zoukankan      html  css  js  c++  java
  • Tornado 编写安全应用

    Tornado Web服务器从设计之初就在安全方面有了很多考虑,使其能够更容易地防范那些常见的漏洞。安全 cookies 防止用户的本地状态被其浏览器中的恶意代码暗中修改。此外,浏览器cookies 可以与 HTTP 请求参数值作比较来防范跨站请求伪造攻击。
    Cookie 漏洞:
    许多网站使用浏览器 cookies 来存储浏览器会话间的用户标识。这是一个简单而又被广
    泛兼容的方式来存储跨浏览器会话的持久状态。不幸的是,浏览器 cookies 容易受到一
    些常见的攻击。
     
    Cookie 伪造:有很多方式可以在浏览器中截获 cookies。JavaScript 和 Flash 对于它们所执行的页面
    的域有读写 cookies 的权限。浏览器插件也可由编程方法访问这些数据。跨站脚本攻击
    可以利用这些访问来修改访客浏览器中 cookies 的值。
     
    安全 Cookies:Tornado 的安全 cookies 使用加密签名来验证 cookies 的值没有被服务器软件以外的任
    何人修改过。因为一个恶意脚本并不知道安全密钥,所以它不能在应用不知情时修改
    cookies。

    使用安全 Cookies:Tornado 的 set_secure_cookie()和 get_secure_cookie()函数发送和取得浏览器
    的 cookies,以防范浏览器中的恶意修改。为了使用这些函数,你必须在应用的构造函数(settings)中指定 cookie_secret (cookie的安全密钥)参数。

    在 调用set_secure_cookie()写cookie时,会用settings中设置的cookie_secret安全密钥来对cookie进行签 名,当调用get_secure_cookie()时就会用cookie_secret安全密钥对取出的cookie值进行验证,若cookie时间戳汰 旧,或者签名与期望值不匹配则认为cookie已遭篡改,则get_secure_cookie()返回None,否则则返回cookie的值。
     
    传递给 Application 构造函数的 cookie_secret 值应该是唯一的随机字符串。在 Python shell
    下执行下面的代码片段将产生一个你自己的值:
    >>> import base64, uuid
    >>> base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes)
    'bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E='
    然而,Tornado 的安全 cookies 仍然容易被窃听。攻击者可能会通过脚本或浏览器插件
    截获 cookies,或者干脆窃听未加密的网络数据。记住 cookie 值是签名的而不是加密的。
    恶意程序能够读取已存储的 cookies,并且可以传输他们的数据到任意服务器,或者通
    过发送没有修改的数据给应用伪造请求。因此,避免在浏览器 cookie 中存储敏感的用
    户数据是非常重要的。
    我们还需要注意用户可能修改他自己的 cookies 的可能性,这会导致提权攻击。比如,
    如果我们在 cookie 中存储了用户已付费的文章剩余的浏览数,我们希望防止用户自己
    更新其中的数值来获取免费的内容。httponly 和 secure 属性可以帮助我们防范这种
    攻击。
     
    HTTP-Only 和 SSL Cookies
    Tornado 的 cookie 功能依附于 Python 内建的 Cookie 模块。因此,我们可以利用它所
    提供的一些安全功能。这些安全属性是 HTTP cookie 规范的一部分,并在它可能是如
    何暴露其值给它连接的服务器和它运行的脚本方面给予浏览器指导。比如,我们可以通
    过只允许 SSL 连接的方式减少 cookie 值在网络中被截获的可能性。我们也可以让浏览
    器对 JavaScript 隐藏 cookie 值。
    为 cookie 设置 secure 属性来指示浏览器只通过 SSL 连接传递 cookie。(这可能会产
    生一些困扰,但这不是 Tornado 的安全 cookies,更精确的说那种方法应该被称为签名
    cookies。)从 Python 2.6 版本开始,Cookie 对象还提供了一个 httponly 属性。包括
    这个属性指示浏览器对于 JavaScript 不可访问 cookie,这可以防范来自读取 cookie 值
    的跨站脚本攻击。
    为了开启这些功能,你可以向 set_cookie 和 set_secure_cookie 方法传递关键字参
    数。比如,一个安全的 HTTP-only cookie(不是 Tornado 的签名 cookie)可以调用
    self.set_cookie('foo', 'bar', httponly=True, secure=True)发送。
     
