予含,神州代孕,恶魔果实排名
上周 realworld ctf 2018 web 题 bookhub 有个未授权访问的漏洞,比较有意思,赛后看了一下公开的 writeup,大家也都没写清楚,所以就有了这篇博文。
前言
这个题是用 flask 框架写的,在 www/bookhub/views/user.py 中, refresh_session 方法存在未授权访问漏洞,代码是这样写的:
我要评论
@login_required
@user_blueprint.route('/admin/system/refresh_session/', methods=['post'])
def refresh_session():
pass # 这里省略内容
注意看 @login_required 这个装饰器写在了 route 装饰器上面了,导致了 login_required 未调用。那么,为什么会这样子呢?
官方文档
flask 官方文档中关于说明 这一节里面有一行说明:
to use the decorator, apply it as innermost decorator to a view function. when applying further decorators, always remember that the route() decorator is the outermost.
大概意思就是,必须保证 route 装饰器在最顶层
那么为什么要这样提示呢?
python 装饰器顺序说明
本节内容可直接参考: python 装饰器执行顺序迷思
总结一下就是,装饰的顺序按靠近函数顺序执行,从内到外装饰,调用时由外而内,执行顺序和装饰顺序相反。
回过头来看 flask
flask 框架中, route 装饰器是这么写的:
def route(self, rule, **options):
"""like :meth:`flask.route` but for a blueprint. the endpoint for the
:func:`url_for` function is prefixed with the name of the blueprint.
"""
def decorator(f):
endpoint = options.pop("endpoint", f.__name__)
self.add_url_rule(rule, endpoint, f, **options)
return f
return decorator
route 调用了 add_url_rule , 对传入的 f 添加一条 url 规则。
所以,按照 python 装饰器顺序:
@app.route 在内层,那么就会把最原始的 view 函数传给 add_url_rule , flask 框架就会添加一条 url 规则,指向最原始的 view 函数。@app.route 在外层,那么就会把已经被 login_required 装饰过的 view 函数传给 add_url_rule , flask 框架就会添加一条 url 规则,指向已经装饰过的 view 函数。下面是两个例子,来说明:
正确写法
@user_blueprint.route('/admin/refresh_session/', methods=['post'])
@login_required
def refresh_session():
pass
这段代码相当于:
# 这里没有装饰器
def refresh_session():
pass
login_wrapped = login_required(refresh_session) # login 装饰器
both_wrapped = app.route('/admin/refresh_session/')(login_wrapped) # route 装饰器
/admin/refresh_session/ 这条路由指向的实际是 login_wrapped ,这样就会经过 login 检查
错误写法
@login_required
@user_blueprint.route('/admin/refresh_session/', methods=['post'])
def refresh_session():
pass
这段代码相当于:
# 这里没有装饰器
def refresh_session():
pass
route_wrapped = app.route('/admin/refresh_session/')(refresh_session) # route 装饰器
login_wrapped = login_required(route_wrapped) # login 装饰器
/admin/refresh_session/ 这条路由指向的实际是 refresh_session , 而 login_wrapped 并没有与路由挂勾,所以不会被调用
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持移动技术网。
如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复
新手学习Python2和Python3中print不同的用法
Python基于os.environ从windows获取环境变量
网友评论