elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Envenenamiento de cabeceras en Django 1.3 y 1.4
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Envenenamiento de cabeceras en Django 1.3 y 1.4  (Leído 1,447 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Envenenamiento de cabeceras en Django 1.3 y 1.4
« en: 25 Octubre 2012, 13:02 pm »

Django, framework de desarrollo web basado en Python ha actualizado las ramas 1.3 y 1.4 para dar solución a una vulnerabilidad que podría, mediante técnicas de envenenamiento de cabeceras ("Header poisoning"), redireccionar a un usuario a un sitio malicioso o incluso el robo de credenciales.

Para realizar algunas operaciones, Django extrae el nombre del dominio de la cabecera "Host" enviada. La vulnerabilidad (CVE-2012-4520) reside en el parser del método django.http.HttpRequest.get_host(), que extrae esta cabecera "Host" incorrectamente.

Una cabecera válida tendría el siguiente formato:

Host: example.com

Si a Django se le proporciona una petición con esta cabecera manipulada, como por ejemplo:

Host: example.com:algo@example2.com

Django extraerá y entenderá que el dominio deseado es "example2.com" en lugar de "example.com", que es el correcto.

Un caso particular de ataque se produciría en el caso derestablecer la contraseña del usuario. Un atacante podría simular una petición de nueva contraseña con la cabecera Host especialmente manipulada, y que a la víctima le llegase un confirmación (o nueva contraseña) con un texto similar a "Visite http://example2.com/loginpara..." en lugar de aparecer el dominio legítimo. Si este usuario (que en realidad no ha solicitado nada) picase, introduciría sus datos en otro dominio. Esto ocurriría tanto en con el gestor de usuarios integrado de Django, o con cualquier aplicación de este tipo realizada con Django.http.HttpRequest.get_host.

Además del fallo descrito, se ha actualizado la documentación debido a la incorrecta descripción del método HttpResponse.set_cookie(), que podría facilitar ataques XSS en las webs que implementaran incorrectamente este método. La documentación de Django 1.4, que argumentaba incorrectamente que el método HttpResponse.set_cookie() establecía siempre la propiedad HttpOnly para todas las cookies (propiedad que añade protección adicional ante ataques XSS de scripts maliciosos). Ahora se advierte que sólo lo hace para las cookies de sesión.

Se recomienda actualizar a las versiones correspondientes de cada rama, 1.3.4 o a la 1.4.2.

Más información:

Django - Security releases issuedhttps://www.djangoproject.com/weblog/2012/oct/17/security/

Fixed a security issue related to password resets https://github.com/django/django/commit/9305c0e12d43c4df999c3301a1f0c742264a657e

Django 1.3.4 https://www.djangoproject.com/download/1.3.4/tarball/

Django 1.4.2 https://www.djangoproject.com/download/1.4.2/tarball/

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/envenenamiento-de-cabeceras-en-django-13-y-14


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Desarrollando con Django
Desarrollo Web
Kasswed 0 2,255 Último mensaje 5 Agosto 2010, 18:52 pm
por Kasswed
parametros variables en modelos de django [python]
Desarrollo Web
Kase 0 3,166 Último mensaje 14 Mayo 2011, 00:06 am
por Kase
libro de django
Desarrollo Web
Kase 5 4,114 Último mensaje 26 Abril 2012, 05:53 am
por Kase
Aplicación Localidades México Django (Aporte)
Desarrollo Web
_teiki 0 2,005 Último mensaje 25 Mayo 2012, 21:05 pm
por _teiki
¿distro para node.js y django?
GNU/Linux
bacanzito 1 2,060 Último mensaje 1 Julio 2014, 05:56 am
por engel lex
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines