1.如何安全的存储密码
2.渗透测试应该怎么做呢？
3.django如何防止源码泄露(2023年最新解答)

如何安全的存储密码

       ã€€ã€€ä¿æŠ¤å¯†ç æœ€å¥½çš„的方式就是使用带盐的密码hash(salted password hashing).对密码进行hash操作是一件很简单的事情，但是很多人都犯了错。接下来我希望可以详细的阐述如何恰当的对密码进行hash，以及为什么要这样做。

       ã€€ã€€é‡è¦æé†’

       ã€€ã€€å¦‚果你打算自己写一段代码来进行密码hash，那么赶紧停下吧。这样太容易犯错了。这个提醒适用于每一个人，不要自己写密码的hash算法 ！关于保存密码的问题已经有了成熟的方案，那就是使用phpass或者本文提供的源码。

       ã€€ã€€ä»€ä¹ˆæ˜¯hash

       ã€€ã€€hash("hello") = 2cfdba5fb0aeeb2ac5b9ee1be5c1faeb

       hash("hbllo") = ccdfacfad6affaafe7ddf

       hash("waltz") = c0efcbc6bd9ecfbfda8ef

       ã€€ã€€Hash算法是一种单向的函数。它可以把任意数量的数据转换成固定长度的“指纹”，这个过程是不可逆的。而且只要输入发生改变，哪怕只有一个bit，输出的hash值也会有很大不同。这种特性恰好合适用来用来保存密码。因为我们希望使用一种不可逆的算法来加密保存的密码，同时又需要在用户登陆的时候验证密码是否正确。

       ã€€ã€€åœ¨ä¸€ä¸ªä½¿ç”¨hash的账号系统中，用户注册和认证的大致流程如下：

       ã€€ã€€1,源码 用户创建自己的账号

       2, 用户密码经过hash操作之后存储在数据库中。没有任何明文的密码存储在服务器的硬盘上。

       3, 用户登陆的时候，将用户输入的密码进行hash操作后与数据库里保存的密码hash值进行对比。

       4, 如果hash值完全一样，则认为用户输入的密码是正确的。否则就认为用户输入了无效的密码。

       5, 每次用户尝试登陆的时候就重复步骤3和步骤4。

       ã€€ã€€åœ¨æ­¥éª¤4的时候不要告诉用户是账号还是密码错了。只需要显示一个通用的提示，比如账号或密码不正确就可以了。这样可以防止攻击者枚举有效的用户名。

       ã€€ã€€è¿˜éœ€è¦æ³¨æ„çš„是用来保护密码的hash函数跟数据结构课上见过的hash函数不完全一样。比如实现hash表的hash函数设计的目的是快速，但是不够安全。只有加密hash函数(cryptographic hash functions)可以用来进行密码的hash。这样的函数有SHA, SHA, RipeMD, WHIRLPOOL等。

       ã€€ã€€ä¸€ä¸ªå¸¸è§çš„观念就是密码经过hash之后存储就安全了。这显然是不正确的。有很多方式可以快速的从hash恢复明文的密码。还记得那些md5破解网站吧，只需要提交一个hash，不到一秒钟就能知道结果。显然，单纯的对密码进行hash还是远远达不到我们的安全需求。下一部分先讨论一下破解密码hash，获取明文常见的手段。

       ã€€ã€€å¦‚何破解hash

       ã€€ã€€å­—典和暴力破解攻击(Dictionary and Brute Force Attacks)

       ã€€ã€€æœ€å¸¸è§çš„破解hash手段就是猜测密码。然后对每一个可能的密码进行hash，对比需要破解的hash和猜测的密码hash值，如果两个值一样，那么之前猜测的密码就是正确的密码明文。猜测密码攻击常用的方式就是字典攻击和暴力攻击。

       ã€€ã€€Dictionary Attack

       Trying apple : failed

       Trying blueberry : failed

       Trying justinbeiber : failed

       ...

       Trying letmein : failed

       Trying s3cr3t : success!

       ã€€ã€€å­—典攻击是将常用的密码，单词，短语和其他可能用来做密码的字符串放到一个文件中，然后对文件中的每一个词进行hash，将这些hash与需要破解的密码hash比较。这种方式的成功率取决于密码字典的大小以及字典的是否合适。

       ã€€ã€€Brute Force Attack

       Trying aaaa : failed

       Trying aaab : failed

       Trying aaac : failed

       ...

       Trying acdb : failed

       Trying acdc : success!

