Какая версия Django и/или Python подвержена IP-спуфингу?

REF : https://portswigger.net/daily-swig/ip-spoofing-bug-leaves-django-rest-applications-open-to-ddos-password-cracking-attacks Сообщено Дата: 11 января 2022

Кроме предоставления captcha, какие меры безопасности следует предпринять?
Какая версия Django и/или Python подвержена IP-спуфингу?

Я провел некоторое исследование по ссылке, которой вы поделились, источника Django и источника Django REST Framework.

Bare-bones Django не уязвим для этого, поскольку не использует X-Forwarded-For, как и Python.

Практически все версии Django REST Framework уязвимы, поскольку этот коммит 9 лет назад добавил проверку HTTP_X_FORWARDED_FOR: https://github.com/encode/django-rest-framework/blob/d18d32669ac47178f26409f149160dc2c0c5359c/rest_framework/throttling.py#L155

Что касается мер, которые вы можете предпринять, чтобы избежать этого, поскольку патч еще не доступен, вы можете реализовать свой собственный ratelimitter, и заменить get_ident на использование только REMOTE_ADDR.

Если ваше приложение Djando REST Framework находится за прокси-сервером, вы можете быть неуязвимы для этого.

Вернуться на верх

Последние вопросы и ответы

Using pytest and mongoengine, data is created in the main database instead of a test one

Stripe subscription intent error for 3 days

Function to Password recovery email only works on localhost in django

Any way to improve my fitness services app? [closed]

Issue with Preserving Formatting (Images & Tables) When Downloading Manipulated Document in React

Android OpenAPI generator client can not connect to Django Rest API made with rest framework

django celery: object has no attribute 'delay_on_commit'

Django Broken Pipe Error during Form Submission

how to use a <button>tag to delete a user in Django? [closed]

Django javascript functions running arbitrarily [closed]

Какая версия Django и/или Python подвержена IP-спуфингу?

Последние вопросы и ответы

Рекомендуемые записи по теме