原来Django的anti-csrf中间件就是一摆设

amxku 发表于 2011-04-28, 22:44

最近基于Django做些东西,也是边学边做

这Django确实是不错,比较省事,效率也比较高

今天下午在调试Django和公司文档系统时候,在cookie的处理上有些问题,搞了半天也没搞定。在后面的测试过程中,发现好像Django的CSRF中间件好像有点问题,Django是通过在csrfviewmiddleware中进行相关的验证处理,token是存储在cookie里面。其实验证过程很简单,就是把token POST过去和Cookie中的做比对,,但是问题是都是csrfmiddlewaretoken,post中的也是从cookie里拿的,其实就是同一个值来做比对处理,就相当于你POST “123”过去,他就判断“123”和“123”是否匹配,这他妈的不是和没验证一样。。。

网上找了圈,发现已经有人提到了这个问题。。。15845,不知道Django会不会也和ruby on rails 一样用owasp的csrf Guard 的代码,呵呵

关键词: django , python

发表在: 技术相关 1 条评论 阅读 1565 次

我安装的软件备忘(for mac)_20110228

amxku 发表于 2011-02-28, 17:24

有个朋友要,也算是自己做个备忘吧

  • 输入法;我用的QIM,用着还蛮不错,不过是商业软件,暂不提供下载,呵呵

» 阅读全文

关键词: mac

发表在: 杂七杂八 8 条评论 阅读 2359 次

最近(武汉之行)

amxku 发表于 2010-10-16, 23:00

好长时间没去武汉了,记得上次回武汉还是08年到那边出差

总之变化还是蛮大的,不过依然还是一样的堵车,那不是一般的堵车。朋友到机场接我,开了两个多小时才到武昌的酒店,简直是惨不忍睹,下次应该先准备好吃的再上车,这个篇武汉系列写得着实很贴切。只是好像学生更多了,随处都可见到学生、非主流,看到好多公司都在武汉的学校做宣讲,这次没见到什么美女,估计是时间没赶对

这次过去事情基本上都落实了,过程也是比较曲折,本来很简单的事情,他非要给你绕来绕去的。这个世界啊,金钱的作用是你无法想象到的,绝对牛x的。钱能使鬼推磨,这句话一点也不假。这次赌得有点大了,压力好大

下周二去北京,OWASP,RSA的会议,期待能有一些收获。去年OWASP在上海做了一次交流,希望今年能做得更好一些

最近和公司同事在研究“WEB安全与用户体验”,比较搞的一个议题,要做得深入的话也比较难,慢慢来

BTW:公司招人,web安全方向,有意向的朋友可以联系下,谢谢 @dmgapp

 --EOF--

发表在: 生活琐碎 9 条评论 阅读 2310 次

时光机器

amxku 发表于 2010-09-11, 21:27

已经有很长时间没有更新blog了,估计已经闲置得长草了。上一次更新竟然已经是6月了

最近做的几个项目,因为这样那样的原因而处于停滞。过程中发现很多事情并不是想象中的那么容易,没有实际去尝试过还真不知道里面的深浅,在进行的过程中有太多了不可控因素了。没办法在初期就想得很透彻,也没办法完全按照预期来执行。不过所有的事情都是事在人为

因为下周要开始休假了,SE Report 估计要推迟到10月份了。对SE商用用户比较抱歉。看了前几天的反馈邮件,我这感动的一塌糊涂啊,内牛满面啊

生活依旧有条不紊的进行着,该向前的还在向前,该颓废的依然是颓废,时间还是在不停的转动,发发牢骚

发表在: 生活琐碎 7 条评论 阅读 2318 次

曾经的记忆

amxku 发表于 2010-06-19, 10:38

最近看到好多朋友都在做自己的T-shirt,风起云涌了,哈哈。昨天在家收拾东西,整理衣服啥的。竟然发现了05年的时间自己画的T-shirt。5年 时间了,衣服已经在开始褪色了。上图怀念下。

img_3060.jpg - 大小: 737.94 KB - 尺寸: x - 点击打开新窗口浏览全图

» 阅读全文

发表在: 杂七杂八 9 条评论 阅读 2792 次

Visual Studio的广告剧

amxku 发表于 2010-06-14, 16:34

一个热衷于code的developer,一个热衷于developer的girl,他们将发生怎样的故事?

深深的情愫,淡淡的烦恼,他们是幸福的。

发表在: 杂七杂八 5 条评论 阅读 3788 次

交易类WAP站点在数据传输过程中的风险

amxku 发表于 2010-04-02, 17:26

现在中国移动提供的GPRS大致分为两类,一类是CMWAP,另一种是CMNET。

CMNET

CMNET拥有完全的Internet访问权,CMNET就像我们使用电脑连接互联网,CMNET其实就是移动的 Internet,分配的IP是公网的地址。采用的实现方式是“终端+服务器”的工作模式。

CMWAP

CMWAP接入方式只开放HTTP代理协议(80和8080端口)和WAP网关协议(9201端口),仅支持http和WAP协 议(数据通过WTLS传输)。采用的实现方式是“终端+WAP网关+WAP服务器”的模式。主要的目的是通过WAP网关完成 WAP-WEB的协议转换以达到节省网络流量和兼容现有WEB应用等目的(本文档仅针对WAP1.X)。

» 阅读全文

关键词: 安全 , 工作 , 技术

发表在: 技术相关 12 条评论 阅读 5085 次

说说Filter JS

amxku 发表于 2010-03-11, 17:48

开了一上午的会,来讨论FilterJS上的一些东西。

公司现在有很多这种情况存在,因为应用太繁杂,前期在测试时发现了很多这样的问题。其实之前很少关注FilterJS方面的东西,对于这一块的安全问题,仅仅是在owasp的一次会议上看到过对淘宝的攻击演示。

google到了一些相关的资料,学习学习。

OWASP ESAPI for Javascript
Javascript 的输入输出,以及二次渲染问题
owasp-esapi-js
Bypassing OWASP ESAPI XSS Protection inside Javascript

记录下,感叹关注面之窄啊。最近老是感觉时间不够用,怎么回事啊

发表在: 技术相关 , 杂七杂八 7 条评论 阅读 3731 次
Total: 577‹ Prev1234567Next ›Last »