       ã€€ã€€æš´åŠ›æ”»å‡»å°±æ˜¯å¯¹äºŽç»™å®šçš„密码长度，尝试每一种可能的字符组合。这种方式需要花费大量的计算机时间。但是理论上只要时间足够，最后密码一定能够破解出来。只是如果密码太长，破解花费的时间就会大到无法承受。

       ã€€ã€€ç›®å‰æ²¡æœ‰æ–¹å¼å¯ä»¥é˜»æ­¢å­—典攻击和暴力攻击。只能想办法让它们变的低效。如果你的密码hash系统设计的是安全的，那么破解hash唯一的方式就是进行字典或者暴力攻击了。

       ã€€ã€€æŸ¥è¡¨ç ´è§£(Lookup Tables)

       ã€€ã€€å¯¹äºŽç‰¹å®šçš„hash类型，如果需要破解大量hash的话，查表是一种非常有效而且快速的方式。它的理念就是预先计算(pre-compute)出密码字典中每一个密码的hash。然后把hash和对应的密码保存在一个表里。一个设计良好的查询表结构，即使存储了数十亿个hash，每秒钟仍然可以查询成百上千个hash。

       ã€€ã€€å¦‚果你想感受下查表破解hash的话可以尝试一下在CraskStation上破解下下面的sha hash。

       ã€€ã€€cb4b0aafcddfee9fbb8bcf3a7f0dbaadfc

       eacbadcdc7d8fbeb7c7bd3a2cbdbfcbbbae7

       e4ba5cbdce6cd1cfa3bd8dabcb3ef9f

       b8b8acfcbcac7bfba9fefeebbdcbd

       ã€€ã€€åå‘查表破解(Reverse Lookup Tables)

       ã€€ã€€Searching for hash(apple) in users' hash list... : Matches [alice3, 0bob0, charles8]

       Searching for hash(blueberry) in users' hash list... : Matches [usr, timmy, john]

       Searching for hash(letmein) in users' hash list... : Matches [wilson, dragonslayerX, joe]

       Searching for hash(s3cr3t) in users' hash list... : Matches [bruce, knuth, john]

       Searching for hash(z@hjja) in users' hash list... : No users used this password

       ã€€ã€€è¿™ç§æ–¹å¼å¯ä»¥è®©æ”»å‡»è€…不预先计算一个查询表的情况下同时对大量hash进行字典和暴力破解攻击。

       ã€€ã€€é¦–先，攻击者会根据获取到的数据库数据制作一个用户名和对应的hash表。然后将常见的字典密码进行hash之后，跟这个表的hash进行对比，就可以知道用哪些用户使用了这个密码。这种攻击方式很有效果，因为通常情况下很多用户都会有使用相同的密码。

       ã€€ã€€å½©è™¹è¡¨ (Rainbow Tables)

       ã€€ã€€å½©è™¹è¡¨æ˜¯ä¸€ç§ä½¿ç”¨ç©ºé—´æ¢å–时间的技术。跟查表破解很相似。只是它牺牲了一些破解时间来达到更小的存储空间的目的。因为彩虹表使用的存储空间更小，所以单位空间就可以存储更多的hash。彩虹表已经能够破解8位长度的任意md5hash。彩虹表具体的原理可以参考/

       ã€€ã€€ä¸‹ä¸€ç« èŠ‚我们会讨论一种叫做“盐”(salting)的技术。通过这种技术可以让查表和彩虹表的方式无法破解hash。

       ã€€ã€€åŠ ç›(Adding Salt)

       ã€€ã€€hash("hello") = 2cfdba5fb0aeeb2ac5b9ee1be5c1faeb

       hash("hello" + "QxLUF1bgIAdeQX") = 9ecfaebfe5ed3bacffed1

       hash("hello" + "bv5PehSMfVCd") = d1d3ec2e6ffddedab8eac9eaaefab

       hash("hello" + "YYLmfY6IehjZMQ") = ac3cb9eb9cfaffdc8aedb2c4adf1bf

       ã€€ã€€æŸ¥è¡¨å’Œå½©è™¹è¡¨çš„方式之所以有效是因为每一个密码的都是通过同样的方式来进行hash的。如果两个用户使用了同样的密码，那么一定他们的密码hash也一定相同。我们可以通过让每一个hash随机化，同一个密码hash两次，得到的不同的hash来避免这种攻击。

       ã€€ã€€å…·ä½“的操作就是给密码加一个随即的前缀或者后缀，然后再进行hash。这个随即的后缀或者前缀成为“盐”。正如上面给出的例子一样，通过加盐，相同的密码每次hash都是完全不一样的字符串了。检查用户输入的密码是否正确的时候，我们也还需要这个盐，所以盐一般都是跟hash一起保存在数据库里，或者作为hash字符串的一部分。

       ã€€ã€€ç›ä¸éœ€è¦ä¿å¯†ï¼Œåªè¦ç›æ˜¯éšæœºçš„话，查表，彩虹表都会失效。因为攻击者无法事先知道盐是什么，也就没有办法预先计算出查询表和彩虹表。如果每个用户都是使用了不同的盐，那么反向查表攻击也没法成功。

       ã€€ã€€ä¸‹ä¸€èŠ‚，我们会介绍一些盐的常见的错误实现。

       ã€€ã€€é”™è¯¯çš„方式：短的盐和盐的复用

       ã€€ã€€æœ€å¸¸è§çš„错误实现就是一个盐在多个hash中使用或者使用的盐很短。

       ã€€ã€€ç›çš„复用(Salt Reuse)

