Flask模拟实现CSRF攻击的方法


Posted in Python onJuly 24, 2018

CSRF

CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。

CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。

包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......

造成的问题:个人隐私泄露以及财产安全。

CSRF攻击示意图

客户端访问服务器时没有同服务器做安全验证

Flask模拟实现CSRF攻击的方法

防止 CSRF

1.在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值

2.在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token

3.在用户点击提交的时候,会带上这两个值向后台发起请求

4.后端接受到请求,以会以下几件事件: •从 cookie中取出 csrf_token

  • 从 表单数据中取出来隐藏的 csrf_token 的值
  • 进行对比

5.如果比较之后两值一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作

代码演示

未进行 csrf 校验的 WebA

后端代码实现

from flask import Flask, render_template, make_response

from flask import redirect

from flask import request

from flask import url_for

 

app = Flask(__name__)

 

 

@app.route('/', methods=["POST", "GET"])

def index():

  if request.method == "POST":

    # 取到表单中提交上来的参数

    username = request.form.get("username")

    password = request.form.get("password")

 

    if not all([username, password]):

      print('参数错误')

    else:

      print(username, password)

      if username == 'laowang' and password == '1234':

        # 状态保持,设置用户名到cookie中表示登录成功

        response = redirect(url_for('transfer'))

        response.set_cookie('username', username)

        return response

      else:

        print('密码错误')

 

  return render_template('temp_login.html')

 

 

@app.route('/transfer', methods=["POST", "GET"])

def transfer():

  # 从cookie中取到用户名

  username = request.cookies.get('username', None)

  # 如果没有取到,代表没有登录

  if not username:

    return redirect(url_for('index'))

 

  if request.method == "POST":

    to_account = request.form.get("to_account")

    money = request.form.get("money")

    print('假装执行转操作,将当前登录用户的钱转账到指定账户')

    return '转账 %s 元到 %s 成功' % (money, to_account)

 

  # 渲染转换页面

  response = make_response(render_template('temp_transfer.html'))

  return response

 

if __name__ == '__main__':

  app.run(debug=True, port=9000) 

前端登录页面代码

<!DOCTYPE html>

<html lang="en">

<head>

  <meta charset="UTF-8">

  <title>登录</title>

</head>

<body>

 

<h1>我是网站A,登录页面</h1>

 

<form method="post">

  <label>用户名:</label><input type="text" name="username" placeholder="请输入用户名"><br/>

  <label>密码:</label><input type="password" name="password" placeholder="请输入密码"><br/>

  <input type="submit" value="登录">

</form>

 

</body>

</html>

前端转账页面代码

<!DOCTYPE html>

<html lang="en">

<head>

  <meta charset="UTF-8">

  <title>转账</title>

</head>

<body>

<h1>我是网站A,转账页面</h1>

 

<form method="post">

  <label>账户:</label><input type="text" name="to_account" placeholder="请输入要转账的账户"><br/>

  <label>金额:</label><input type="number" name="money" placeholder="请输入转账金额"><br/>

  <input type="submit" value="转账">

</form>

 

</body>

</html>

运行测试,如果在未登录的情况下,不能直接进入转账页面,测试转账是成功的

攻击网站B的代码

后端代码实现

from flask import Flask

from flask import render_template

 

app = Flask(__name__)

 

@app.route('/')

def index():

  return render_template('temp_index.html')

 

if __name__ == '__main__':

  app.run(debug=True, port=8000)

前端代码实现

<!DOCTYPE html>

<html lang="en">

<head>

  <meta charset="UTF-8">

  <title>Title</title>

</head>

<body>

 

<h1>我是网站B</h1>

 

<form method="post" action="http://127.0.0.1:9000/transfer">

  <input type="hidden" name="to_account" value="999999">

  <input type="hidden" name="money" value="190000" hidden>

  <input type="submit" value="点击领取优惠券">

</form>

 

