Flask模拟实现CSRF攻击的方法


Posted in Python onJuly 24, 2018

CSRF

CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。

CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。

包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......

造成的问题:个人隐私泄露以及财产安全。

CSRF攻击示意图

客户端访问服务器时没有同服务器做安全验证

Flask模拟实现CSRF攻击的方法

防止 CSRF

1.在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值

2.在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token

3.在用户点击提交的时候,会带上这两个值向后台发起请求

4.后端接受到请求,以会以下几件事件: •从 cookie中取出 csrf_token

  • 从 表单数据中取出来隐藏的 csrf_token 的值
  • 进行对比

5.如果比较之后两值一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作

代码演示

未进行 csrf 校验的 WebA

后端代码实现

from flask import Flask, render_template, make_response

from flask import redirect

from flask import request

from flask import url_for

 

app = Flask(__name__)

 

 

@app.route('/', methods=["POST", "GET"])

def index():

  if request.method == "POST":

    # 取到表单中提交上来的参数

    username = request.form.get("username")

    password = request.form.get("password")

 

    if not all([username, password]):

      print('参数错误')

    else:

      print(username, password)

      if username == 'laowang' and password == '1234':

        # 状态保持,设置用户名到cookie中表示登录成功

        response = redirect(url_for('transfer'))

        response.set_cookie('username', username)

        return response

      else:

        print('密码错误')

 

  return render_template('temp_login.html')

 

 

@app.route('/transfer', methods=["POST", "GET"])

def transfer():

  # 从cookie中取到用户名

  username = request.cookies.get('username', None)

  # 如果没有取到,代表没有登录

  if not username:

    return redirect(url_for('index'))

 

  if request.method == "POST":

    to_account = request.form.get("to_account")

    money = request.form.get("money")

    print('假装执行转操作,将当前登录用户的钱转账到指定账户')

    return '转账 %s 元到 %s 成功' % (money, to_account)

 

  # 渲染转换页面

  response = make_response(render_template('temp_transfer.html'))

  return response

 

if __name__ == '__main__':

  app.run(debug=True, port=9000) 

前端登录页面代码

<!DOCTYPE html>

<html lang="en">

<head>

  <meta charset="UTF-8">

  <title>登录</title>

</head>

<body>

 

<h1>我是网站A,登录页面</h1>

 

<form method="post">

  <label>用户名:</label><input type="text" name="username" placeholder="请输入用户名"><br/>

  <label>密码:</label><input type="password" name="password" placeholder="请输入密码"><br/>

  <input type="submit" value="登录">

</form>

 

</body>

</html>

前端转账页面代码

<!DOCTYPE html>

<html lang="en">

<head>

  <meta charset="UTF-8">

  <title>转账</title>

</head>

<body>

<h1>我是网站A,转账页面</h1>

 

<form method="post">

  <label>账户:</label><input type="text" name="to_account" placeholder="请输入要转账的账户"><br/>

  <label>金额:</label><input type="number" name="money" placeholder="请输入转账金额"><br/>

  <input type="submit" value="转账">

</form>

 

</body>

</html>

运行测试,如果在未登录的情况下,不能直接进入转账页面,测试转账是成功的

攻击网站B的代码

后端代码实现

from flask import Flask

from flask import render_template

 

app = Flask(__name__)

 

@app.route('/')

def index():

  return render_template('temp_index.html')

 

if __name__ == '__main__':

  app.run(debug=True, port=8000)

前端代码实现

<!DOCTYPE html>

<html lang="en">

<head>

  <meta charset="UTF-8">

  <title>Title</title>

</head>

<body>

 

<h1>我是网站B</h1>

 

<form method="post" action="http://127.0.0.1:9000/transfer">

  <input type="hidden" name="to_account" value="999999">

  <input type="hidden" name="money" value="190000" hidden>

  <input type="submit" value="点击领取优惠券">

</form>

 

