Django应用程序错误配置导致数据泄露

安全研究人员发现配置错误的Django应用程序暴露了敏感信息，包括密码，API密钥或AWS访问令牌。

Django是一个非常受欢迎的高级Python Web框架，可以快速开发基于Python的Web应用程序。

研究员FábioCastro解释说，安装会暴露数据，因为开发人员忘记禁用Django应用程序的调试模式。

FábioCastro发现28,165个应用程序查询Shodan是否启用了调试模式的Django安装。

许多启用了调试模式的服务器非常暴露专家发现的服务器密码和AWS访问令牌，黑客可以使用它们来获得对系统的完全控制权。

“我发现这是因为我在一个小项目上使用Django框架，”Castro告诉Bleeping Computer“我注意到一些错误异常，然后在Shodan上搜索。”

“所有曝光的主要原因是启用调试模式，”卡斯特罗说。 “这不是Django方面的失败。我的建议是在将应用程序部署到生产时禁用调试模式。”

原文：https://securityaffairs.co/wordpress/70869/hacking/django-apps-misconfigured.html