       ã€€ã€€ä¸ç®¡æ˜¯å°†ç›ç¡¬ç¼–码在程序里还是随机一次生成的，在每一个密码hash里使用相同的盐会使这种防御方法失效。因为相同的密码hash两次得到的结果还是相同的。攻击者就可以使用反向查表的方式进行字典和暴力攻击。只要在对字典中每一个密码进行hash之前加上这个固定的盐就可以了。如果是流行的程序的使用了硬编码的盐，那么也可能出现针对这种程序的这个盐的查询表和彩虹表，从而实现快速破解hash。

       ã€€ã€€ç”¨æˆ·æ¯æ¬¡åˆ›å»ºæˆ–者修改密码一定要使用一个新的随机的盐

       ã€€ã€€çŸ­çš„盐

       ã€€ã€€å¦‚果盐的位数太短的话，攻击者也可以预先制作针对所有可能的盐的查询表。比如，3位ASCII字符的盐，一共有xx = ,种可能性。看起来好像很多。假如每一个盐制作一个1MB的包含常见密码的查询表，,个盐才是GB。现在买个1TB的硬盘都只要几百块而已。

       ã€€ã€€åŸºäºŽåŒæ ·çš„理由，千万不要用用户名做为盐。虽然对于每一个用户来说用户名可能是不同的，但是用户名是可预测的，并不是完全随机的。攻击者完全可以用常见的用户名作为盐来制作查询表和彩虹表破解hash。

       ã€€ã€€æ ¹æ®ä¸€äº›ç»éªŒå¾—出来的规则就是盐的大小要跟hash函数的输出一致。比如，SHA的输出是bits(bytes),盐的长度也应该是个字节的随机数据。

       ã€€ã€€é”™è¯¯çš„方式：双重hash和古怪的hash函数

       ã€€ã€€è¿™ä¸€èŠ‚讨论另外一个常见的hash密码的误解:古怪的hash算法组合。人们可能解决的将不同的hash函数组合在一起用可以让数据更安全。但实际上，这种方式带来的效果很微小。反而可能带来一些互通性的问题，甚至有时候会让hash更加的不安全。本文一开始就提到过，永远不要尝试自己写hash算法，要使用专家们设计的标准算法。有些人会觉得通过使用多个hash函数可以降低计算hash的速度，从而增加破解的难度。通过减慢hash计算速度来防御攻击有更好的方法，这个下文会详细介绍。

       ã€€ã€€ä¸‹é¢æ˜¯ä¸€äº›ç½‘上找到的古怪的hash函数组合的样例。

       ã€€ã€€md5(sha1(password))

       md5(md5(salt) + md5(password))

       sha1(sha1(password))

       sha1(str_rot(password + salt))

       md5(sha1(md5(md5(password) + sha1(password)) + md5(password)))

       ã€€ã€€ä¸è¦ä½¿ç”¨ä»–们！

       ã€€ã€€æ³¨æ„ï¼šè¿™éƒ¨åˆ†çš„内容其实是存在争议的！我收到过大量邮件说组合hash函数是有意义的。因为如果攻击者不知道我们用了哪个函数，就不可能事先计算出彩虹表，并且组合hash函数需要更多的计算时间。

       ã€€ã€€æ”»å‡»è€…如果不知道hash算法的话自然是无法破解hash的。但是考虑到Kerckhoffs’s principle,攻击者通常都是能够接触到源码的(尤其是免费软件和开源软件)。通过一些目标系统的密码–hash对应关系来逆向出算法也不是非常困难。

       ã€€ã€€å¦‚果你想使用一个标准的”古怪”的hash函数，比如HMAC，是可以的。但是如果你的目的是想减慢hash的计算速度，那么可以读一下后面讨论的慢速hash函数部分。基于上面讨论的因素，最好的做法是使用标准的经过严格测试的hash算法。

       ã€€ã€€hash碰撞(Hash Collisions)

       ã€€ã€€å› ä¸ºhash函数是将任意数量的数据映射成一个固定长度的字符串，所以一定存在不同的输入经过hash之后变成相同的字符串的情况。加密hash函数(Cryptographic hash function)在设计的时候希望使这种碰撞攻击实现起来成本难以置信的高。但时不时的就有密码学家发现快速实现hash碰撞的方法。最近的一个例子就是MD5，它的碰撞攻击已经实现了。

       ã€€ã€€ç¢°æ’žæ”»å‡»æ˜¯æ‰¾åˆ°å¦å¤–一个跟原密码不一样，但是具有相同hash的字符串。但是，即使在相对弱的hash算法，比如MD5,要实现碰撞攻击也需要大量的算力(computing power),所以在实际使用中偶然出现hash碰撞的情况几乎不太可能。一个使用加盐MD5的密码hash在实际使用中跟使用其他算法比如SHA一样安全。不过如果可以的话，使用更安全的hash函数，比如SHA, SHA, RipeMD, WHIRLPOOL等是更好的选择。