</body>

</html>

运行测试,在用户登录网站A的情况下,点击网站B的按钮,可以实现伪造访问

在网站A中模拟实现 csrf_token 校验的流程

添加生成 csrf_token 的函数

# 生成 csrf_token 函数
def generate_csrf():
  return bytes.decode(base64.b64encode(os.urandom(48)))

在渲染转账页面的,做以下几件事情:

  • 生成 csrf_token 的值
  • 在返回转账页面的响应里面设置 csrf_token 到 cookie 中
  • 将 csrf_token 保存到表单的隐藏字段中
@app.route('/transfer', methods=["POST", "GET"])

def transfer():

  ...

  # 生成 csrf_token 的值

  csrf_token = generate_csrf()

 

  # 渲染转换页面,传入 csrf_token 到模板中

  response = make_response(render_template('temp_transfer.html', csrf_token=csrf_token))

  # 设置csrf_token到cookie中,用于提交校验

  response.set_cookie('csrf_token', csrf_token)

  return response

在转账模板表单中添加 csrf_token 隐藏字段

<form method="post">

  <input type="hidden" name="csrf_token" value="{{ csrf_token }}">

  <label>账户:</label><input type="text" name="to_account" placeholder="请输入要转账的账户"><br/>

  <label>金额:</label><input type="number" name="money" placeholder="请输入转账金额"><br/>

  <input type="submit" value="转账">

</form>

运行测试,进入到转账页面之后,查看 cookie 和 html 源代码

Flask模拟实现CSRF攻击的方法

在执行转账逻辑之前进行 csrf_token 的校验

if request.method == "POST":

  to_account = request.form.get("to_account")

  money = request.form.get("money")

  # 取出表单中的 csrf_token

  form_csrf_token = request.form.get("csrf_token")

  # 取出 cookie 中的 csrf_token

  cookie_csrf_token = request.cookies.get("csrf_token")

  # 进行对比

  if cookie_csrf_token != form_csrf_token:

    return 'token校验失败,可能是非法操作'

  print('假装执行转操作,将当前登录用户的钱转账到指定账户')

  return '转账 %s 元到 %s 成功' % (money, to_account)

运行测试,用户直接在网站 A 操作没有问题,再去网站B进行操作,发现转账不成功,因为网站 B 获取不到表单中的 csrf_token 的隐藏字段,而且浏览器有同源策略,网站B是获取不到网站A的 cookie 的,所以就解决了跨站请求伪造的问题

在 Flask 项目中解决 CSRF 攻击

在 Flask 中, Flask-wtf 扩展有一套完善的 csrf 防护体系,对于我们开发者来说,使用起来非常简单

在 FlaskForm 中实现校验

设置应用程序的 secret_key

用于加密生成的 csrf_token 的值

app.secret_key = "#此处可以写随机字符串#"

在模板的表单中添加以下代码

<form method="post">

  {{ form.csrf_token() }}

  {{ form.username.label }} {{ form.username }}<br/>

  {{ form.password.label }} {{ form.password }}<br/>

  {{ form.password2.label }} {{ form.password2 }}<br/>

  {{ form.submit }}

</form>

渲染出来的前端页面为:

Flask模拟实现CSRF攻击的方法

设置完毕,cookie 中的 csrf_token 不需要我们关心,会自动帮我们设置

单独使用

设置应用程序的 secret_key

用于加密生成的 csrf_token 的值

app.secret_key = "#此处可以写随机字符串#"

导入 flask_wtf.csrf 中的 CSRFProtect 类,进行初始化,并在初始化的时候关联 app

from flask.ext.wtf import CSRFProtect
CSRFProtect(app)

如果模板中有表单,不需要做任何事。与之前一样:

<form method="post">

  {{ form.csrf_token }}

  ...