    请求漏洞
    任何 Web 应用所面临的一个主要安全漏洞是跨站请求伪造,通常被简写为 CSRF 或
    XSRF,发音为"sea surf"。这个漏洞利用了浏览器的一个允许恶意攻击者在受害者网站
    注入脚本使未授权请求代表一个已登录用户的安全漏洞。让我们看一个例子。
     
    防范请求伪造:
    有很多预防措施可以防止这种类型的攻击。首先你在开发应用时需要深谋远虑。任何会
    产生副作用的 HTTP 请求,比如点击购买按钮、编辑账户设置、改变密码或删除文档,
    都应该使用 HTTP POST 方法。无论如何,这是良好的 RESTful 做法,但它也有额外的
    优势用于防范像我们刚才看到的恶意图像那样琐碎的 XSRF 攻击。但是,这并不足够:
    一个恶意站点可能会通过其他手段, HTML 表单或 XMLHTTPRequest API 来向你的应用发送 POST 请求。保护 POST 请求需要额外的策略。
     
    为了防范伪造 POST 请求,我们会要求每个请求包括一个参数值作为令牌来匹配存储在
    cookie 中的对应值。我们的应用将通过一个 cookie 头和一个隐藏的 HTML 表单元素向
    页面提供令牌。当一个合法页面的表单被提交时,它将包括表单值和已存储的 cookie。
    如果两者匹配,我们的应用认定请求有效。
    由于第三方站点没有访问 cookie 数据的权限,他们将不能在请求中包含令牌 cookie。
    这有效地防止了不可信网站发送未授权的请求。正如我们看到的,Tornado 同样会让这
    个实现变得简单。
     
    使用 Tornado 的 XSRF 保护
    你可以通过在应用的构造函数中包含 xsrf_cookies 参数来开启 XSRF 保护:
    settings = {
    "cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",
    "xsrf_cookies": True
    }
    application = tornado.web.Application([
    (r'/', MainHandler),
    (r'/purchase', PurchaseHandler),
    ], **settings)
    当这个应用标识被设置时,
    Tornado 将拒绝请求参数中不包含正确的_xsrf 值的 POST、
    PUT 和 DELETE 请求。Tornado 将会在幕后处理_xsrf cookies,但你必须在你的 HTML
    表单中包含 XSRF 令牌以确保授权合法请求。要做到这一点,只需要在你的模板中包含
    一个 xsrf_form_html 调用即可:
    <form action="/purchase" method="POST">
    {% raw xsrf_form_html() %}
    <input type="text" name="title" />
    <input type="text" name="quantity" />
    <input type="submit" value="Check Out" />
    </form>
     
    开 启了XSRF防护后,Tornado对所有的POST请求默认是不信任的,所以当提交post表单是必须包含一个token,{% raw xsrf_form_html() %}这个标签会获取cookie中的_xsrf的cookie值,并且在html标签中包含cookie的头信息,及用hidden表单提交token值 到服务器,服务器用这个token值与cookie中存储的对应值做比较,若匹配则说明post请求是可信任的,否则则不可信任。
     
    XSRF 令牌和 AJAX 请求
    AJAX 请求也需要一个_xsrf 参数,
    但不是必须显式地在渲染页面时包含一个_xsrf 值,
    而是通过脚本在客户端查询浏览器获得 cookie 值。下面的两个函数透明地添加令牌值
    给 AJAX POST 请求。
    第一个函数通过名字获取 cookie,
    而第二个函数是一个添加_xsrf
    参数到传递给 postJSON 函数数据对象的便捷函数。
    function getCookie(name) {
    var c = document.cookie.match("\b" + name + "=([^;]*)\b");
    return c ? c[1] : undefined;
    }
    jQuery.postJSON = function(url, data, callback) {
    data._xsrf = getCookie("_xsrf");
    jQuery.ajax({
    url: url,
    data: jQuery.param(data),
    dataType: "json",
    type: "POST",
    success: callback
    });
    }
    这些预防措施需要思考很多,而 Tornado 的安全 cookies 支持和 XSRF 保护减轻了应
    用开发者的一些负担。可以肯定的是,内建的安全功能也非常有用,但在思考你应用的
    安全性方面需要时刻保持警惕。有很多在线 Web 应用安全文献,其中一个更全面的实
    践对策集合是 Mozilla 的安全编程指南。
     