</body>

</html>

运行测试,在用户登录网站A的情况下,点击网站B的按钮,可以实现伪造访问

在网站A中模拟实现 csrf_token 校验的流程

添加生成 csrf_token 的函数

# 生成 csrf_token 函数
def generate_csrf():
  return bytes.decode(base64.b64encode(os.urandom(48)))

在渲染转账页面的,做以下几件事情:

  • 生成 csrf_token 的值
  • 在返回转账页面的响应里面设置 csrf_token 到 cookie 中
  • 将 csrf_token 保存到表单的隐藏字段中
@app.route('/transfer', methods=["POST", "GET"])

def transfer():

  ...

  # 生成 csrf_token 的值

  csrf_token = generate_csrf()

 

  # 渲染转换页面,传入 csrf_token 到模板中

  response = make_response(render_template('temp_transfer.html', csrf_token=csrf_token))

  # 设置csrf_token到cookie中,用于提交校验

  response.set_cookie('csrf_token', csrf_token)

  return response

在转账模板表单中添加 csrf_token 隐藏字段

<form method="post">

  <input type="hidden" name="csrf_token" value="{{ csrf_token }}">

  <label>账户:</label><input type="text" name="to_account" placeholder="请输入要转账的账户"><br/>

  <label>金额:</label><input type="number" name="money" placeholder="请输入转账金额"><br/>

  <input type="submit" value="转账">

</form>

运行测试,进入到转账页面之后,查看 cookie 和 html 源代码

Flask模拟实现CSRF攻击的方法

在执行转账逻辑之前进行 csrf_token 的校验

if request.method == "POST":

  to_account = request.form.get("to_account")

  money = request.form.get("money")

  # 取出表单中的 csrf_token

  form_csrf_token = request.form.get("csrf_token")

  # 取出 cookie 中的 csrf_token

  cookie_csrf_token = request.cookies.get("csrf_token")

  # 进行对比

  if cookie_csrf_token != form_csrf_token:

    return 'token校验失败,可能是非法操作'

  print('假装执行转操作,将当前登录用户的钱转账到指定账户')

  return '转账 %s 元到 %s 成功' % (money, to_account)

运行测试,用户直接在网站 A 操作没有问题,再去网站B进行操作,发现转账不成功,因为网站 B 获取不到表单中的 csrf_token 的隐藏字段,而且浏览器有同源策略,网站B是获取不到网站A的 cookie 的,所以就解决了跨站请求伪造的问题

在 Flask 项目中解决 CSRF 攻击

在 Flask 中, Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单

在 FlaskForm 中实现校验

设置应用程序的 secret_key

用于加密生成的 csrf_token 的值

app.secret_key = "#此处可以写随机字符串#"

在模板的表单中添加以下代码

<form method="post">

  {{ form.csrf_token() }}

  {{ form.username.label }} {{ form.username }}<br/>

  {{ form.password.label }} {{ form.password }}<br/>

  {{ form.password2.label }} {{ form.password2 }}<br/>

  {{ form.submit }}

</form>

渲染出来的前端页面为:

Flask模拟实现CSRF攻击的方法

设置完毕,cookie 中的 csrf_token 不需要我们关心,会自动帮我们设置

单独使用

设置应用程序的 secret_key

用于加密生成的 csrf_token 的值

app.secret_key = "#此处可以写随机字符串#"

导入 flask_wtf.csrf 中的 CSRFProtect 类,进行初始化,并在初始化的时候关联 app

from flask.ext.wtf import CSRFProtect
CSRFProtect(app)

如果模板中有表单,不需要做任何事。与之前一样:

<form method="post">

  {{ form.csrf_token }}

  ...

