多款 Django 应用配置不当 泄露API 密钥数据库密码等

翻译：360代码卫士团队

安全研究人员发现不少配置不当的 Django 应用泄露多种敏感信息如 API 密钥、服务器密码或 AWS 访问令牌。

巴西安全研究员Fábio Castro 表示，造成泄露的原因在于应用开发人员忘记禁用 Django 应用的调试模式。

Django 是非常强大且可自定义的 Python kuangjia，它常用于创建基于 Python 的 web 应用、内联网和应用后端。

Castro 表示上周他发现了 28,165 款Django  应用的调试模式呈启用模式。

Castro 浏览多台服务器后发现很多应用的调试模式正在泄露极其敏感的信息，可导致恶意人员完全访问应用所有人的数据。Django 应用越复杂，发现更多敏感信息的几率就越大。

在某些情况下，被暴露的数据库密码和 AWS 访问令牌能导致恶意人员不仅仅访问应用的数据，还能访问应用所有人 IT 基础设施中其它部分的信息。

Castro 表示，他是在开展一个小型项目使用 Django 框架时发现这些问题的。他发现到一些出错异常随后在 Shodan 上开始搜索信息。他指出问题主要出在启用了调试模式。这并非 Django 的错误。他建议在将应用部署到生产过程时禁用调试模式。

Castro 的说法确实是正确的。Web 开发发展了超过25年后，开发人员仍然会为站点和 web 应用启用调试模式。

但安全研究员兼 GDI 基金会总裁 Victor Gevers 指出，某些运行 Django 应用的服务器已遭攻陷。

Gevers 表示他至少找到一台运行 Weevely web shell 的服务器遭攻陷。Gevers 发现有些泄露敏感数据的服务器属于多家负责执行关键行动的政府部门。

Gevers 表示正在开始将情况告知相关服务器所有人。他表示截至目前已报告了1822台服务器，其中143已修复或下线。

原文链接

https://www.bleepingcomputer.com/news/security/misconfigured-django-apps-are-exposing-secret-api-keys-database-passwords/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。