Về an ninh, kẻ tấn công có thể làm gì nếu anh ta biết SECRET_KEY? Có nguy hiểm sắp xảy ra nào không?rủi ro Django SECRET_KEY
8
A
Trả lời
3
Vâng, từ manual:
Chạy Django với một SECRET_KEY biết đánh bại nhiều biện pháp bảo vệ an ninh của Django, và có thể dẫn đến sự leo thang đặc quyền và các lỗ hổng thực thi mã từ xa.
Tôi không chắc chắn làm thế nào nó có thể làm những điều đó (tức là chính xác cách sử dụng khóa bí mật). Nhiều khả năng nó có thể dẫn đến các vấn đề xác minh danh tính. Nếu Django thực sự sử dụng nó bằng cách nào đó cung cấp https giao thông vận tải, sau đó bất cứ ai có thể sniff giao thông có thể giải mã lưu lượng truy cập.
Các vấn đề liên quan
- 1. Rủi ro bảo mật Javascript?
- 2. Rủi ro bảo mật khi bật MSDTC
- 3. Rủi ro khi sử dụng Apache mod_proxy
- 4. rủi ro của "Ad Hoc Distributed Queries"
- 5. Mục đích của cài đặt Django ‘SECRET_KEY’
- 6. Rủi ro của giao tiếp JSONP miền chéo là gì?
- 7. R quá tải nhà điều hành đơn nhất: rủi ro?
- 8. Mở xác thực 2.0 - Rủi ro bảo mật kế thừa
- 9. SQL Injection có phải là rủi ro hiện nay không?
- 10. Bất kỳ rủi ro nào khi sử dụng Macports?
- 11. Rủi ro bảo mật của PermitUserEnvironment trong ssh
- 12. Rủi ro khi sử dụng unsafeperformIO trên randomIO
- 13. Có rủi ro khi sử dụng @ Html.Raw không?
- 14. Tôi làm cách nào để cho phép người dùng chèn mã HTML mà không gặp rủi ro? (không chỉ rủi ro kỹ thuật)
- 15. Điều khiển rõ ràng không thải bỏ chúng - rủi ro là gì?
- 16. Rủi ro bảo mật khi sử dụng XMLHttpRequest giữa nhiều miền là gì? người
- 17. Thông báo lỗi/ngoại lệ chi tiết có phải là rủi ro bảo mật không?
- 18. Biểu mẫu không có mã thông báo CSRF: những rủi ro là gì
- 19. Có rủi ro bảo mật khi chạy các ứng dụng web trong debug = "true" không?
- 20. Rủi ro trong việc cho phép người dùng tải lên các tệp HTML/JS
- 21. Rủi ro của việc sử dụng dữ liệu: image/jpeg; base64 là gì?
- 22. Rủi ro của các trang web lập trình với jQuery Mobile?
- 23. Rủi ro bảo mật trong việc lưu trữ thông tin đăng nhập SQL trong mã PHP?
- 24. cách thích hợp để sao lưu/khôi phục cơ sở dữ liệu rủi ro là gì?
- 25. Rủi ro của các phiên bản GCC khác nhau tại thời gian liên kết/chạy?
- 26. Máy chủ SQL: Các rủi ro tiềm ẩn khi sử dụng DBCC SHRINKFILE
- 27. amazon s3 đổi tên và ghi đè tập tin, khuyến nghị và rủi ro
- 28. Tìm kiếm tài nguyên để giải thích rủi ro bảo mật
- 29. Bạn sẽ giải thích những rủi ro của từ khóa $ Log $ như thế nào?
- 30. Chuyển đổi loại chung mà không có rủi ro Ngoại lệ
Đó là một câu hỏi thú vị, tôi nghĩ rằng nó có thể được di chuyển đến [security.SE] (http://security.stackexchange.com/) – mgibsonbr