       ã€€ã€€æ­£ç¡®çš„方式：如何恰当的进行hash

       ã€€ã€€è¿™éƒ¨åˆ†ä¼šè¯¦ç»†è®¨è®ºå¦‚何恰当的进行密码hash。第一个章节是最基础的，这章节的内容是必须的。后面一个章节是阐述如何继续增强安全性，让hash破解变得异常困难。

       ã€€ã€€åŸºç¡€ï¼šä½¿ç”¨åŠ ç›hash

       ã€€ã€€æˆ‘们已经知道恶意黑客可以通过查表和彩虹表的方式快速的获得hash对应的明文密码，我们也知道了通过使用随机的盐可以解决这个问题。但是我们怎么生成盐，怎么在hash的过程中使用盐呢？

       ã€€ã€€ç›è¦ä½¿ç”¨å¯†ç å­¦ä¸Šå¯é å®‰å…¨çš„伪随机数生成器(Cryptographically Secure Pseudo-Random Number Generator (CSPRNG))来产生。CSPRNG跟普通的伪随机数生成器比如C语言中的rand(),有很大不同。正如它的名字说明的那样，CSPRNG提供一个高标准的随机数，是完全无法预测的。我们不希望我们的盐能够被预测到，所以一定要使用CSPRNG。

渗透测试应该怎么做呢？

       、信息收集

       1、泄露域名、字典IP、源码端口

       域名信息查询：信息可用于后续渗透

       IP信息查询：确认域名对应IP，泄露确认IP是字典html源码编辑图否真实，确认通信是源码否正常

       端口信息查询：NMap扫描，确认开放端口

       发现：一共开放两个端口，泄露为web访问端口，字典为windows远程登陆端口，源码嘿嘿嘿，泄露试一下

       发现：是字典Windows Server 系统，OK，源码到此为止。泄露

       2、字典指纹识别

       其实就是网站的信息。比如通过可以访问的资源，如网站首页，查看源代码:

       看看是否存在文件遍历的漏洞（如路径，再通过…/遍历文件）

       是否使用了存在漏洞的框架（如果没有现成的就自己挖）

       、漏洞扫描

       1、主机扫描

       Nessus

       经典主机漏扫工具，看看有没有CVE漏洞：

       2、Web扫描

       AWVS（Acunetix | Website Security Scanner）扫描器

       PS：扫描器可能会对网站构成伤害，小心谨慎使用。

       、渗透测试

       1、弱口令漏洞

       漏洞描述

       目标网站管理入口（或数据库等组件的外部连接）使用了容易被猜测的简单字符口令、或者是默认系统账号口令。

       渗透测试

       ① 如果不存在验证码，则直接使用相对应的弱口令字典使用burpsuite 进行爆破

       ② 如果存在验证码，则看验证码是否存在绕过、以及看验证码是否容易识别

       风险评级：高风险

       安全建议

       ① 默认口令以及修改口令都应保证复杂度，比如：大小写字母与数字或特殊字符的组合，口令长度不小于8位等

       ② 定期检查和更换网站管理口令

       2、文件下载（目录浏览）漏洞

       漏洞描述

       一些网站由于业务需求，可能提供文件查看或下载的功能，如果对用户查看或下载的文件不做限制，则恶意用户就能够查看或下载任意的文件，可以是源代码文件、敏感文件等。

       渗透测试

       ① 查找可能存在文件包含的漏洞点，比如js，css等页面代码路径

       ② 看看有没有文件上传访问的功能

       ③ 采用…/来测试能否夸目录访问文件

       风险评级：高风险

       安全建议

       ① 采用白名单机制限制服务器目录的访问，以及可以访问的文件类型(小心被绕过)

       ② 过滤./等特殊字符

       ③ 采用文件流的访问返回上传文件（如用户头像），不要通过真实的网站路径。

       示例：tomcat，默认关闭路径浏览的功能：

       <param-name>listings</param-name>

       <param-value>false</param-value>

       3、任意文件上传漏洞

       漏洞描述

       目标网站允许用户向网站直接上传文件，但未对所上传文件的类型和内容进行严格的过滤。

       渗透测试

       ① 收集网站信息，判断使用的公司网站源码大全语言（PHP，ASP，JSP）

       ② 过滤规则绕过方法：文件上传绕过技巧

       风险评级：高风险

       安全建议

       ① 对上传文件做有效文件类型判断，采用白名单控制的方法，开放只允许上传的文件型式；

       ② 文件类型判断，应对上传文件的后缀、文件头、类的预览图等做检测来判断文件类型，同时注意重命名（Md5加密）上传文件的文件名避免攻击者利用WEB服务的缺陷构造畸形文件名实现攻击目的；

       ③ 禁止上传目录有执行权限；

       ④ 使用随机数改写文件名和文件路径，使得用户不能轻易访问自己上传的文件。

       4、命令注入漏洞

       漏洞描述

       目标网站未对用户输入的字符进行特殊字符过滤或合法性校验，允许用户输入特殊语句，导致各种调用系统命令的web应用，会被攻击者通过命令拼接、绕过黑名单等方式，在服务端运行恶意的系统命令。

