界: Encapsulation

封裝是要劃定清楚的界限。在網頁瀏覽器中,這可能意味著確保您的行動程式碼不會被其他行動程式碼濫用。在伺服器上,這可能意味著區分經過驗證的資料與未經驗證的資料、區分一個使用者的資料與另一個使用者的資料,或區分允許使用者查看的資料與不允許查看的資料。

Django Bad Practices: Attributes in Deny List

Abstract
應用程式使用拒絕清單來控制表單所暴露的屬性。開發人員可能會在新增屬性時忘記更新拒絕清單,並且可能會意外將敏感欄位暴露給攻擊者。
Explanation
應用程式使用 exclude 拒絕清單。這難以維護且容易出錯。如果開發人員向表單或備份表單的 Model 新增欄位,但卻忘記更新 exclude 篩選,則可能會將敏感欄位暴露給攻擊者。攻擊者將能夠提交惡意資料並將其繫結至任何非排斥性欄位。

範例 1:以下表單暴露某些 User 屬性,但會針對使用者 id 檢查拒絕清單:


from myapp.models import User
...
class UserForm(ModelForm):
  class Meta:
    model = User
    exclude = ['id']
...


如果已使用新的 role 屬性來更新 User 模型,但關聯的 UserForm 並未更新,則會在表單中暴露 role 屬性。
References
[1] Django Foundation Creating forms from models
[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[3] Standards Mapping - OWASP API 2023 API3 Broken Object Property Level Authorization
[4] Standards Mapping - OWASP Mobile 2024 M8 Security Misconfiguration
desc.structural.python.django_bad_practices_attributes_in_deny_list