</form>

但如果模板中没有表单,你仍需要 CSRF 令牌:

<form method="post" action="/">
  <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。 

Python 相关文章推荐
python实现的二叉树算法和kmp算法实例
Apr 25 Python
python超简单解决约瑟夫环问题
May 12 Python
Python实现快速计算词频功能示例
Jun 25 Python
Python获取Redis所有Key以及内容的方法
Feb 19 Python
windows上安装python3教程以及环境变量配置详解
Jul 18 Python
Django上使用数据可视化利器Bokeh解析
Jul 31 Python
python opencv调用笔记本摄像头
Aug 28 Python
python3检查字典传入函数键是否齐全的实例
Jun 05 Python
keras topN显示,自编写代码案例
Jul 03 Python
利用python对mysql表做全局模糊搜索并分页实例
Jul 12 Python
Python3爬虫里关于识别微博宫格验证码的知识点详解
Jul 30 Python
python图片灰度化处理的几种方法
Jun 23 Python
Python全排列操作实例分析
Jul 24 #Python
python保存网页图片到本地的方法
Jul 24 #Python
python中reader的next用法
Jul 24 #Python
使用Flask集成bootstrap的方法
Jul 24 #Python
用python统计代码行的示例(包括空行和注释)
Jul 24 #Python
Python 删除整个文本中的空格,并实现按行显示
Jul 24 #Python
Python常见MongoDB数据库操作实例总结
Jul 24 #Python
You might like
Drupal 添加模块出现莫名其妙的错误的解决方法(往往出现在模块较多时)
2011/04/18 PHP
postfixadmin忘记密码后的修改密码方法详解
2016/07/20 PHP
thinkPHP实现多字段模糊匹配查询的方法
2016/12/01 PHP
PHP获取链表中倒数第K个节点的方法
2018/01/18 PHP
php进程daemon化的正确实现方法
2018/09/06 PHP
javascript Math.random()随机数函数
2009/11/04 Javascript
基于编写jQuery的无缝滚动插件
2014/08/02 Javascript
Jquery实现兼容各大浏览器的Enter回车切换输入焦点的方法
2014/09/01 Javascript
JavaScript基础篇(3)之Object、Function等引用类型
2015/11/30 Javascript
详解Bootstrap四种图片样式
2016/01/04 Javascript
react+redux的升级版todoList的实现
2017/12/18 Javascript
vue利用axios来完成数据的交互
2018/03/23 Javascript
使用JavaScript实现node.js中的path.join方法
2018/08/12 Javascript
深入理解与使用keep-alive(配合router-view缓存整个路由页面)
2018/09/25 Javascript
koa大型web项目中使用路由装饰器的方法示例
2019/04/02 Javascript
webgl实现物体描边效果的方法介绍
2019/11/27 Javascript
js实现九宫格布局效果
2020/05/28 Javascript
Python操作串口的方法
2015/06/17 Python
Django 生成登陆验证码代码分享
2017/12/12 Python
python3爬取淘宝信息代码分析
2018/02/10 Python
pandas数据清洗,排序,索引设置,数据选取方法
2018/05/18 Python
详解python函数的闭包问题(内部函数与外部函数详述)
2019/05/17 Python
pytorch 模型可视化的例子
2019/08/17 Python
python opencv实现证件照换底功能
2019/08/19 Python
python获取array中指定元素的示例
2019/11/26 Python
Flask框架搭建虚拟环境的步骤分析
2019/12/21 Python
python接口自动化如何封装获取常量的类
2019/12/24 Python
如何定义TensorFlow输入节点
2020/01/23 Python
解决pyqt5异常退出无提示信息的问题
2020/04/08 Python
python3实现将json对象存入Redis以及数据的导入导出
2020/07/16 Python
意大利在线药房:Farmacia Loreto Gallo
2019/08/09 全球购物
通用C#笔试题附答案
2016/11/26 面试题
大三在校生电子商务求职信
2013/10/29 职场文书
妈妈别哭观后感
2015/06/08 职场文书
Python入门之使用pandas分析excel数据
2021/05/12 Python
Spring中bean的生命周期之getSingleton方法
2021/06/30 Java/Android