Django Bad Practices: Pickle Serialized Sessions

如果攻击者能够控制会话数据，则经过 Pickle 序列化的会话可导致执行远程代码。

如果使用基于 cookie 的会话，并且泄露了 SECRET_KEY，则攻击者将能够在会话 cookie 中存储任意数据，在服务器中对这些数据进行反序列化，就可以执行任意代码。

如果使用基于 cookie 的会话，请格外小心以确保密钥对于任何可能远程访问的系统来说都始终处于完全保密的状态。

例 1：如果 SECRET_KEY 在 settings.py 配置文件中进行了硬编码，则以下查看方法可使攻击者有机会窃取它。

...
def some_view_method(request):
  url = request.GET['url']
  if "http://" in url:
    content = urllib.urlopen(url)
    return HttpResponse(content)
  ...

Example 1 方法会通过检查 URL 中是否存在“http://”来检查 url 参数是否为有效 URL。恶意攻击者可能会发送以下 URL 来泄露可能包含 SECRET_KEY 的 settings.py 配置文件：

file://proc/self/cwd/app/settings.py#http://

注：UNIX 系统中的“/proc/self/cwd”指向过程工作目录。这使攻击者无需知道具体位置就能引用文件。