       渗透测试

       风险评级：高风险

       安全建议

       ① 拒绝使用拼接语句的方式进行参数传递；

       ② 尽量使用白名单的方式（首选方式）；

       ③ 过滤危险方法、特殊字符，如：|&；’"等

       5、SQL注入漏洞

       漏洞描述

       目标网站未对用户输入的字符进行特殊字符过滤或合法性校验，允许用户输入特殊语句查询后台数据库相关信息

       渗透测试

       ① 手动测试：判断是否存在SQL注入，判断是字符型还是数字型，是否需要盲注

       ② 工具测试：使用sqlmap等工具进行辅助测试

       风险评级：高风险

       安全建议

       ① 防范SQL注入攻击的最佳方式就是将查询的逻辑与其数据分隔，如Java的预处理，PHP的PDO

       ② 拒绝使用拼接SQL的方式

       6、跨站脚本漏洞

       漏洞描述

       当应用程序的网页中包含不受信任的、未经恰当验证或转义的数据时，或者使用可以创建 HTML或JavaScript 的浏览器 API 更新现有的网页时，就会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本，并劫持用户会话、破坏网站或将用户重定向到恶意站点。

       三种XSS漏洞：

       ① 存储型：用户输入的信息被持久化，并能够在页面显示的功能，都可能存在存储型XSS，例如用户留言、个人信息修改等。

       ② 反射型：URL参数需要在页面显示的功能都可能存在反射型跨站脚本攻击，例如站内搜索、查询功能。

       ③ DOM型：涉及DOM对象的页面程序，包括：document.URL、document.location、document.referrer、window.location等

       渗透测试

       存储型，反射型，DOM型

       风险评级：高风险

       安全建议

       ① 不信任用户提交的任何内容，对用户输入的内容，在后台都需要进行长度检查，并且对<>"’&等字符做过滤

       ② 任何内容返回到页面显示之前都必须加以html编码，即将<>"’&进行转义。源码中的code

       7、跨站请求伪造漏洞

       漏洞描述

       CSRF，全称为Cross-Site Request Forgery，跨站请求伪造，是一种网络攻击方式，它可以在用户毫不知情的情况下，以用户的名义伪造请求发送给被攻击站点，从而在未授权的情况下进行权限保护内的操作，如修改密码，转账等。

       渗透测试

       风险评级：中风险（如果相关业务极其重要，则为高风险）

       安全建议

       ① 使用一次性令牌：用户登录后产生随机token并赋值给页面中的某个Hidden标签，提交表单时候，同时提交这个Hidden标签并验证，验证后重新产生新的token，并赋值给hidden标签；

       ② 适当场景添加验证码输入：每次的用户提交都需要用户在表单中填写一个上的随机字符串；

       ③ 请求头Referer效验，url请求是否前部匹配Http(s)😕/ServerHost

       ④ 关键信息输入确认提交信息的用户身份是否合法，比如修改密码一定要提供原密码输入

       ⑤ 用户自身可以通过在浏览其它站点前登出站点或者在浏览器会话结束后清理浏览器的cookie；

       8、内部后台地址暴露

       漏洞描述

       一些仅被内部访问的地址，对外部暴露了，如：管理员登陆页面；系统监控页面；API接口描述页面等，这些会导致信息泄露，后台登陆等地址还可能被爆破。

       渗透测试

       ① 通过常用的地址进行探测，如login.html，manager.html，api.html等；

       ② 可以借用burpsuite和常规页面地址字典，进行扫描探测

       风险评级：中风险

       安全建议

       ① 禁止外网访问后台地址

       ② 使用非常规路径（如对md5加密）

       9、信息泄露漏洞

       漏洞描述

       ① 备份信息泄露：目标网站未及时删除编辑器或者人员在编辑文件时，产生的临时文件，或者相关备份信息未及时删除导致信息泄露。

       ② 测试页面信息泄露：测试界面未及时删除，导致测试界面暴露，被他人访问。

       ③ 源码信息泄露：目标网站文件访问控制设置不当，WEB服务器开启源码下载功能，允许用户访问网站源码。

       ④ 错误信息泄露：目标网站WEB程序和服务器未屏蔽错误信息回显，页面含有CGI处理错误的代码级别的详细信息，例如SQL语句执行错误原因，PHP的错误行数等。

       ⑤ 接口信息泄露：目标网站接口访问控制不严，导致网站内部敏感信息泄露。

       渗透测试

       ① 备份信息泄露、测试页面信息泄露、源码信息泄露，测试方法：使用字典，爆破相关目录，看是否存在相关敏感文件

       ② 错误信息泄露，测试方法：发送畸形的数据报文、非正常的阻塞队列源码大全报文进行探测，看是否对错误参数处理妥当。

       ③ 接口信息泄露漏洞，测试方法：使用爬虫或者扫描器爬取获取接口相关信息，看目标网站对接口权限是否合理

       风险评级：一般为中风险，如果源码大量泄漏或大量客户敏感信息泄露。

       安全建议

       ① 备份信息泄露漏洞：删除相关备份信息，做好权限控制

       ② 测试页面信息泄露漏洞：删除相关测试界面，做好权限控制

       ③ 源码信息泄露漏洞：做好权限控制

       ④ 错误信息泄露漏洞：将错误信息对用户透明化，在CGI处理错误后可以返回友好的提示语以及返回码。但是不可以提示用户出错的代码级别的详细原因

       ⑤ 接口信息泄露漏洞：对接口访问权限严格控制

       、失效的身份认证

       漏洞描述

       通常，通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌， 或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。

