影響版本:
django 1.2.5
django 1.3 beta 1
django 1.2.4
django 1.2.2
django 1.2
漏洞描述:
django是一款開放源**的web應用框架,由python寫成。
django存在多個安全漏洞,允許攻擊者獲得敏感資訊,運算元據,進行快取毒藥攻擊或進行拒絕服務攻擊。
1)當使用快取後端時django.contrib.sessions中處理會話存在錯誤,可被利用操作會話資訊。要成功個利用漏洞需要已知會話key和應用程式允許攻擊者使用合法會話key儲存字典類物件到緩衝中。
2)django模型系統包括乙個字段型別– urlfield –,用於校驗提供的值是否為合法url,如果布林關鍵字引數verify_exists為真,會嘗試校驗提供的url並解析。預設情況下,底層套接字沒有 超時設定,攻擊者可以利用此漏洞傳送特製url消耗所有伺服器記憶體,造成拒絕服務攻擊。
3)當校驗提供給」urlfield」字段型別的urls處理重定向應答存在錯誤,攻擊者可以利用此漏洞把重定向應答返回給」file://」 url,可判斷伺服器上的本地檔案是否存在。
4)當生成重定向應答的全路徑url時處理」x-forwarded-host」 http頭存在錯誤,攻擊者可以利用此漏洞進行快取毒藥攻擊。
Django開發筆記 安裝Django框架並初始化
方法一 直接安裝 pip install django 建立並進入工程根目錄 touch django demo cd django demo 先建立個虛擬環境 virtualenv venv source venv bin activate 使用echo命令將pip tools和django庫寫入...
python開發 Django框架使用
django框架是由python開發的免費的開源 框架,可用於快速搭建高效能,優雅的 首先需要的就是python環境可以選擇python2.7版本或者python3版本,目前我本機安裝的是python3,雖然網上評價不是很好,但是,我還是毅然決然的學則python3。然後就是django版本的選擇了...
Django框架01 開發環境
大部分開發語言中都有mvc框架,mvc框架的核心思想是解耦,降低各功能模組之間的耦合性,方便變更,更容易重構 最大程度上實現 的重用。m表示model,主要用於對資料庫層的封裝。v表示view,用於向使用者展示結果。c表示controller,是核心,用於處理請求 獲取資料 返回結果。django是...