Django开发框架多个安全漏洞

转载 2017年03月22日 15:57:24

Django开发框架多个安全漏洞

影响版本:

Django 1.3
Django 1.2.5
Django 1.3 beta 1
Django 1.2.4
Django 1.2.2
Django 1.2

漏洞描述:

Django是一款开放源代码的Web应用框架,由Python写成。
Django存在多个安全漏洞,允许攻击者获得敏感信息,操作数据,执行远程命令,进行缓存毒药攻击或进行拒绝服务攻击。
1)当使用缓存后端时django.contrib.sessions中处理会话存在错误,可被利用操作会话信息。要成功个利用漏洞需要已知会话KEY和应用程序允许攻击者使用合法会话KEY储存字典类对象到缓冲中。
2)Django模型系统包括一个字段类型– URLField –,用于校验提供的值是否为合法URL,如果布尔关键字参数verify_exists为真,会尝试校验提供的URL并解析。默认情况下,底层套接字没有 超时设置,攻击者可以利用此漏洞发送特制URL消耗所有服务器内存,造成拒绝服务攻击
3)当校验提供给”URLField”字段类型的URLs处理重定向应答存在错误,攻击者可以利用此漏洞把重定向应答返回给”file://” URL,可判断服务器上的本地文件是否存在。
4)当生成重定向应答的全路径URL时处理”X-Forwarded-Host” HTTP头存在错误,攻击者可以利用此漏洞进行缓存毒药攻击。

5)Django1.3输入检验漏洞导致攻击者可远程执行命令

Django 安全漏洞

本文整理自:http://sebug.net/search?wd=Django Django   2013-09-15Django密码哈希拒绝服务漏洞(CVE-2013-1443)...
  • bluehawksky
  • bluehawksky
  • 2014年09月21日 23:38
  • 1407

Django开发框架多个安全漏洞

影响版本: Django 1.2.5 Django 1.3 beta 1 Django 1.2.4 Django 1.2.2 Django 1.2 漏洞描述: Django是一款...
  • yatere
  • yatere
  • 2011年10月30日 18:03
  • 488

django 的 安全机制

对于django驱动网站的建议: xss 保护: xss攻击允许用户注入客户端脚本到其他用户的服务器上。通常通过存储恶意脚本到数据库,其他用户通过数据库获取恶意脚本,并在浏览器上呈现;或是使用户点...
  • lijunchengbeyond
  • lijunchengbeyond
  • 2014年09月20日 21:18
  • 1806

django+python微信开发

django+python微信开发之一-准备工作django+python微信开发之二-封装消息类django+python微信开发之三-消息处理类django+python微信开发之四-最后的工作:...
  • WangPegasus
  • WangPegasus
  • 2015年02月25日 10:49
  • 1768

python3 + Django 学习之路(一)

1.首先是安装Django,pip install Django,等待自动安装完成。 2.创建一个项目。django-admin.py startproject 项目名   切换打项目的目录...
  • qq_15627543
  • qq_15627543
  • 2016年04月29日 11:37
  • 399

php://filter漏洞利用实例

根据php.net中的描述,http://php.net/manual/zh/wrappers.php.php。php://filter 是一种元封装器,其设计的目的是用于数据流打开时的筛选过滤应用。...
  • a167220278
  • a167220278
  • 2017年02月04日 16:29
  • 602

Java RMI服务远程命令执行利用

http://www.myhack58.com/Article/html/3/62/2016/71978.htm Java RMI服务是远程方法调用(Remote Method Invocati...
  • wjy397
  • wjy397
  • 2016年10月10日 22:27
  • 171

09.Apache 2.4 基于端口配置多个Diango项目

写在前边的话:        基于多端口配置普通的web项目是非常简单的,大家上网搜索就能得到很多答案,而且不会出错,然而在配置Django的多端口时,却出现了各种bug,苦苦的折腾了一晚上     ...
  • Gamer_gyt
  • Gamer_gyt
  • 2016年08月06日 12:16
  • 2192

apache2部署多个django项目

可以通过监听端口的不同来区分两个项目。 # WSGIpythonpath WSGIPythonPath /path/to/DiningHouse:/path/to/Interface-for-cl...
  • dodouaj
  • dodouaj
  • 2015年12月15日 15:32
  • 1841

python之web开发二:用Python+Django在Eclipse环境下开发web网站【第一个开发的小案例,按照文章可以成功开发web】

http://www.cnblogs.com/linjiqin/p/3595891.html 用Python+Django在Eclipse环境下开发web网站 一、创建一个项目 如果这是你...
  • buster2014
  • buster2014
  • 2015年12月17日 22:15
  • 1918
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Django开发框架多个安全漏洞
举报原因:
原因补充:

(最多只允许输入30个字)