从 WTForm 的 URLXSS 谈开源组件的安全性
0x00 开源组件与开源运用
开源组件是咱们咱们平常开发的时分必不行少的东西,所谓『不要重复造轮子』的原因也是因为,许多封装好的组件咱们在开发中能够直接调用,减少了重复开发的工作量。
开源组件和开源程序也有一些差异,开源组件面向的运用者是开发者,而开源程序就能够直接面向用户。开源组件,如JavaScript里的uploadify,php里的PHPExcel等;开源程序,如php写的wordpress、joomla,node.js写的ghost等。
就安全而言,毋庸置疑,开源组件的缝隙影响面远比开源软件要大。但许多开源组件的缝隙却很少呈现在咱们眼中,我总结了几条原因:
特别是现在国内浮躁的安全气氛,能够显着感遭到之一条原因。就前段时间呈现的几个影响较大的缝隙:Java反序列化缝隙、joomla的代码履行、redis的写ssh key,能够显着感觉到后两者炒的比前者要响,而前者不愠不火的,曝光了近一年才遭到广泛重视。
Java反序列化缝隙,刚好便是典型的『组件』特性形成的问题。早在2019年的1月28号,就有白帽子报告了运用Apache Commons Collections这个常用的Java库来完成恣意代码履行的办法,但并没有太多重视(本来国外也是这样)。直到11月有人提出了用这个办法进犯WebLogic、WebSphere、JBoss、Jenkins、OpenNMS等运用的时分,才被忽然炒起来。
这种比照显着反应出『开源组件』和『开源运用』在安全缝隙重视度上的距离。
我个人在乌云上发过几个组件缝隙,从前年发的ThinkPHP结构注入,到后边的Tornado文件读取,到slimphp的XXE,根本都是我自己在运用完这些组件后,对全体代码做code review的时分发现的。
这篇文章以一个比方,简略地谈谈怎么对第三方库进行code review,与怎么正确运用第三方库。
0x01 WTForm中的弱validator
WTForms是python web开发中重要的一个组件,它供给了简略的表单生成、验证、转化等功用,是很多python web结构(特别是flask)不行短少的辅佐库之一。
WTForms中有一个重要的功用便是对用户输入进行查看,在文档中被称为validator:
http://wtforms.readthedocs.org/en/latest/validators.html
A validator simply takes an input, verifies it fulfills some criterion, such as a maximum length for a string and returns. Or, if the validation fails, raises a ValidationError. This system is very simple and flexible, and allows you to chain any number of validators on fields.
咱们能够简略地运用其内置validator对数据进行查看,比方咱们需求用户输入一个『不为空』、『最短10个字符』、『最长64个字符』的『URL地址』,那么咱们就能够编写如下class:
#!py
class MyForm(Form):
url = StringField("Link", validators=[DataRequired(), Length(min=10, max=64), URL()])
以flask为例,在view视图中只需调用validate()函数即可查看用户的输入是否合法:
#!py
@app.route('/', methods=['POST'])
def check():
form = MyForm(flask.request.form)
if form.validate():
pass # right input
else:
pass # bad input
典型的灵敏开发手法,减少了许多开发工作量。
但我自己在做code review的过程中发现,WTForms的内置validators并不行信,与其说是不行信,不如说在安全性上部分validator完全不起任何效果。
就拿上诉代码为比方,这段代码真的能够查看用户输入的数据是否是一个『URL』么?咱们看到wtforms.validators.URL()类:
#!py
class URL(Regexp):
def __init__(self, require_tld=True, message=None):
regex = r'^[a-z]+://(?P<host>[^/:]+)(?P<port>:[0-9]+)?(?P<path>/.*)?$'
super(URL, self).__init__(regex, re.IGNORECASE, message)
self.validate_hostname = HostnameValidation(
require_tld=require_tld,
allow_ip=True,
)
def __call__(self, form, field):
message = self.message
if message is None:
message = field.gettext('Invalid URL.')
match = super(URL, self).__call__(form, field, message)
if not self.validate_hostname(match.group('host')):
raise ValidationError(message)
其承继了Rexexp类,实际上便是对用户输入进行正则匹配。咱们看到它的正则:
regex = r'^[a-z]+://(?P<host>[^/:]+)(?P<port>:[0-9]+)?(?P<path>/.*)?$'
可见,这个正则与开发者了解的URL严峻的不匹配。大部分的开发者期望取得的URL是一个『HTTP网址』,但这个正则匹配到的却广泛的太多了,更大特色便是其可匹配恣意protocol。最简单想到的一个进犯方式便是运用Javascript协议触发的XSS,比方我传入的url是
javascript://...xss
[1] [2] [3] 黑客接单网
相关文章
黑客的联系方法qq号可以接单,黑龙江黑客联系方式,找国外黑客
可是,抛开进犯者不谈,在日常的代码研讨剖析中,对二进制文件的剖析运用是必不可少的,那么研讨者对二进制文件是不是没有办法呢? var data = datad.data;...
黑客接单:全面讲解xp的技巧
黑客接单平台:详细讲解渗透"专用"系统xp的技巧大全: 第一招:桌面相关选项的禁用 WindowsXP的桌面就像你的办公桌一样,有时需要进行整理和清洁。有了组策略编辑器之后,这项工作将变...
拿站_找一本主角拍黑客帝国的小说-黑客接单平台
《CLR via C#, Second Edition (Pro Developer)》在一个东西处理HTTP 恳求和呼应时,它能够挑选调用其他恣意的Burp东西。 例如:关于某些人来说从他们的开发数...
在哪里才能够找到真正的黑客接单,找黑客转专业,找黑客要多少钱
print 'X-Spreaker-Auth: %s'%(digest) D.其他任何感兴趣的网卡数据包,如POP,SMTP等cat ./- $blogids = array();Spider(蜘蛛)...
黑客接单删违章记录吗,网贷黑客高手联系方式,qq被盗取找黑客
BGP安全性有待进一步提高 从昨日开端,这个从澳大利亚远渡重洋而来的BASH长途指令履行缝隙就欢腾了整个FreeBuf,我们都在议论,“互联网的心脏又出血了”,但是,亲,究竟怎样...
现实中真的有黑客接单网站吗,黑客怎么找份工作,找一名黑客老师
location.href = 'https://www.google.com/chrome/';import java.rmi.registry.LocateRegistry;ARP诈骗与MITM%...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!