SECRET_KEY的重要性

最新推荐文章于 2024-08-28 10:27:56 发布
转载 最新推荐文章于 2024-08-28 10:27:56 发布 · 2w 阅读 · 13
文章标签:

#django #session #加密

本文介绍了Django框架中SECRET_KEY的作用及其安全性问题,包括如何通过SECRET_KEY进行加密和签名,以及不当使用session机制可能导致的安全风险。

SECRET_KEY作用

本质上是一个加密盐
SECTET_KEY 在 django在加密,安全方面都有很突出的用处

json object的签名

加密函数中必不可少的,密码重置,表单提交,csrf的key,session数据等等都是需要SELECT_KEY的

这里面就要重点讲到session的问题,在这里使用不当就会导致攻击代码执行

settings的session设置

django默认存储session到数据库中,但是可能会比较慢,就会使用到缓存,文件,还有cookie等方式

如果采用了cookie机制,settings配置如下:

SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'

版本问题:django 1.6以下

在django1.6以下,session默认是采用pickle执行序列号操作

在1.6及以上版本默认采用json序列化。代码执行只存在于使用pickle序列号的操作中。

session处理流程

可以简单的分为两部分
process_request负责选择session引擎

process_response初始化cookie数据

代码

class SessionMiddleware(object):
    def process_request(self, request):
        engine = import_module(settings.SESSION_ENGINE)
        session_key = request.COOKIES.get(settings.SESSION_COOKIE_NAME, None)
        request.session = engine.SessionStore(session_key)

process_response 是用来处理 返回给用户的信息,这包括有关cookie的一些信息,比如修改过期时间等等。

在将session存入缓存后,可能在某个操作中会用到session信息,这个时候就会通过反序列化操作从缓存中取SECRET__KEY

如果反序列化引擎是采用pickle机制的话就有可能存在攻击代码执行。

反序列化的代码位于django.core.signing.py中,这个模块主要是一些签名,加解密操作,同时也包含序列化和反序列化,默认采用JSON引擎

反序列化loads的代码:

def loads(s, key=None, salt='django.core.signing', serializer=JSONSerializer, max_age=None):
    """
    Reverse of dumps(), raises BadSignature if signature fails
    """
    base64d = smart_str(
        TimestampSigner(key, salt=salt).unsign(s, max_age=max_age))
    decompress = False
    if base64d[0] == '.':
        # It's compressed; uncompress it first
        base64d = base64d[1:]
        decompress = True
    data = b64_decode(base64d)
    if decompress:
        data = zlib.decompress(data)
    return serializer().loads(data)
其攻击方式为:
首先泄露了SECRET_KEY
其次session引擎采用了signed_cookies
之后就是根据SECRET_KEY反序列化得到所想要得到的。。。

注:

