¿Qué parte de una aplicación de Django podría tener ingeniería inversa si el propietario se olvidó de desactivar el modo de depuración?

3

He estado escribiendo una aplicación Django y casi la publico con el modo de depuración activado. La documentación de Django indica

  

Nunca despliegue un sitio en producción con DEBUG activado.

     

¿Captaste eso? NUNCA despliegue un sitio en producción con DEBUG activado.

     

Una de las características principales del modo de depuración es la visualización de páginas de error detalladas. Si su aplicación genera una excepción cuando DEBUG es Verdadero, Django mostrará un seguimiento detallado, que incluye una gran cantidad de metadatos sobre su entorno, como todas las configuraciones de Django definidas actualmente (de settings.py).

¿Entonces me pregunto cuánta información podría ganar un atacante malicioso en una aplicación típica? ¿Los usuarios inician sesión? ¿Todo tu código?

    
pregunta personjerry 11.11.2015 - 01:00
fuente

1 respuesta

3

Esto depende en gran medida de la aplicación en cuestión.

Digamos, por ejemplo, que tiene una aplicación web de django que tiene muchos errores de programación (no vulnerabilidades). En este caso, podría generar muchos mensajes de error muy detallados. Si pudieras realmente divulgar el contenido completo de settings.py, estarías en un gran problema. La cadena de conexión de la base de datos, el token CSRF, las claves de caché, posiblemente las claves de AWS, etc., se almacenan allí. También podría, como usted menciona, aplicar ingeniería inversa a alguna lógica de aplicación. Este comportamiento puede llevar a un ataque más específico, como facilitar mi búsqueda de XSS o Inyección SQL.

Ahora vamos a tomar el caso opuesto. Implementas una aplicación que es impecable. El impacto es mucho menor, ya que no se divulgarán tantos datos. Sin embargo, dado el tamaño del código base, su aplicación no es ni será impecable, así que tenga cuidado de no desplegar nunca en el modo de depuración.

    
respondido por el KDEx 11.11.2015 - 01:54
fuente

Lea otras preguntas en las etiquetas