       渗透测试

       ① 在登陆前后观察，前端提交信息中，随机变化的数据，总有与当前已登陆用户进行绑定的会话唯一标识，常见如cookie

       ② 一般现在网站没有那种简单可破解的标识，但是如果是跨站认证，单点登录场景中，可能为了开发方便而简化了身份认证

       风险评级：高风险

       安全建议

       ① 使用强身份识别，不使用简单弱加密方式进行身份识别；

       ② 服务器端使用安全的会话管理器，在登录后生成高度复杂的新随机会话ID。会话ID不能在URL中，可以安全地存储，在登出、闲置超时后使其失效。

       、失效的访问控制

       漏洞描述

       未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据，例如：访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。

       渗透测试

       ① 登入后，通过burpsuite 抓取相关url 链接，获取到url 链接之后，在另一个浏览器打开相关链接，看能够通过另一个未登入的浏览器直接访问该功能点。

       ② 使用A用户登陆，然后在另一个浏览器使用B用户登陆，使用B访问A独有的功能，看能否访问。

       风险评级：高风险

       安全建议

       ① 除公有资源外，默认情况下拒绝访问非本人所有的私有资源；

       ② 对API和控制器的访问进行速率限制，以最大限度地降低自动化攻击工具的危害；

       ③ 当用户注销后，服务器上的Cookie，JWT等令牌应失效；

       ④ 对每一个业务请求，都进行权限校验。源码扫描工具免费

       、安全配置错误

       漏洞描述

       应用程序缺少适当的安全加固，或者云服务的权限配置错误。

       ① 应用程序启用或安装了不必要的功能（例如：不必要的端口、服务、网页、帐户或权限）。

       ② 默认帐户的密码仍然可用且没有更改。

       ③ 错误处理机制向用户披露堆栈跟踪或其他大量错误信息。

       ④ 对于更新的系统，禁用或不安全地配置最新的安全功能。

       ⑤ 应用程序服务器、应用程序框架（如：Struts、Spring、ASP.NET）、库文件、数据库等没有进行相关安全配置。

       渗透测试

       先对应用指纹等进行信息搜集，然后针对搜集的信息，看相关应用默认配置是否有更改，是否有加固过；端口开放情况，是否开放了多余的端口；

       风险评级：中风险

       安全建议

       搭建最小化平台，该平台不包含任何不必要的功能、组件、文档和示例。移除或不安装不适用的功能和框架。在所有环境中按照标准的加固流程进行正确安全配置。

       、使用含有已知漏洞的组件

       漏洞描述

       使用了不再支持或者过时的组件。这包括：OS、Web服务器、应用程序服务器、数据库管理系统（DBMS）、应用程序、API和所有的组件、运行环境和库。

       渗透测试

       ① 根据前期信息搜集的信息，查看相关组件的版本，看是否使用了不在支持或者过时的组件。一般来说，信息搜集，可通过mand_line()通过命令行参数，创建一个管理类。然后运行他的execute()。

       如果设置了reload，将会在启动前先check_errors。

       check_errors()是个闭包，所以上文结尾是(django.setup)()。

       直接看最后一句settings.INSTALLED_APPS。从settings中抓取app

       注意，这个settings还不是我们项目中的settings.py。而是一个对象，位于django\conf\__init__.py

       这是个Settings类的懒加载封装类，直到__getattr__取值时才开始初始化。然后从Settings类的实例中取值。且会讲该值赋值到自己的__dict__上（下次会直接在自己身上找到，因为__getattr__优先级较低）

       为了方便debug，我们直接写个run.py。不用命令行的方式。

       项目下建个run.py，模拟runserver命令

       debug抓一下setting_module

       回到setup()中的最后一句apps.populate(settings.INSTALLED_APPS)

       开始看apps.populate()

       首先看这段

       这些App最后都会封装成为AppConfig。且会装载到self.app_configs字典中

       随后，分别调用每个appConfig的import_models()和ready()方法。

       App的装载部分大体如此

       为了方便debug我们改写下最后一句

       res的类型是Commanddjango.contrib.staticfiles.management.commands.runserver.Commandobjectat0xEDA0

