上周 RealWorld CTF 2018 web 题 bookhub 有个未授权访问的漏洞,比较有意思,赛后看了一下公开的 WriteUp,大家也都没写清楚,所以就有了这篇博文。
前言
这个题是用 flask 框架写的,在 www/bookhub/views/user.py
中, refresh_session
方法存在未授权访问漏洞,代码是这样写的:
@login_required @user_blueprint.route('/admin/system/refresh_session/', methods=['POST']) def refresh_session(): pass # 这里省略内容
注意看 @login_required
这个装饰器写在了 route
装饰器上面了,导致了 login_required
未调用。那么,为什么会这样子呢?
官方文档
Flask 官方文档中关于Login Required Decorator说明 这一节里面有一行说明:
To use the decorator, apply it as innermost decorator to a view function. When applying further decorators, always remember that the route() decorator is the outermost.
大概意思就是,必须保证 route 装饰器在最顶层
那么为什么要这样提示呢?
Python 装饰器顺序说明
本节内容可直接参考: Python 装饰器执行顺序迷思
总结一下就是,装饰的顺序按靠近函数顺序执行,从内到外装饰,调用时由外而内,执行顺序和装饰顺序相反。
回过头来看 Flask
Flask 框架中, route
装饰器是这么写的:
def route(self, rule, **options): """Like :meth:`Flask.route` but for a blueprint. The endpoint for the :func:`url_for` function is prefixed with the name of the blueprint. """ def decorator(f): endpoint = options.pop("endpoint", f.__name__) self.add_url_rule(rule, endpoint, f, **options) return f return decorator
route
调用了 add_url_rule
, 对传入的 f
添加一条 URL 规则。
所以,按照 python 装饰器顺序:
- 如果
@app.route
在内层,那么就会把最原始的 view 函数传给 add_url_rule , Flask 框架就会添加一条 URL 规则,指向最原始的 view 函数。 - 如果
@app.route
在外层,那么就会把已经被 login_required 装饰过的 view 函数传给 add_url_rule , Flask 框架就会添加一条 URL 规则,指向已经装饰过的 view 函数。
下面是两个例子,来说明:
正确写法
@user_blueprint.route('/admin/refresh_session/', methods=['POST']) @login_required def refresh_session(): pass
这段代码相当于:
# 这里没有装饰器 def refresh_session(): pass login_wrapped = login_required(refresh_session) # login 装饰器 both_wrapped = app.route('/admin/refresh_session/')(login_wrapped) # route 装饰器
/admin/refresh_session/
这条路由指向的实际是 login_wrapped
,这样就会经过 login 检查
错误写法
@login_required @user_blueprint.route('/admin/refresh_session/', methods=['POST']) def refresh_session(): pass
这段代码相当于:
# 这里没有装饰器 def refresh_session(): pass route_wrapped = app.route('/admin/refresh_session/')(refresh_session) # route 装饰器 login_wrapped = login_required(route_wrapped) # login 装饰器
/admin/refresh_session/
这条路由指向的实际是 refresh_session
, 而 login_wrapped
并没有与路由挂勾,所以不会被调用
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
更新日志
- [雨果唱片]李冰《地方民歌·戏曲系列-爱的颂歌》WAV
- 《模拟人生》真人电影官宣!玛格特·罗比担任制片人
- 《星战绝地》系列玩家数超4000万!续作表现超预期
- EA称AI是其业务核心!能提高开发效率、节约成本
- 《十年经典成名好歌 高品质最佳音乐 2CD》[WAV/分轨][1GB]
- 《8个男人的故事 2CD》[WAV/分轨][1GB]
- 《粤语超白金 百听不厌的经典金曲 2CD》[WAV/分轨][1.3GB]
- 群星.1994-全世界精丫华星】【WAV+CUE】
- 杜德伟.1997-知.解2CD【滚石】【WAV+CUE】
- 群星.2022-一不小心喵上你原声大碟【TME影音】【FLAC分轨】
- 《战锤40K星际战士2》卡在正在加入服务器解决方法
- 《勇者斗恶龙怪物仙境3》玩法内容介绍
- 《幸福工厂》无限报错解决方法
- 交错战线原始交易所推荐角色一览
- 战锤40K星际战士2战术职业介绍|战术职业技能效果一览