REF:https ://portswigger.net/daily-swig/ip-spoofing-bug-leaves-django-rest-applications-open-to-ddos-password-cracking-attacks 報告日期:2022 年 1 月 11 日
- 除了提供驗證碼,還應該采取什么安全措施?
- 哪個版本的 Django 和/或 Python 受 IP 欺騙影響?
uj5u.com熱心網友回復:
我對您共享的鏈接、Django 的源代碼和 Django REST Framework 的源代碼進行了一些研究。
簡單的 Django 不易受此影響,因為它不使用X-Forwarded-For,Python 也不使用。
幾乎所有版本的 Django REST 框架都存在漏洞,因為 9 年前的這個提交添加了HTTP_X_FORWARDED_FOR檢查:https ://github.com/encode/django-rest-framework/blob/d18d32669ac47178f26409f149160dc2c0c5359c/rest_framework/throttling.py#L155
對于您可以采取的措施來避免這種情況,由于尚未提供補丁,您可以實作自己的速率限制器,并替換get_ident為僅使用REMOTE_ADDR.
如果您的 Djando REST Framework 應用程式位于代理后面,您可能不會受到此攻擊。
轉載請註明出處,本文鏈接:https://www.uj5u.com/gongcheng/417746.html
標籤:
上一篇:手動更新JWTaccess_token資料是否被認為是一種不好的做法?
下一篇:在CKEditor中防止XSS