       重点是第二句，让我们跳到run_from_argv()方法，这里对参数进行了若干处理。

       用pycharm点这里的handle会进入基类的方法，无法得到正确的走向。实际上子类Commond重写了这个方法。

       这里分为两种情况，如果是reload重载时，会直接执行inner_run()，而项目启动需要先执行其他逻辑。

       django项目启动时，实际上会启动两次，如果我们在项目入口(manage.py)中设置个print，会发现它会打印两次。

       第一次启动时，DJANGO_AUTORELOAD_ENV为None，无法进入启动逻辑。会进入restart_with_reloader()。

       在这里会将DJANGO_AUTORELOAD_ENV置为True，随后重启。

       第二次时，可以进入启动逻辑了。

       这里创建了一个django主线程，将inner_run()传入。

       随后本线程通过reloader.run(django_main_thread)，创建一个轮询守护进程。

       我们接下来看django的主线程inner_run()。

       当我们看到wsgi时，django负责的启动逻辑，就此结束了。接下来的工作交由wsgi服务器了

       这相当于我们之前在fastapi中说到的，将fastapi的app交由asgi服务器。(asgi也是django提出来的，两者本质同源)

       那么这个wsgi是从哪来的？让我们来稍微回溯下

       这个settings是一个对象，在之前的操作中已经从settings.py配置文件中获得了自身的属性。所以我们只需要去settings.py配置文件中寻找。

       我们来寻找这个get_wsgi_application()。

       它会再次调用setup()，重要的是，返回一个WSGIHandler类的实例。

       这就是wsgiapp本身。

       load_middleware()为构建中间件堆栈，这也是wsgiapp获取setting信息的唯一途径。导入settings.py，生成中间件堆栈。

       如果看过我之前那篇fastapi源码的，应该对中间件堆栈不陌生。

       app入口→中间件堆栈→路由→路由节点→endpoint

       所以，wsgiapp就此构建完毕，服务器传入请求至app入口，即可经过中间件到达路由进行分发。

我在Fedora下初学django遇到问题。大牛们来看看吧，帮帮我

       你是linux系统我也遇到过

       你可以下载一个django的源码包

       django/bin/django-admin.py其实你找的就是源码包里面的这个文件然后创建就可以了

       至于删除不了应该是权限不够你终端下sudorm-rf文件夹就可以了用的时候小心点删除就找不回来了

Django-Forms组件之钩子函数源码详解 一切从这里开始，先留个心

       tips:

form组件校验数据的规则：从上往下依次取值校验；

校验通过的放到cleaned_data;

校验失败的放到errors;

form中所有的字段默认都是必须传值的（required=True）;

校验数据的时候可以多传数据，多传的数据不会做任何校验，不会影响form校验规则

前端取消校验formaction=""method="post"novalidate

首先is_valid()是校验数据的部分，将数据放入is_valid()开始校验，合格的放在哪里，不合格的放在哪里，因此如果不执行is_valid,是不能执行后面的cleaned_data或者errors，也就是说他是循环每个字段分别去校验，而cleaned_data和errors本质上就是两个字典，用来存放正确的数据和错误的数据。

总结：学form组件最核心的方法是is_valid(),最重要的源码也是is_valid(),钩子函数也在is_valid()中。

       详解：首先铺陈一个基础，TrueandTrue返回的是True,TrueandFalse返回的是False。这里and连接两个返回，前面的self.is_bound返回的一定是True，那么is_valid最后返回True还是False取决于errors到底是空字典还是有键值的,而当errors为空字典，说明没有任何错误，那么not空就是True，如果errors里面有错误的键值，那么就返回False。

       详解：拿到两个初始变量，从逻辑上讲，接下来就是循环当前form类中的所有字段，依次判断输入进来的值和字段规则是否符合，符合就放入cleaned_data字典中，不符合就放入errors字典中。

tips:看源码时要知道自己该看什么，不要什么都看，只看我们当前逻辑关心的地方

       详解：

       1、self.fields在类实例化时完成赋值，self.fields={ "name":name字段对象,"password":password字段对象,"email":email字段对象}，所以name对应的是字段字符串，field对应的是字段对象(也是规则对象)，[比如这里就是name:"name"?field:name或者name:"password"?field:password]。

       2、往下看到value，这个value指的是传进来的字典的值(比如这里指字典中name的值wpr)。

       3、接着是ifisinstance(field,FileField),指的是字段对象是否为文件类型,在这里三个属性分别是CharField，CharField，EmailField，没有涉及到文件类型，所以走value=field.clean(value)。

       4、那就来分析value=field.clean(value)指的是用字段对象来校验这个value值，然后将它重新赋值给value，校验通过后加到cleaned_data字典中,name是这个字段字符串，value是这个通过的值，但是如果这里clean校验不通过，就会抛出一个validdation的错误,由于clean是用c语言封装起来的，所以不去深究，只要知道不通过会报错即可。

       5、下一句ifhasattr(self,'clean_%s'%name):?是当上面第一层校验通过后，再走第二层钩子函数的校验，判断当前类下是否有一个叫'clean_%s'%name名字的方法，如果有就将这个方法取出加个括号来调用这个方法，这时调用第二层钩子方法，得到一个返回值(敲黑板！！注意这里就是为什么在钩子函数中也要返回的原因，但是如果不写也不会报错，这是因为他已经通过了第一层校验，cleaned_data中已经存了那个名字，所以有时不加也没事，但为了防止版本问题产生不必要的bug，还是写上返回值，严谨！！！)

