360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
严重严重

Django 框架信息泄露漏洞

WASC Threat Classification

发现时间:

2014-10-14

漏洞类型:

信息泄露

所属建站程序:

其他

所属服务器类型:

通用

所属编程语言:

其他

描述:
Django是Python编程语言驱动的一个开源Web应用程序框架。
危害:
目录遍历漏洞,攻击者可利用此漏洞获取敏感信息。
解决方案:

1.     关闭 debug模式,在settings.py中把DEBUG的值设置为False。

2.     指定特定的错误页,配置示例

在settings.py配置如下代码:

import os

HERE = os.path.dirname(os.path.dirname(__file__))

# Absolutefilesystem path to the directory that will hold user-uploaded files.

# Example:"/var/www/example.com/media/"

MEDIA_ROOT =os.path.join(HERE,'media').replace('\\','/')

# URL thathandles the media served from MEDIA_ROOT. Make sure to use a

# trailingslash.

# Examples:"http://example.com/media/", "http://media.example.com/"

MEDIA_URL ='/media/'

# Absolute pathto the directory static files should be collected to.

# Don't putanything in this directory yourself; store your static files

# in apps'"static/" subdirectories and in STATICFILES_DIRS.

# Example:"/var/www/example.com/static/"

STATIC_ROOT =os.path.join(HERE,'static').replace('\\','/')

# URL prefix forstatic files.

# Example: "http://example.com/static/","http://static.example.com/"

STATIC_URL ='/static/'

接着在您的templates文件夹下(或者其他你自定义的模版目录)

写入相关的500和404的模版,模版名字一定要是500.html,404.html

最后配置您的urls.py:

from django.conf.urls import patterns, include, url

from django.conf.urls import static

from django.conf import settings

urlpatterns +=patterns('',

             url(r'^static/(?P<path>.*)$','django.views.static.serve',{'document_root':settings.STATIC_ROOT}),

                       url(r'^static/<?P<path>.*>$','django.views.static.serve',{'document_root':settings.MEDIA_ROOT}),

这样您就可以正常访问你的工程和在报错的情况下出现相应的自定义500页面和404页面了。

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论