Django 安全策略的 7 条总结!
Florian Apolloner 发言主题为 Django 安全,其中并未讨论针对 SSL 协议的攻击--因为那不在 Django 涉及范围内。(如感兴趣可参考 https://www.ssllabs.com/ssltest/)。
如发现 Django 的安全漏洞,请参阅 https://djangoproject.com/security,并通过此邮箱与我们联系:security@djangoproject.com。请勿将其公开,因为这会给漏洞修补造成极大的困难。
关于安全:参考 OWASP 十大网站安全隐患。以下是几条安策略总结。
SQL/SMTP/OS 注入
基本规则是不要直接使用用户输入的内容。用户在网站界面输入的所有内容均应视作危险内容。如果你将用户输入的用户名字符串直接注入数据库,像这样的语句 select * from auth_user where username=%s
,那就很容易被注入漏洞。当然如果使用 Django ,它能在内部进行转义处理,从而降低风险。
最好的方法是实现层级防御。如果给 URL 中的数值限制一个参数,并通过 ID 而不是字符串来选择用户,就预防了许多问题。同样的道理也适用于操作系统交互。用 Django 组件代替你自己的数据存储或邮箱,因为这些组件的安全性较高,如果没有 Django 组件,例如 LDAP 认证,那就应该小心了,因为你只得靠自己。总之,不推荐字符串插入。
总之千万不要直接使用用户输入的所有内容,如 http 头信息、上传的文件名或内容类型等。
认证和会话管理
基本规则:使用 Django 提供的功能。
Django 本身为保证安全做了很多工作,密码均为加密保存,且采用多种算法,随着多个版本的迭代,新版本又有各种新的算法。Django 从1.9版本开始有了密码验证功能,包括长度检查、数字字符和通用字的验证,此外还可以自主增加验证内容。因此使用1.9版本的要记得使用哦。
Django 允许使用密码重置链接,其间服务器不需要储存任何内容。这个链接发送给用户,只能使用一次并且使用一次就可以重置密码。链接中包含用户 ID、时间戳、用户上次登录时间的 HMAC 哈希值,以及其他几项内容。如果想启用这个链接,可以配置 django.core.signing.*
。
跨站脚本攻击(XSS)
Django 的自动转义功能可阻止大量 XSS,但这仅适用于 HTML,它会用字符代替 < > ' "
,属性都添加引号来进行标识。而 Javascript 则需要不同的转义 !var mystr="{{ value|escapejs}}"
。
典型的 XSS 攻击结果为 data="</script><script>alert('xss')'//"
。
如果想在在模板中插入json,那么:
var json = JSON.parse('{{ data|escapejs }}');
或者使用 django -argonauts ,这样:
var json = {{ data|json }};
如果想进行进一步的防御,则要启动 Django 的 XSS 保护,它所采用的 http 标头能使浏览器更严格地选择打开的内容,阻止内联 js 和事件处理器。
最关键的是要检查你的库以及代码,因为很多人仅仅是这样配置 mark_safe(json.dumps()
。
跨站请求伪造(CSRF)
图片链接基本采用这样方式:<img src="mybank.com/t/?amount=1000&to=apollo13">
,该功能已默认启用,可以防止攻击者将一名用户连同有害请求一同发送给网站。Django 通过以下方法防御该攻击:在表格中随机生成一个值,并在你的 cookie 中设置随机值,如果直接进入表格并输入该值,便能匹配;如信息来自不同网站,则无法匹配。
未经验证的重定向和转发
像 /auth/login/?next=http://evil.com
这样的请求,登录后即进入evil.com,而这显然存在隐患,因此要配置使用 Django.utils.http.is_safe_url()
,其包含的注释比代码还多,表明这是很难使用的代码。
检验安全列表
运行 manage.py check –deploy
,确保每一项配置都正确。该操作会检查你可能遗漏的安全设置。
改进
如何改进 Django?
- 限制登录速率
- 双重要素认证( TOTP 和 U2F 可作为参考实现方式)。
- CSRF 提升(#16859)。
- JSON 模板过滤器,未来将纳入 Django 核心功能。
- SecurityMiddleware 增强(详见此处)。
- 实现内容安全策略。
- 限制 POST/GET 数据长度。
原文链接:http://reinout.vanrees.org/weblog/2015/11/06/django-security.html 本文是 Florian Apolloner 在 2015 Django under the hood 大会的发言总结,系 OneAPM 工程师编译整理。
本文转自 OneAPM 官方博客