info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

افشای داده‌های حساس به‌دلیل پیکربندی غلط Django

خلاصه: محققان امنیتی ده‌ها هزار برنامه Django را کشف کرده‌اند، که داده‌های حساس را افشا می‌کنند. این حادثه به‌دلیل غیرفعال نکردن حالت اشکال‌زدایی (Debug mode) اتفاق می‌افتد.

 

محققان امنیتی ده‌ها هزار برنامه Django را کشف کرده‌اند، که داده‌های حساس را افشا می‌کنند. این حادثه به‌دلیل غیرفعال نکردن حالت اشکال‌زدایی (deug mode) اتفاق می‌افتد.

محققان امنیتی متوجه شدند که پیکربندی اشتباه برنامه‌های Django باعث افشای اطلاعات حساسی، مانند رمزعبورها، کلیدهای API یا توکن‌های دسترسی AWS می‌شود.

Django یک فریمورک وب سطح بالا است که امکان توسعه‌ی سریع برنامه‌های وبی مبتنی بر پایتون را فراهم می‌کند.  کارشناسان امنیتی با جستجوی shodan حدود ۲۸۹۱۱ برنامه با مد دیباگ فعال را کشف کرده‌اند.

Django apps

با توجه به تحقیقات مختصر صورت گرفته مشخص شد که مد دیباگ بسیاری از این برنامه‌ها اطلاعات حساس زیادی را در معرض خطر قرار می‌دهد و باعث افشای پسوردهای سرور و توکن‌های دسترسی AWS می‌شود. این اطلاعات می‌توانند توسط هکرها برای دسترسی به داد‌ه‌های بیش از یک برنامه و همچنین گرفتن کنترل کامل سیستم‌ها مورد استفاده قرار گیرد.

Django app leak

توصیه‌ی متخصصان غیرفعال کردن مد دیباگ می‌باشد.