Peneliti keamanan telah melihat jika ada miskonfigurasi app Django, maka hal tersebut bisa mengekspos informasi sensitif seperti kunci API, kata sandi server, atau token akses AWS.

Alasan utama untuk paparan ini adalah karena pengembang aplikasi lupa untuk menonaktifkan mode debug aplikasi Django, peneliti keamanan di Brasil, Fábio Castro mengatakan kepada Error 404 Cyber News awal pekan ini.

Django, yang merupakan framework Python yang sangat powerful dan dapat disesuaikan, sering digunakan dalam membuat aplikasi web, intranet, dan back-end aplikasi berbasis Python.

Data yang bocor dalam 28.165 aplikasi Django ditemukan di Shodan

Castro mengatakan kepada kami bahwa pada minggu ini ia menemukan 28.165 aplikasi Django yang mana tidak menonaktifkan mode debugnya.

Hanya dengan membaca sekilas melalui beberapa server, peneliti menemukan bahwa mode debug dari banyak aplikasi ini mengekspos informasi yang sangat sensitif yang akan memungkinkan akses penuh ke data pemilik aplikasi. Semakin kompleks aplikasi Django, semakin tinggi peluang untuk menemukan informasi yang lebih sensitif.

Kata sandi database dan token akses AWS dalam beberapa kasus juga memungkinkan akses ke lebih dari satu data aplikasi, dan penyerang juga dapat mengakses informasi dari bagian lain yang merupakan infrastruktur TI pemilik aplikasi.

Hal ini bukan kesalahan di sisi Django

Saya menemukan ini ketika saya bekerja dengan framework Django pada proyek kecil,” Castro mengatakan kepada kami dalam percakapan pribadi. “Saya melihat beberapa error dan kemudian mencari di Shodan.

Alasan utamanya adalah mode debug diaktifkan,” kata Castro. “Ini bukan kesalahan dari sisi Django. Rekomendasi saya adalah untuk menonaktifkan mode debug ketika menyebarkan aplikasi ke produksi.”

Beberapa server sudah di takeover

Namun menurut peneliti keamanan dan Ketua GDI Foundation, Victor Gevers, beberapa server yang menjalankan aplikasi Django telah dikompromikan.

Gevers mengatakan dia menemukan setidaknya satu server yang dikompromikan, menjalankan shell web Weevely.


Like it? Share with your friends!

Muhammad Zaky Zulfiqor

I just simple person who like photography, videography, code, and cyber security enthusiast.

Comments

error: Content is protected !!