压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

安全研究人員發(fā)現(xiàn)配置錯(cuò)誤的Django應(yīng)用程序暴露了敏感信息，包括密碼，API密鑰或AWS訪問(wèn)令牌。

Django是一個(gè)非常受歡迎的高級(jí)Python Web框架，可以快速開(kāi)發(fā)基于Python的Web應(yīng)用程序。

研究員FábioCastro解釋說(shuō)，安裝會(huì)暴露數(shù)據(jù)，因?yàn)殚_(kāi)發(fā)人員忘記禁用Django應(yīng)用程序的調(diào)試模式。

FábioCastro發(fā)現(xiàn)28,165個(gè)應(yīng)用程序查詢(xún)Shodan是否啟用了調(diào)試模式的Django安裝。

許多啟用了調(diào)試模式的服務(wù)器非常暴露專(zhuān)家發(fā)現(xiàn)的服務(wù)器密碼和AWS訪問(wèn)令牌，黑客可以使用它們來(lái)獲得對(duì)系統(tǒng)的完全控制權(quán)。

“我發(fā)現(xiàn)這是因?yàn)槲以谝粋€(gè)小項(xiàng)目上使用Django框架，”Castro告訴Bleeping Computer“我注意到一些錯(cuò)誤異常，然后在Shodan上搜索?！?/p>

“所有曝光的主要原因是啟用調(diào)試模式，”卡斯特羅說(shuō)。 “這不是Django方面的失敗。我的建議是在將應(yīng)用程序部署到生產(chǎn)時(shí)禁用調(diào)試模式。”

原文：https://securityaffairs.co/wordpress/70869/hacking/django-apps-misconfigured.html