配置錯誤的Django應用程序可暴露秘密API密鑰和資料庫密碼
近日,安全研究人員發現,Django應用程序由於配置錯誤問題正在暴露諸如API密鑰、伺服器密碼以及AWS訪問令牌之類的敏感信息。
巴西安全研究人員Fábio Castro在本周早些時候接受訪問時表示,造成此次安全問題的原因在於Django應用程序的開發人員忘記了禁用該應用程序的調試模式。
據悉,Django是一個非常強大且可以自定義的Python框架,通常用於創建基於Python的Web應用程序、Intranet以及應用程序後端等,其目的是使創建資料庫驅動的Web站點和Web應用程序更加容易。
在Shodan上發現28,165個配置錯誤的Django應用程序
Castro表示,他發現本周共有28,165個配置錯誤的Django應用程序,其開發人員均忘記了禁用其調試模式。
研究人員僅僅通過瀏覽部分伺服器就發現,其中很多應用程序的調試模式暴露了極其敏感的信息,這些信息可能會允許惡意行為者獲得該應用程序所有者的數據的完全訪問權。而且,Django應用程序越複雜,查找到更敏感信息的機會就越高。
在某些情況下,暴露的資料庫密碼和AWS訪問令牌不僅僅能夠允許攻擊者訪問應用程序數據,還允許其訪問應用程序所有者IT基礎設施其他部分的信息。
並非Django本身的錯誤
Castro在一次私人訪問中透露稱,
我之所以能夠發現這一安全問題,是因為我正在一個小項目中使用Django框架。使用過程中我注意到該框架存在一些錯誤異常,然後我就在Shodan(基於物聯網的搜索引擎)上進行了搜索分析。
Castro繼續說道,
分析結果顯示,造成所有數據泄漏的主要原因就是啟用了調試模式。這並非Django本身存在錯誤。我的建議是,在將該應用程序部署到生產時先禁用調試模式。
Castro說的確實是正確的。網路開發走過了漫漫25年的時間,你可能認為開發人員現在已經了解到,無論其開發堆棧如何,都永遠不要為其站點和web應用程序啟用調試模式。然而,事實帶來的教訓總是發人深省的
※漏洞復盤——從TENX賬戶竊取用戶資金與虛擬貨幣
※如何拿下Gooligan(一):對Gooligan起源和工作原理的初步分析
TAG:嘶吼RoarTalk |