当前位置：移动技术网 > IT编程>脚本编程>Python > Django之CSRF跨站请求伪造（老掉牙的钓鱼网站模拟）

Django之CSRF跨站请求伪造（老掉牙的钓鱼网站模拟）

2019年04月24日 | 移动技术网IT编程 | 我要评论

n70游戏下载,临海教育局,都匀天气预报一周

首先这是一个测试的代码

请先在setting页面进行下面操作

注释完成后，开始模拟钓鱼网站的跨站请求伪造操作：

前端代码：

<!doctype html>
<html lang="en">
<head>
    <meta charset="utf-8">
    <title>title</title>
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <link href="https://cdn.bootcss.com/twitter-bootstrap/3.4.1/css/bootstrap.min.css" rel="stylesheet">
    <script src="https://cdn.bootcss.com/twitter-bootstrap/3.4.1/js/bootstrap.min.js"></script>
</head>
<body>
<form action="" method="post">
    转账人:<input type="text" name="user">
    转账对象:<input type="text" name="to_sb">
    转账金额:<input type="text" name="money">
    <input type="submit" value="转账">
</form>
</body>
</html>

效果如下(很low)：

视图代码如下:

def index(request):
    if request.method=='post':
        user=request.post.get('user')
        to_sb=request.post.get('to_sb')
        money=request.post.get('money')
        #打印一下转账结果
        print('%s给%s转了%s元' % (user,to_sb,money))
        return httpresponse('转账成功')

    return render(request,'')

如果是一个正常的网站，运行结果应该如下：

提交：

后端的结果：

这样是没有任何问题的，但是如果网站没有进行防csrf攻击(基本不可能，现在的主流网站都有防csrf攻击),那么钓鱼网站就可以伪装，进行跨站请求伪造

接下来是钓鱼网站的视角：

首先：我看见了下面这个特别low的页面，发现没有防csrf(等会说防御),直接copy源码

前端代码：

然后自己做一个和原网站一模一样的网站:

简单的模拟一下，网址已经变了

该网址的前端页面代码：

<body>
<form action="http://127.0.0.1:8000/index/" method="post">
    转账人:<input type="text" name="user">
    转账对象:<input type="text" >
    <input type="text" name="to_sb" value="诈骗犯" style="display: none">
    转账金额:<input type="text" name="money">
    <input type="submit" value="转账">
</form>>

和原网址的代码对比，其他不变，但是转账对象的name值被取消了，并且还添加了一个input框，该input框的name值，是原转账对象的name值，value值也被写死，还把该标签隐藏，这样你在转账对象中无论输入什么，你都是白给，因为name='to_sb'的这个标签的值已经被固定了，而且该表单的action函数还是原网站，所以说钓鱼网站的后端不用写post请求来之后的操作。

钓鱼网站的后端代码：

def test(request):

    return render(request, 'test.html')

也就是说，后端逻辑用的原网站的逻辑，只是简单的固定了转账人的值

运行一下：

前端钓鱼页面：

当前网址还是：

转账：

跳到了原网页

看看原网站的打印输出：

这样已经老掉牙的钓鱼网站的模型就完成了

防csrf跨站请求伪造攻击：

1.打开注释

2.在页面中添加：

这样防御就做好了(所以说是老掉牙的钓鱼攻击)

测试一下：

点击转账：

这是因为在添加了{% csrf_token %}之后，该网站的前端代码已经改变了

该value是随机的，刷新一下，值就会改变，也就是说，钓鱼网站不能动态的获取，那么csrf攻击也就没用了

您可能感兴趣的文章:

如对本文有疑问，请在下面进行留言讨论，广大热心网友会与你互动！！点击进行留言回复

python如何查看网页代码

用python查看网页代码的方法：1、使用“import”导入requests包import requests2、使用requests包的get()函数通过网页... [阅读全文]
Python如何用wx模块创建文本编辑器

用python的wx模块创建文本编辑器的方法：1、设置按钮的位置import wxapp = wx.app()win = wx.frame(none,title... [阅读全文]
python如何保存文本文件

python保存文本文件的方法：使用python内置的open()类可以打开文本文件，向文件里面写入数据可以用write()函数，写完之后，使用close()函... [阅读全文]
python如何编写win程序

python可以编写win程序。win程序的格式是exe，下面我们就来看一下使用python编写exe程序的方法。编写好python程序后py2exe模块即可将... [阅读全文]
Python替换NumPy数组中大于某个值的所有元素实例

我有一个2d(二维) numpy数组，并希望用255.0替换大于或等于阈值t的所有值。据我所知，最基础的方法是：shape = arr.shaperesult ... [阅读全文]
使用Numpy对特征中的异常值进行替换及条件替换方式

原始数据为excel文件，由传感器获得，通过pyhton xlrd模块读入，读入后为数组形式，由于其存在部分异常值和缺失值，所以便利用numpy对其中的异常值进... [阅读全文]
Python 实现将numpy中的nan和inf,nan替换成对应的均值

nan：not a numberinf：infinity;正无穷numpy中的nan和inf都是float类型t!=t 返回bool类型的数组(矩阵)np.co... [阅读全文]
给ubuntu18安装python3.7的详细教程

参考文章准备工作安装工具sudo apt updatesudo apt upgradesudo apt install gccsudo apt install ... [阅读全文]
python爬虫把url链接编码成gbk2312格式过程解析

1. 问题　　抓取某个网站，发现请求参数是乱码格式，这是点击 textview，发现请求参数如下图所示3. 那么=%b9%fa%ce%f1%d4%ba%b7%a... [阅读全文]
pyecharts在数据可视化中的应用详解

使用pyecharts进行数据可视化安装 pip install pyecharts也可以在pycharm软件里进行下载pyecharts库包。下载成功后进行查... [阅读全文]