首页
学习
活动
专区
圈层
工具
发布
社区首页 >问答首页 >哪个版本的Django REST框架受到IP欺骗的影响?

哪个版本的Django REST框架受到IP欺骗的影响?
EN

Stack Overflow用户
提问于 2022-01-12 21:02:04
回答 1查看 237关注 0票数 3

参考资料:https://portswigger.net/daily-swig/ip-spoofing-bug-leaves-django-rest-applications-open-to-ddos-password-cracking-attacks报告日期:2022年1月11日

  • 除提供captcha外,还应采取哪些安全措施?
  • 哪个版本的Django和/或

受IP欺骗的影响?

EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2022-01-12 21:47:54

我对您共享的链接做了一些研究,Django的源代码和Django REST Framework的源代码。

赤裸的Django不容易受到这种攻击,因为它不使用X-Forwarded-For,Python也不使用。

几乎所有版本的Django REST框架都是易受攻击的,因为这一提交在9年前添加了HTTP_X_FORWARDED_FOR检查:https://github.com/encode/django-rest-framework/blob/d18d32669ac47178f26409f149160dc2c0c5359c/rest_framework/throttling.py#L155

为了避免这一点,您可以采取措施,因为还没有可用的修补程序,您可以实现自己的比率划分器,并将get_ident替换为只使用REMOTE_ADDR

如果您的Djando REST Framework应用程序位于代理后面,则可能不会受到此攻击。

票数 2
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/70688368

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档