django版本小于1.6即存在攻击代码执行问题。
同样的问题也存在于python的其他web框架中,如flask,bottle。

Python - Django 框架 - 设置SECRET_KEY
学无止境
07-13 3996
请确保将’your-secret-key’替换为自己的实际密钥。这种方法简单直接,但在版本控制系统中共享代码时存在风险,因为密钥可以被他人看到。
flask中的session伪造问题
m0_62422842的博客
09-05 3417
flask中的session伪造问题,涉及两道ctf题目,一道主要考察session伪造,另一道session伪造与py反序列化结合考察。
SECRET_KEY&密钥
weixin_42696066的博客
08-23 1万+
SECRET_KEY配置变量是通用密钥,可在Flask和多个第三方扩展中使用,如其名所示,加密的强度取决于变量值的机密度,不同的程序使用不同的密钥 作用:主要是在其加密的过程中作为算法的一个参数,这个值的复杂度影响到了数据传输和存储时的复杂度 考虑到安全性,密钥最好存储在系统的环境变量中 下面生成密钥的一种方法: import os import base64 key = os.uran...
Flask的secret_key作用
技术广场
08-28 1661
secret_key是 Flask 应用的核心安全配置之一,它保护会话数据、防止 CSRF 攻击,并确保闪现消息和其他基于签名的安全机制的完整性和保密性。使用强随机值作为secret_key并妥善保护它,是确保 Flask 应用安全运行的关键步骤。如果你有更多的安全相关问题或需要进一步帮助,请随时联系我!
django setting.py中的SECRET_KEY
西京刀客
09-19 3679
当您使用 创建一个新的 Django 项目startproject时,该 settings.py文件会自动生成并获取一个随机 SECRET_KEY值。该值是保护签名数据的关键——确保其安全至关重要,否则攻击者可以使用它来生成自己的签名值。
Flask --(15) Flask 和 Django 里面的 secret_key 设置有什么用
Enjolras_fuu的博客
08-28 4090
Flask 和 Django 里面的 secret_key 设置有什么用 来源: https://segmentfault.com/q/1010000007295395 问题:在 flask 与 Django 的文档中都发现需要配置 secret_key 1. 这种 secret_key 有什么用吗? 2. 如果暴露它会产生哪些安全风险? jtr109 有用的. 引用一段 Flas...
详解Python的Flask框架中生成SECRET_KEY密钥的方法
09-21
#### SECRET_KEY重要性 `SECRET_KEY`主要用于保护应用中的会话数据。当用户通过浏览器与Flask应用交互时,Flask会利用`SECRET_KEY`对用户的会话信息进行加密处理。这包括但不限于用户的登录状态、表单提交数据等...
secret_key_tools_RSA_win.zip
03-18
本文将详细讲解如何使用“secret_key_tools_RSA_win.zip”这个针对Windows系统的RSA秘钥生成工具,以及其背后的RSA算法原理。 RSA是一种广泛应用于网络加密技术的公开密钥算法,由Ron Rivest、Adi Shamir和Leonard ...
Flask框架中SECRET_KEY密钥的作用
04-27
在 Flask 框架中,SECRET_KEY 是一个密钥,...总之,SECRET_KEY 在 Flask 中是非常重要的,它可以保护用户数据的安全性,防止恶意攻击。因此,在使用 Flask 开发应用程序时,必须要设置一个复杂、随机的 SECRET_KEY
小程序:授权、登录、session_key、unionId的详解
11-30
小程序调用`wx.login()`获取code,将code发送给服务器,服务器用code、appId和appSecret换取openId和session_key,以此识别用户。 2. **session_key的角色** - **获取用户信息**:session_key用于解密`wx....
Django的SECTET_KEY到代码执行
Fly_鹏程万里
03-18 647
背景 最近审查代码发现某些产品在登录的JS代码中泄露了SECRET_KEY,将该值作为密码加密的盐,这样就暴露了加密salt不太好吧,更重要的是对django的安全造成了极大的威胁。 SECRET_KEY作用 SECTET_KEY在djanog中使用非常广泛,基本上涉及到安全,加密等的地方都用到了,下面列举一些常见情景: 1,json object的签名 2,加密函数,如密码重置,表单,评论...
java项目的秘钥怎么保存_java生成秘钥key,并保存秘钥到文件中
weixin_30760143的博客
03-02 2426
本例子采用的是Java的对称加密其中的一种方式(3DES),其他的加密方式也类似。生成一个key秘钥,发送方使用生成的key秘钥进行加密操作,然后把生成的key秘钥保存到文件中,提供给需要解密的一方使用key秘钥进行解密操作。(期间一定要保存key秘钥不被泄露)package com.bobo.encryption.asymmetric;import java.io.BufferedReader;...
Django设置SECRET_KEY
Pert的博客
11-02 3740
在我们做完django项目后,向生产环境部署时,为了避免一些敏感信息被有心人利用,我们应该将其保护起来,比如说在settings配置中的一些密码等内容存在操作系统内,通过调用来使用,比如下面这种做法: 拿Django中的SECRET_KEY来说吧,其余如同数据库密码、邮箱密码等秘密内容都可以使用这种方式将其贮存在操作系统中。我使用的是python语言,这里要使用到python的os内置模块: os模块**:官方定义:This module provides a portable way of using.
Flask生成secret_key
Azx的博客
04-28 741
【代码】Flask生成secret_key
SECRET KEY - CSRF
Lyncai的专栏
02-10 779
secret key 与 csrf
App Key 和 App Secret 有什么用?
热门推荐
月月月的博客
02-07 2万+
App key简称API接口验证序号,是用于验证API接入合法性的。接入哪个网站的API接口,就需要这个网站允许才能够接入,如果简单比喻的话:可以理解成是登陆网站的用户名  App Secret简称API接口密钥,是跟App Key配套使用的,可以简单理解成是密码  App Key 和 App Secret 配合在一起,通过其他网站的协议要求,就可以接入API接口调用或使用API提供的各种功能
为什么要使用API KeySecret Key
yudajiangshan的博客
12-26 1万+
这是一对同时出现的账号密码,API Key 是用户的ID,Secret Key是密码。 正如一位网友说的“你需要两把钥匙,一把钥匙告诉他们你是谁,另一把钥匙证明你是你所说的人” 参考:https://cloud.tencent.com/developer/ask/41556 ...
Python编程:使用os.urandom生成Flask的秘钥SECRET_KEY
彭世瑜的博客
05-09 3476
Flask文档也提供了一种方式。
superset 的SECRET_KEY
最新发布
02-12
### 设置和使用 Superset 的 `SECRET_KEY` 在 Apache Superset 中,`SECRET_KEY` 是一个非常重要的安全参数,用于保护会话和其他敏感数据。为了确保系统的安全性,强烈建议自定义并妥善保管此密钥。 #### 创建随机生成的 `SECRET_KEY` 可以利用 Linux 命令行工具来生成高强度的随机字符串作为新的 `SECRET_KEY`: ```bash openssl rand -base64 42 ``` 该命令将会输出一串长度为42字符的Base64编码字符串,适合作为加密密钥[^3]。 #### 修改配置文件 找到 Superset 应用程序对应的库路径下的 `superset_config.py` 文件位置,并编辑之。如果不存在,则需手动创建。在此文件内添加如下代码片段以设定新产生的秘密键值对: ```python # superset_config.py import os SECRET_KEY = os.getenv('SUPERSET_SECRET_KEY', 'YOUR_OWN_RANDOM_GENERATED_SECRET_KEY') ``` 这里推荐通过环境变量的方式传递实际使用的密钥内容给应用程序实例化过程中的读取操作;而 `'YOUR_OWN_RANDOM_GENERATED_SECRET_KEY'` 则应替换为你之前通过 OpenSSL 工具获得的具体数值。 对于采用 Docker 部署方案的情况,还需要额外执行一些步骤以便让容器内部能够识别到外部修改过的配置项。具体做法是先停止正在运行的服务进程,接着把主机上的最新版配置文档复制进去覆盖旧版本,最后重新启动服务使更改生效[^4]: ```shell docker stop my_superset docker cp ./config.py my_superset:/app/superset/ docker start my_superset ``` 完成上述调整之后,再次尝试初始化数据库应该不会再遇到有关默认密钥检测失败的问题提示了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值