No.1
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
No.2
前言
因为之前运用django框架不规范的开发,写了一堆web漏洞,之后学习了一波web安全开发,做一个学习笔记。下面就针对这些常用问题做一些总结。都是基础,大神勿喷。
No.3
sql注入
虽然现在很多直接运用ORM映射到数据库,这一块问题不大。但是在处理大数据多表联合查询的时候速度不如原生sql语句快,运用了mysqldb的库,导致会有危险。但是也有应对办法。
图一
图二
图1图2两个是有差别的,图二可以直接把单引号转义掉。第二种办法,在进入sql语句前,先进行一波正则匹配。比如对数字进行int—str—int强转,对一些敏感字符,例如select,,,进行筛选。对字数进行限制等。
No.4
host头验证
漏洞检查,f12抓包,修改Host字段值,发送,查看响应中是否包含修改后的Host字段值。解决办法,使用django.