[TOC] csrf:Cross Site Request Forgery protection 基于django中间件拷贝思想 跨站请求伪造简介 ps: 跨站请求伪造解决思路 方式1:form表单发post请求解决方法 下图是网站在form表单隐藏的随机字符串,那么属性就是settings文件中的 ...
分类:
其他好文 时间:
2019-12-06 09:34:06
阅读次数:
85
[TOC] 使用Django对中间件的调用思想完成自己的功能 中间件的调用只需要在配置文件中添加,如果不使用某个中间件,只需要在配置文件中将对应的字符串注释掉就可以,这种调用执行某一代码的方式是不是很方便呢?下面我们就利用Django对中间件的调用的思想,将自己的功能也实现和中间件一样的调用方式。 ...
分类:
其他好文 时间:
2019-12-06 00:38:48
阅读次数:
147
[toc] 今日内容 昨日回顾 基于配置文件的编程思想 importlib模块 利用字符串的形式导入模块 简单代码实现 跨站请求伪造csrf 1. 钓鱼网站 如何实现 模拟该现象的产生 2. 解决问题 django中的中间件 就是负责校验csrf的 如何识别如何判断当前请求是否是本网站发出的 防御C ...
分类:
其他好文 时间:
2019-12-06 00:00:19
阅读次数:
132
[TOC] importlib 模块 1. 利用字符串导入模块 2. 只能写到文件名为止,不能写内部的变量名 3. 利用反射解决变量名问题 基于django中间件的思想实现功能配置 1. 以模块的方式导入 2. 以配置文件的形式 跨站请求伪造csrf 1. 钓鱼网站原理 1. 模仿正规网站页面,提前 ...
分类:
其他好文 时间:
2019-12-05 22:42:37
阅读次数:
140
一、详解csrf原理 csrf要求发送post,put,或者delete请求的时候,是先以get方式发送请求,服务端响应时会分配一个随机字符串给客户端,客户端第二次发送post,put或delete请求的时携带上次分配的字符串到服务端进行校验。(大白话:用户开始的时候请求网站是发GET请求,之后服务 ...
分类:
其他好文 时间:
2019-12-05 22:37:44
阅读次数:
127
[toc] CSRF 跨站请求伪造 解决跨站伪造问题: csrf 相关的装饰器: csrf.js文件: ...
分类:
其他好文 时间:
2019-12-05 22:34:48
阅读次数:
116
1. 使用burpsuite的csrf poc选项,可以生成HTML代码 2. json CSRF flash + 307跳转 https://github.com/sp1d3r/swf_json_csrf ...
分类:
其他好文 时间:
2019-12-05 18:27:51
阅读次数:
124
本周内容 ? 今日内容 ? ajax结合sweetalert实现删除按钮动态效果 ? bulk_create批量插入数据 ? 自定义分页器 ? 多对多三种创建方式 ? 明日内容 ? forms组件 ? cookies与session操作 ? django中间件 ? 跨站请求伪造csrf ? auth ...
分类:
其他好文 时间:
2019-12-03 21:30:27
阅读次数:
122
CSRF全称Cross Site Request Forgery,即跨站点请求伪造,通过伪装成受信任用户的请求来利用受信任的网站。如果使用的zblog应用有通过cmd.php处理的链接,或提交数据,应该同时提交一个token参数。另外,您的应用如果有副作用,也务必需要加入CSRF Token。 通过 ...
分类:
Web程序 时间:
2019-11-30 09:58:01
阅读次数:
101
CSRF攻击 CSRF漏洞的发生 相比XSS,CSRF的名气似乎并不是那么大,很多人都认为CSRF“不那么有破坏性”。真的是这样吗? 接下来有请小明出场~~ 小明的悲惨遭遇 这一天,小明同学百无聊赖地刷着Gmail邮件。大部分都是没营养的通知、验证码、聊天记录之类。但有一封邮件引起了小明的注意: 甩 ...
分类:
其他好文 时间:
2019-11-28 19:26:29
阅读次数:
84