</form>

但如果模板中没有表单,你仍需要 CSRF 令牌:

<form method="post" action="/">
  <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。 

Python 相关文章推荐
零基础写python爬虫之urllib2中的两个重要概念:Openers和Handlers
Nov 05 Python
Python中的with语句与上下文管理器学习总结
Jun 28 Python
python爬虫实战之爬取京东商城实例教程
Apr 24 Python
python实现批量修改图片格式和尺寸
Jun 07 Python
Django视图扩展类知识点详解
Oct 25 Python
Python爬虫使用代理IP的实现
Oct 27 Python
python实现猜拳游戏
Mar 04 Python
Selenium向iframe富文本框输入内容过程图解
Apr 10 Python
Python引入多个模块及包的概念过程解析
Sep 21 Python
python中sqllite插入numpy数组到数据库的实现方法
Jun 21 Python
Python Pandas读取Excel日期数据的异常处理方法
Feb 28 Python
python自动获取微信公众号最新文章的实现代码
Jul 15 Python
Python全排列操作实例分析
Jul 24 #Python
python保存网页图片到本地的方法
Jul 24 #Python
python中reader的next用法
Jul 24 #Python
使用Flask集成bootstrap的方法
Jul 24 #Python
用python统计代码行的示例(包括空行和注释)
Jul 24 #Python
Python 删除整个文本中的空格,并实现按行显示
Jul 24 #Python
Python常见MongoDB数据库操作实例总结
Jul 24 #Python
You might like
2014过年倒计时示例
2014/01/31 PHP
PHP实现绘制3D扇形统计图及图片缩放实例
2014/10/01 PHP
PHP的Laravel框架中使用AdminLTE模板来编写网站后台界面
2016/03/21 PHP
jquery实用代码片段集合
2010/08/12 Javascript
jQuery设置与获取HTML,文本和值的简单实例
2014/02/26 Javascript
JavaScript strike方法入门实例(给字符串加上删除线)
2014/10/17 Javascript
tuzhu_req.js 实现仿百度图片首页效果
2015/08/11 Javascript
JavaScript中对JSON对象的基本操作示例
2016/05/21 Javascript
javascript RegExp 使用说明
2016/05/21 Javascript
关于webpack2和模块打包的新手指南(小结)
2017/08/07 Javascript
Vue官方文档梳理之全局配置
2017/11/22 Javascript
使用puppeteer爬取网站并抓出404无效链接
2018/12/20 Javascript
Bootstrap4 gulp 配置详解
2019/01/06 Javascript
vue 中 elment-ui table合并上下两行相同数据单元格
2019/12/26 Javascript
vue如何搭建多页面多系统应用
2020/06/17 Javascript
vant实现购物车功能
2020/06/29 Javascript
使用Python下载歌词并嵌入歌曲文件中的实现代码
2015/11/13 Python
Python通过matplotlib画双层饼图及环形图简单示例
2017/12/15 Python
Django实战之用户认证(用户登录与注销)
2018/07/16 Python
python3+PyQt5 数据库编程--增删改实例
2019/06/17 Python
wxPython绘图模块wxPyPlot实现数据可视化
2019/11/19 Python
numpy 返回函数的上三角矩阵实例
2019/11/25 Python
Html5在手机端调用相机的方法实现
2020/05/13 HTML / CSS
美国照明、家居装饰和家具购物网站:Bellacor
2017/09/20 全球购物
过滤器的用法
2013/10/08 面试题
高三毕业生自我鉴定
2013/12/20 职场文书
将相和教学反思
2014/02/04 职场文书
建筑结构施工求职信
2014/07/11 职场文书
乡镇消防安全责任书
2014/07/23 职场文书
批评与自我批评发言稿
2014/10/15 职场文书
九寨沟导游词
2015/02/02 职场文书
培训通知
2015/04/17 职场文书
花田少年史观后感
2015/06/16 职场文书
干部外出学习心得体会
2016/01/18 职场文书
初中英语教学反思范文
2016/02/15 职场文书
演讲开头怎么书写?
2019/08/06 职场文书