参考资料:https://portswigger.net/daily-swig/ip-spoofing-bug-leaves-django-rest-applications-open-to-ddos-password-cracking-attacks报告日期:2022年1月11日
受IP欺骗的影响?
发布于 2022-01-12 21:47:54
我对您共享的链接做了一些研究,Django的源代码和Django REST Framework的源代码。
赤裸的Django不容易受到这种攻击,因为它不使用X-Forwarded-For,Python也不使用。
几乎所有版本的Django REST框架都是易受攻击的,因为这一提交在9年前添加了HTTP_X_FORWARDED_FOR检查:https://github.com/encode/django-rest-framework/blob/d18d32669ac47178f26409f149160dc2c0c5359c/rest_framework/throttling.py#L155
为了避免这一点,您可以采取措施,因为还没有可用的修补程序,您可以实现自己的比率划分器,并将get_ident替换为只使用REMOTE_ADDR。
如果您的Djando REST Framework应用程序位于代理后面,则可能不会受到此攻击。
https://stackoverflow.com/questions/70688368
复制相似问题