Django开发框架多个安全漏洞

转载 2017年03月22日 15:57:24

Django开发框架多个安全漏洞

影响版本:

Django 1.3
Django 1.2.5
Django 1.3 beta 1
Django 1.2.4
Django 1.2.2
Django 1.2

漏洞描述:

Django是一款开放源代码的Web应用框架,由Python写成。
Django存在多个安全漏洞,允许攻击者获得敏感信息,操作数据,执行远程命令,进行缓存毒药攻击或进行拒绝服务攻击。
1)当使用缓存后端时django.contrib.sessions中处理会话存在错误,可被利用操作会话信息。要成功个利用漏洞需要已知会话KEY和应用程序允许攻击者使用合法会话KEY储存字典类对象到缓冲中。
2)Django模型系统包括一个字段类型– URLField –,用于校验提供的值是否为合法URL,如果布尔关键字参数verify_exists为真,会尝试校验提供的URL并解析。默认情况下,底层套接字没有 超时设置,攻击者可以利用此漏洞发送特制URL消耗所有服务器内存,造成拒绝服务攻击
3)当校验提供给”URLField”字段类型的URLs处理重定向应答存在错误,攻击者可以利用此漏洞把重定向应答返回给”file://” URL,可判断服务器上的本地文件是否存在。
4)当生成重定向应答的全路径URL时处理”X-Forwarded-Host” HTTP头存在错误,攻击者可以利用此漏洞进行缓存毒药攻击。

5)Django1.3输入检验漏洞导致攻击者可远程执行命令

相关文章推荐

Android中的组件安全漏洞介绍和检测

首先我们介绍下我们常见的Android的activity组件, Activity是Android四大组件之一,它用于展示界面。Activity是一个应用程序组件,提供一个屏幕,用户可以用来交互为了完成...

洗牌算法shuffle

将原来数组的数组进行打散,使原数组的某个数在打散后的数组中的每个位置上等概率的出现。很容易想到,需要用到随机数函数,而且应该是一个平均分布的随机数函数,还需要一个不放回的采样的生成模式。(1)rand...

Django 安全漏洞

本文整理自:http://sebug.net/search?wd=Django Django   2013-09-15Django密码哈希拒绝服务漏洞(CVE-2013-1443)...

web开发常见安全漏洞解决办法

  • 2017年08月15日 17:05
  • 1.16MB
  • 下载

常见WEB开发安全漏洞、原因分析及解决之道

常见WEB开发安全漏洞、原因分析及解决之道

防安全漏洞开发规范

XSS(跨站脚本攻击) 漏洞描述 跨站攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响...

xunfenscan.zip web安全漏洞扫描器

  • 2017年11月02日 16:48
  • 396KB
  • 下载

网络安全漏洞

  • 2014年10月09日 09:16
  • 33KB
  • 下载

常见安全漏洞及整改建议[备忘]

常见安全漏洞与整改方案
  • signmem
  • signmem
  • 2013年12月27日 20:21
  • 18198
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Django开发框架多个安全漏洞
举报原因:
原因补充:

(最多只允许输入30个字)