敲黑板：要第一层校验通过才走钩子函数，如果第一层都没通过，钩子是没用的！！！

       6、无论第一次还是第二次校验不通过就会抛出异常exceptValidationErrorase:self.add_error(name,e),把键和错误信息放入errors中。

       7、但是这时有个疑问，从逻辑上讲如果第一层通过了,cleaned_data已经存了正确的键值，那如果第二层不通过，cleaned_data就不应该有这个键值，那么关键就在这个add_error()中。

       8、那我们就进入add_error()中去一看究竟：

       9、那从整体看是通过tryexcept来控制，如果正确放入cleaned_data,如果错误放入errors中。

       、最后只要errors字典里面有键值，就返回False。

ps:可以将字段对象理解为字段规则/规则对象；

       字典是是无序的(.items)，但在最新版本中中将字典变成有序的了，有一个OrderedDict模块，这个字典保证我们的键值是有序的，在我们定义的时候谁是第一个键值，在我们以后用的时候他都是第一个，这就保证了我们校验的时候是有序的来，先校验第一个字段，再依次校验，如果是无序的，for循环的时候都不知道要校验哪一个；

怎么用django写好代码的重要性

       Django代码注意

       1、模板标签里面extend和include是冲突的，有了extend，include无法生效，原因：是底层渲染独立机制设计导致。

       2、#coding:utf-8这句只有放在代码文件第一行才能生效，放在注释字符串后面可能会失效。

       3、由于前端发展而导致的Post请求Rest化和Django原生的技术设施层简化还有事务封装前移，由此产生的结果是业务层完全可以放在views里面。同事Restful化的好处就是可以把跨业务模块调用放在前端，保证了后端模块之间的正切

       4、有用户自生成富文本内容的页面上最好不要放置带XSRF的POST表单，前者可能会窃取后者的Token信息。

       5、在template里面的==这一类比较逻辑运算符号两边必须有空格，否则影响模板解析

       6、form.is_valid内部逻辑中的Clean_data处理中抛出的异常不会向外传递，只会变成form.is_valid()返回false.

       7、Django的业务层和View层怎么切分这个问题，一个简单的方法就是给业务层传递什么层级的参数，个人觉得传递验证过的form比较合适。

       8、多级ifelse的两个简化技巧：1是直接用except处理；2是该半路return的直接return掉,这样做虽然不符合过程编程函数设计原则，但是代码相对简洁了很多。

       9、Ubuntu生产环境下不能PrintUnicode中文，否则会导致error.

       、因为DJango的机制和事务机制，所以Django的View层对异常处理代码的依赖比较弱。

       、modelform定义：没有在前端页面出现的字段，一定要exclude掉或者Null了，不过Null会影响默认值，所以最好的方法是Exclude掉，否则即便blank掉，也会导致form存储时出错。因为表单中字段不出现会把默认值覆盖成Null。比exclude更方便的定义方式是定义fields元信息，这样model添加不用的字段不用跑来重新更新form定义

       、数据库存时区性数据的格式化显示一定要放在template里面用date之类的过滤器操作，如果用datetime的striftime直接格式化，会导致时区性数据丢失，出来的时间成了格林威治时间值了，如果在代码中strifttime处理,可以先用django.utils.timezone.localtime方法处理一下，这样出来的时间才是正常的

       、Django调试中的一个问题：众所周知，runserver启动，改动代码，服务会重启，但是改动自定义标签代码，服务是不会重启的。

       、form验证的errors在比较旧的版本里面是没有文本信息，前一段时间看文档，发现新版本有对errors有所加强，比较好用的比如as_json()和as_text()，两个方法，我在比较旧的版本中是自己写个函数对errors对象做解析生成反馈文本信息。

       、ManyToMany字段的through不能addorremove，为了扩展性的考虑，建议默认都加上through，可以为中间关系表加个date_added字段，顺便都加上unique_together约束，不过用through是有缺陷的：写操作略麻烦。那么如果你没加through，准备改成加through的，应该怎样最小改动的操作哪，应该是先把这个ManyToMany字段删除掉，并且migrate生效，然后再加一个有through的ManyToMany字段，当然了后台的数据还的备份重生效一次。这应该算是目前DjangoMigration特性的一个缺陷。

Django页面html代码暄染问题请教~

       我觉得是你把模板的写法搞错了，在上面的2.中，你传到模板的参数是一个字典，在Django的模板中只能使用这个字典的“键”就是变量，你在模板中用mailcon.lettercon，从模板翻译到Python后就是lettercon.lettercon，那样就是不对的了，应该模板里面直接写{ { mailcon|safe}}，这里的mailcon就是你Python里面的lettercon变量

       结语：以上就是首席CTO笔记为大家介绍的关于django如何防止源码泄露的全部内容了，希望对大家有所帮助，如果你还想了解更多这方面的信息，记得收藏关注本站。