目安装,都在为黑客铺路。记住:​​没有“绝对安全”的框架,只有“永不松懈”的开发者​​。(实战加固代码已开源至Github,搜索“Django安全加固宝典”获取一键脚本,涵盖本文所有防护方案)
Django URL跳转漏洞(CVE-2018-14574 )
weixin_50217210的博客
11-01 381
Django默认配置下,如果匹配上的URL路由中最后一位是/,而用户访问的时候没加/,Django默认会跳转到带/的请求中。即在path开头为//baidu.com的情况下,Django没做处理,导致浏览器认为目的地址是绝对路径,最终造成任意URL跳转漏洞。对那些末尾没加/的url自动填补/然后重新发起请求 所以如果在末尾加上了/是不会跳转成功的。3.只要在url后加上//想跳转的网页,即可实现跳转。命令:docker-compose up -d。复现环境:vulhub。
Django SQL注入漏洞
RhxrhxrR的博客
05-13 403
1.访问http://110.40.154.100:8000,可以看到Django的默认页面 2.访问http://110.40.154.100:8000/admin进入登录界面 输入账号密码进行登录 3.进入Collection的管理页面http://110.40.154.100:8000/admin/vuln/collection/ 4.GET参数中构造detail__a'b=123提交,其中detail是模型Collection中的JSONFie...
Django -CSRF漏洞
二进制杯莫停的博客
02-08 660
    跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 1 CSR...
django防御race condition漏洞项目
03-10
除此之外,合理使用Django的缓存框架也是防御race condition的有效手段之一。通过缓存可以减少对共享资源的直接访问次数,从而降低并发操作的可能性。同时,Django还提供了模型级别的锁机制,如select_for_update()...
防范Django项目中的Race Condition漏洞
在了解如何在Django项目中防御Race Condition漏洞之前,我们需要先明确几个关键概念,包括Race Condition(竞争条件)、它的成因以及在Web应用中可能出现的场景。之后,我们将针对Django框架提出一些防御措施。 ###...
相关业务问题+系统问题+设计问题整理统计
热门推荐
张彦峰的博客
04-07 171万+
业务系统及其他相关面试问题整理:线上相关问题排查+高并发系统的限流+高并发秒杀系统设计+负载均衡+一个网站有 20 亿 url 存在一个黑名单中,这个黑名单要怎么存?若此时随便输入一个 url,你如何快速判断该 url 是否在这个黑名单中?并且需在给定内存空间(比如:500M)内快速判断出?
Django SQL注入漏洞复现(CVE-2021-35042)
又菜又爱倒腾的博客
10-29 7268
#Django SQL注入漏洞(CVE-2021-35042)# 一、漏洞简介 Django是一个开放源代码的Web应用框架,由Python写成。采用了MVC的框架模式,即模型M,视图V和控制器C。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件。 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器
Django SQL注入漏洞复现(CVE-2021-35042)
xiaobai_20190815的博客
04-08 6884
一、漏洞介绍 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器敏感信息泄露。利用方式:1、用户认证:不需要用户认证 2、触发方式:远程,属于高危漏洞。 二、影响版本 Django 3.2 Django 3.1 三、源码分析 在add_ordering()函数中,进行如下了五个判断:字段中是否带点、字段是否为问号、字段开头是否
17 - vulhub - Django GIS SQL注入漏洞(CVE-2020-9402)
易编橙 · 终身成长社群,相遇已是上上签!
11-10 1986
文章目录漏洞名称:Django GIS SQL注入漏洞(CVE-2020-9402)影响版本漏洞原理漏洞复现漏洞利用限制环境准备漏洞利用漏洞漏洞漏洞详细分析修复建议 漏洞名称:Django GIS SQL注入漏洞(CVE-2020-9402) 简介: DjangoDjango基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django 1.11.29之前的1.11.x版本、2.2.11之前的2.2.x版本和3.0.4之前的3.0.x版本中存在S
Django debug page XSS漏洞(CVE-2017-12794)分析
mmdlm的博客
08-17 593
基本介绍Django 是一个由 Python 编写的一个开放源代码的 Web 应用框架。使用 Django,只要很少的代码,Python 的程序开发人员就可以轻松地完成一个正式网站所需要的大部分内容,并进一步开发出全功能的 Web 服务 Django 本身基于 MVC 模型,即 Model(模型)+ View(视图)+ Controller(控制器)设计模式,MVC 模式使后续对程序的修改和扩展简化,并且使程序某一部分的重复利用成为可能Django详情参考菜鸟教程。...
Django CSRF Bypass 漏洞分析(CVE-2016-7401)
Fly_鹏程万里
03-16 1275
0x00 漏洞概述 1.漏洞简介 Django是一个由Python写成的开源Web应用框架。在两年前有研究人员在hackerone上提交了一个利用Google Analytics来绕过Django的CSRF防护机制的漏洞(CSRF protection bypass on any Django powered site via Google Analytics),通过该漏洞,当一个网站使用了D...
漏洞复现】Django_debug page_XSS漏洞(CVE-2017-12794)
过期的秋刀鱼
11-05 860
1.11.5版本,修复了500页面中存在的一个XSS漏洞Django 1.11.5版本。再次刷新页面触发XSS。
Django开发框架多个安全漏洞
Yatere的天平秤
10-30 1366
影响版本: Django 1.2.5 Django 1.3 beta 1 Django 1.2.4 Django 1.2.2 Django 1.2 漏洞描述: Django是一款开放源代码的Web应用框架,由Python写成。 Django存在多个安全漏洞,允许攻击者获得敏感信息,操作数据,进行缓存毒药攻击或进行拒绝服务攻击。 1)当使用缓存后端django.contr
django version 2.1漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
03-21 383
django version 2.1漏洞,SQL注入漏洞CVE-2020-7471,CVE-2021-35042 CVE-2021-35042 Django SQL注入漏洞,StringAgg(分隔符)实现利用的潜在 sql注入。 django version 2.1漏洞内容概述:攻击者可通过构造分隔符传递给聚合函数。contrib.postgres.aggregates.StringAgg,从而绕过转义符号(\)并注入恶意SQL语句。 django version 2.1漏洞影响版本:1.11,2.2,3
Python 开发 框架安全:Django SQL注入漏洞测试.(CVE-2021-35042)
网络安全领域___专研者.
05-08 1923
Django 是一个用 Python 编写的 Web 应用程序框架。它提供了许多工具和库,使得开发 Web 应用程序变得更加容易和高效。Django 遵循了“MTV”(模型-模板-视图)的设计模式,将应用程序的不同组件分离开来,使得开发人员可以更加专注于应用程序的不同方面。
Django SQL注入漏洞分析(CVE-2022-28346)
蚁景网安学院
05-11 1579
Django 在2022年发布的安全更新,修复了在 QuerySet 的 annotate(), aggregate(), extra() 等函数中存在的 SQL 注入漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值