配置錯誤的Django暴露了近三萬臺服務器的數據庫密碼和API密鑰

在上周早些時候，來自巴西的安全研究人員Fábio Castro通過推特發出警告稱，配置錯誤的Django應用程序會暴露諸如API密鑰、數據庫密碼或AWS訪問密鑰之類的敏感信息。

Castro表示，這種暴露的主要原因來自于服務器管理員沒有關閉Django應用程序的調試模式，而并非來自于Django應用程序本身，這是一種屬于由“人為原因”導致的數據泄露問題。

Django是一個非常強大且可自定義的Python框架，通常用于創建基于Python的Web應用程序、企業內部網絡和應用程序后端。

28,165臺運行Django的服務器存在暴露風險

Castro表示，他在上周通過Shodan搜索引擎共發現了28,165臺沒有關閉Django應用程序調試模式的服務器。

在對這些服務器進行粗略查看之后，Castro發現這樣的應用程序會暴露一些極其敏感的信息，甚至能會讓潛在攻擊者能夠訪問到服務器所存儲的全部數據。

Castro指出，Django在服務器上被運用得越深入，暴露的敏感信息可能會越多。在某些情況下，暴露的數據不僅僅來自應用程序本身，還可能是API密鑰、數據庫密碼和AWS訪問密鑰，甚至可能允許潛在攻擊者通過Django應用程序訪問到其他IT基礎設施上的信息。

原因來自配置錯誤而非Django應用程序本身

“我在一個小型項目中使用Django框架時發現了這個問題。”Castro說：“我注意到了一些錯誤異常，然后使用Shodan進行了查找。”

Castro 補充說：“暴露的主要原因都啟用了調試模式，這不是Django應用程序本身存在問題，我的建議是在將應用程序部署到生產環境時對調試模式進行禁用。”