پیکربندی نادرست در ده‌ها هزار برنامه‌ی دی‌جنگو و افشای اطلاعات حساس

 

یک محقق امنیتی ده ها هزار برنامه ی دی جنگو را کشف کرد که در آن ها اطلاعات حساس افشاء می شود چرا که توسعه دهندگان این برنامه ها، حالت عیب یابی را غیرفعال نکرده اند. این اشکال در اثر پیکربندی نادرست این برنامه ها ایجاد شده و می تواند منجر به افشای پسوردها، کلیدهای واسط های برنامه نویسی و توکن های دسترسی AWS شود.


دی‌جنگو یک چارچوب وب سطح بالا، مبتنی بر وب است که از محبوبیت زیادی برخوردار بوده و به کاربارن اجازه می‌دهد تا هرچه سریع‌تر برنامه‌های کاربردی مبتنی بر وب را براساس پایتون توسعه دهند. این محقق ۲۸۱۶۵ برنامه‌ی کاربردی دی‌جنگو را با استفاده از ابزار Shodan پیدا کرده که حالت عیب‌یابی در آن‌ها فعال بوده و داده‌های حساس را افشاء می‌کنند.


محققان سرورهای زیادی را کشف کردند که در آن‌ها حالت عیب‌یابی فعال بوده و مهاجمان از این طریق می‌توانند به پسوردها و توکن‌ها دسترسی داشته و کنترل کامل سیستم را در دست بگیرند. به توسعه‌دهندگان توصیه می‌شود هنگام پیاده‌سازی برنامه‌های کاربردی با استفاده از دی‌جنگو، حالت عیب‌یابی را غیرفعال کنند. 
 

منبع

پست‌های مشابه

Leave a Comment