Пароли приложений на Django находятся в открытом доступе из-за включенного режима отладки

Специалист по информационной безопасности Фабио Кастро (Fábio Castro) обнаружил, что разработчики забывают отключить режим отладки при создании приложений на Django. Из-за этого секретная информация — пароли, ключи API и токены AWS — доступна злоумышленникам. Сервис Shodan выявил 28 165 таких приложений.

Последствия

Как выяснил Кастро, включенный режим отладки во многих приложениях позволяет злоумышленникам получить полный доступ к данным пользователя. В некоторых случаях пароли к БД и токены AWS открывают данные не только приложений, но и других частей ИТ-инфраструктуры.

Пароли приложений на Django

По мнению специалиста, создатели Django не несут ответственности за оплошность пользователей фреймворка.

Виктор Геверс (Victor Gevers), глава некоммерческой организации GDI Foundation, заявил, что некоторые уязвимые сервера уже скомпрометированы, а другие «сливали» конфиденциальные данные различных правительственных учреждений. Он отметил, что начал уведомлять владельцев серверов об уязвимых приложениях Django: пока отправлено 1822 сообщения, и на 143 серверах брешь уже неактивна.

Фабио Кастро наткнулся на уязвимость, когда работал во фреймворке над небольшим проектом. Подобные случайные открытия нередки: не так давно судебный аналитик Сара Эдвардс во время подготовки курса по работе с устройствами Apple обнаружила уязвимость в файловой системе macOS, позволяющую заполучить пароли зашифрованных внешних дисков.

Источник: Bleeping Computer

Подобрали два теста для вас:
— А здесь можно применить блокчейн?
Серверы для котиков: выберите лучшее решение для проекта и проверьте себя.