    用户验证:
    在 需要认证用户才允许访问的处理函数上使用@tornado.web.authenticated可以在调用之前先验证用户是否已登陆认证,若未登陆,则跳 转到settings中设置的login_url(渲染登陆页面),并且会附加上一个next参数,值为我们当前想要访问的url

    示例:欢迎回来

    在这个例子中,我们将只通过存储在安全cookie里的用户名标识一个人。当某人首次在某个浏览器(或cookie过期后)访问我们的页面时,我们展示一个登录表单页面。表单作为到LoginHandler路由的POST请求被提交。post方法的主体调用set_secure_cookie()来存储username请求参数中提交的值。

    代码清单6-2中的Tornado应用展示了我们本节要讨论的验证函数。LoginHandler类渲染登录表单并设置cookie,而LogoutHandler类删除cookie。

    import tornado.httpserver
    import tornado.ioloop
    import tornado.web
    import tornado.options
    import os.path
    
    from tornado.options import define, options
    define("port", default=8000, help="run on the given port", type=int)
    
    class BaseHandler(tornado.web.RequestHandler):
        def get_current_user(self):
            return self.get_secure_cookie("username")
    
    class LoginHandler(BaseHandler):
        def get(self):
            self.render('login.html')
    
        def post(self):
            self.set_secure_cookie("username", self.get_argument("username"))
            self.redirect("/")
    
    class WelcomeHandler(BaseHandler):
        @tornado.web.authenticated
        def get(self):
            self.render('index.html', user=self.current_user)
    
    class LogoutHandler(BaseHandler):
        def get(self):
        if (self.get_argument("logout", None)):
            self.clear_cookie("username")
            self.redirect("/")
    
    if __name__ == "__main__":
        tornado.options.parse_command_line()
    
        settings = {
            "template_path": os.path.join(os.path.dirname(__file__), "templates"),
            "cookie_secret": "bZJc2sWbQLKos6GkHn/VB9oXwQt8S0R0kRvJ5/xJ89E=",
            "xsrf_cookies": True,
            "login_url": "/login"
        }
    
        application = tornado.web.Application([
            (r'/', WelcomeHandler),
            (r'/login', LoginHandler),
            (r'/logout', LogoutHandler)
        ], **settings)
    
        http_server = tornado.httpserver.HTTPServer(application)
        http_server.listen(options.port)
        tornado.ioloop.IOLoop.instance().start()

    代码清单6-3和6-4是应用templates/目录下的文件。

    代码清单6-3 登录表单:login.html
    <html>
        <head>
            <title>Please Log In</title>
        </head>
    
        <body>
            <form action="/login" method="POST">
                {% raw xsrf_form_html() %}
                Username: <input type="text" name="username" />
                <input type="submit" value="Log In" />
            </form>
        </body>
    </html>
    代码清单6-4 欢迎回客:index.html
    <html>
        <head>
            <title>Welcome Back!</title>
        </head>
        <body>
            <h1>Welcome back, {{ user }}</h1>
        </body>
    </html>
  • 相关阅读:
    Java8 Lambda表达式实战之方法引用(一)
    Lambda表达式的语法与如何使用Lambda表达式
    最后一个元素放到第一个,其他元素向后移动一位
    java8lambda表达式初识
    通过反射获取类上的注解
    注解之注解的属性
    java元注解(注解在注解上的注解)
    反射的应用场景
    通过反射获取对象的构造器
    20199324 2019-2020-2 《网络攻防实践》第1周作业
  • 原文地址:https://www.cnblogs.com/wuxinqiu/p/3959513.html
Copyright © 2011-2022 走看看