记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Django的信号机制—Signals

阅读: 13我们经常会在影视作品中听到一句话: 看我的眼神行事。 我们: 嗯嗯?? 眼神。这个眼睛小了可能看不到。 那这个信号就很难说收不收的到了,还好代码不会模糊。在Django中当我们需要在某些Model改变时候,做一些用户权限修改,或者通过引擎下发一些内容,可以使用Django本身的信号机制。Django 提供一个“信号分发器”,允许解耦的应用在框架的其它地方发生操作时会被通知到。简单来说,信号允许特定的sender通知一组receiver某些操作已经发生。这在多处代码和同一事件有关联的情况下很有用。“有用???” , 那到底好不好用啊先让我们看看Django本身都有哪些信号:文章目录內建信号內建信号的使用自定义信号send()send_robust()在哪里注册信号內建信号Django本身已经在很多的处
发布时间:2018-03-12 15:05 | 阅读:55163 | 评论:0 | 标签:安全分享 django django信号 singles

【Django源码浅析】——Django命令模块

阅读: 63下边是正文….首先大概看一下Django 项目的主要目录,初步建立一下Django源码的世界观。<span lang="EN-US">├── django          </span></code><span class="hljs-comment"><span lang="EN-US">//</span>工程代码存放路径<span lang="EN-US">├── docs            </span></code><span lang="EN-US">//</span>文档<span lang="EN-US">├── extras
发布时间:2017-07-12 18:45 | 阅读:65266 | 评论:0 | 标签:安全分享 django Django命令模块 Django源码浅析 命令源码

Django CSRF 防护绕过漏洞分析

0x01 Django CSRF Bypass 原始漏洞链接 https://hackerone.com/reports/26647 0x02 使用 Google Analytics 进行 Cookie 注入 Google Analytics 会设置这样的 Cookie 来追踪用户访问__utmz=123456.123456789.11.2.utmcsr=[HOST]|utmccn=(referral)|utmcmd=referral|utmcct=[PATH]比如__utmz=123456.123456789.11.2.utmcsr=blackfan.ru|utmccn=(referral)|utmcmd=referral|utmcct=/path/用户可以完全控制 referer 中的 path,然后在放入
发布时间:2016-10-14 22:30 | 阅读:94125 | 评论:0 | 标签:Web安全 bypass cookie注入 csrf Django 漏洞分析 CSRF 漏洞

Mozilla向7个开源项目捐助最多20万美元

Mozilla今年10月宣布了开源支持计划,向它使用的关键开源项目捐款100万美元。现在,Mozilla公布了首批捐助的7个开源项目:持续构建和集成系统Buildbot获得1.5万美元资助,源码编辑器CodeMirror获得2万美元资助,论坛软件 Discourse获得2.5万美元资助,为复杂项目构建文档的Read The Docs项目获得4.8万美元, 分布式源码管理系统Mercurial获得7.5万美元资助,服务器端Web开发框架Django获得15万美元资助,入侵检测系统使用的网络监视软件 Bro获得20万美元资助。  
发布时间:2015-12-11 22:20 | 阅读:45557 | 评论:0 | 标签:业界 CodeMirror Django Mozilla

分布式漏洞扫描系统设计与实现

一·概述 1.1 前言 由于信息在当今社会显得越来越重要,其安全性就越发突出,尤其是在近几年,信息安全越来越受到企业的重视。 如今,几乎所有的互联网都有开发自己的漏洞扫描平台,用于发现内外部的安全隐患。此外,很多专业的安全工程师就有自己开发的漏洞挖掘系统,随着各种漏洞平台的出现,这种系统也越来越多,越来越强大。 1.2 何去何从 对于一个不是专门做安全的小公司来说,如果大费周章滴自己从头到尾开发一套扫描系统,那绝对是脑袋被驴踢了。但是这绝不意味着我们不去做漏洞扫描系统,相反,我们一定要去做,而且努力在资源有限的情况下做的更好。 大家都知道,现在网上有很多开源的工具,比如sqlmap, hydra, medusa,openvas等等, 当然也有很多优秀的商业产品,比如WVS等。试想,倘若公司有成千上万个IP和域名
发布时间:2015-10-28 12:30 | 阅读:97117 | 评论:0 | 标签:独家 ActiveMQ Django easysb Hydra jekkay Medusa Nmap openvas S

Django任意代码执行0day漏洞分析

从Django的SECTET_KEY到代码执行。Django是一个可以用于快速搭建高性能,优雅的网站的平台,由Python写成。采用了MVC的软件设计模式,即模型M、视图V和控制器C。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件。并于2005年7月在BSD许可证下发布。最近在进行网站代码审查的过程中,发现某些产品由于session使用不当,导致可能被攻击者利用,执行任意代码。这些产品在登录的JS代码中,泄露了SECRET_KEY,将该值作为密码加密的盐,这样就暴露了加密salt不太好吧,更重要的是对django的安全造成了极大的威胁。1、SECRET_KEY作用SECTET_KEY在djanog中使用非常广泛,基本上涉及到安全,加密
发布时间:2015-09-09 21:10 | 阅读:47948 | 评论:0 | 标签:漏洞 0day Django 任意代码执行漏洞

原来Django的anti-csrf中间件就是一摆设

luoq@amxku ( http://luoq.net/ ) : 最近基于Django做些东西,也是边学边做 这Django确实是不错,比较省事,效率也比较高 今天下午在调试Django和公司文档系统时候,在cookie的处理上有些问题,搞了半天也没搞定。在后面的测试过程中,发现好像Django的CSRF中间件好像有点问题,Django是通过在csrfviewmiddleware中进行相关的验证处理,token是存储在cookie里面。其实验证过程很简单,就是把token POST过去和Cookie中的做比对,,但是问题是都是csrfmiddlewaretoken,post中的也是从cookie里拿的,其实就是同一个值来做比对处理,就相当于你POST “123”过去,他就判断&ld
发布时间:2013-01-07 19:59 | 阅读:52039 | 评论:0 | 标签:技术相关 django python

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云