关键信息总结 漏洞概述 漏洞类型: 在调试代码中插入敏感信息 严重性: 高 CVSS 3.1 分数: 7.5 发现日期: 2025 年 10 月 20 日 受影响组件: 新闻门户 Django 应用 技术细节 位置: - 文件: - 行号: 27 - 组件: Django 配置文件 漏洞代码: 漏洞描述 Django 应用在生产配置文件中启用了 DEBUG 模式,只在开发环境中启用 Django 的 DEBUG 模式,决不在生产环境中启用。启用后,Django 生成详细的错误页面,暴露应用内部工作的敏感信息。 漏洞分类 CWE 映射: - CWE-209: 生成包含敏感信息的错误消息 - CWE-215: 在调试代码中插入敏感信息 - CWE-497: 将敏感系统信息暴露给未经授权的控制范围 - CWE-11: ASP.NET 配置错误:创建调试二进制文件 - CWE-489: 激活调试代码 OWASP Top 10 映射: - A05:2021 - 安全配置错误 - A01:2021 - 破坏访问控制(信息泄露) 信息安全影响 DEBUG 模式暴露的信息: - 应用程序架构、配置细节、数据库信息、系统信息和请求/响应数据 攻击场景示例: - 路径遍历、SQL 注入、版本特定漏洞利用、身份验证绕过研究等 漏洞证据 发现方法: 自动化安全扫描 确认: 通过文件 中的设置和触发错误页面确认 影响版本 确定受影响版本: 由维护者确定 可能受影响的范围: 使用此配置的所有版本、使用此配置文件部署的所有生产环境、不使用特定环境配置的所有环境 防护措施 立即措施(高优先级 - 48 小时内): 1. 禁用 DEBUG 模式 2. 配置 ALLOWED_HOSTS 3. 设置自定义错误页面 4. 配置正确日志记录 最佳实践: - 基于环境的配置 - 多环境配置 漏洞利用复杂性 利用难度: 简单 - 无需认证、任何 HTTP 客户端均可触发、细节显示无限制、无需特殊工具 检测方法 安全团队: 1. 自动化检测(例如 SEMGREP、自定义 grep、BANDIT 扫描) 2. 手动测试 3. 生产监控(如日志审查) 引用和实际影响 案例研究: 信息暴露、数据库凭据泄露、会话劫持等导致的实际影响 安全标准: OWASP、CWE 漏洞修复指南链接