lunes, agosto 01, 2016

Big Data Security Tales: Django en HUE en modo DEBUG y con Directory Listing (Level 103)

Otra de las cosas que es fácil probar y localizar es esta mala configuración por defecto de Django en distribuciones de Apache Hadoop. En concreto, Django es un framework para desarrollo de aplicaciones web escrito en Python, y sobre él está construido HUE, el interfaz de administración web de análisis de datos del que hablamos ayer. Muchos amantes de Python lo utilizan de forma habitual para desarrollar sus aplicaciones, e incluso tienes un módulo de Latch para Django que hizo en forma de hack nuestro amigo Deese de RootedCON usando el SDK de Latch para Python.

Figura 1: Django en HUE en modo DEBUG y con Directory Listing (Level 103)

El caso es que, en algunas distribuciones de Apache Hadoop en las que se incluye HUE, la configuración de Django no está lista para producción y viene en modo DEBUG. Basta con ir a la ayuda de Django y ver que explica lo siguiente.

Figura 2: Ayuda sobre el modo DEBUG en Django

Queda claro que jamas se debería poner en producción una aplicación escrita en Django con el modo DEBUG activado, pero sin embargo HortonWorks la lleva así. Basta con pedir un fichero que no existe en el servicio HUE (sin haber hecho login si quiera) y acceder a la información en modo DEBUG.

Figura 3: Información de DEBUG en el error de Django

Como se puede ver, son URLs disponibles en el servidor de HUE que quedan expuestas. Podemos incluso pedir alguna de ellas para darnos cuenta de otro error en el empaquetado y publicación de HUE en esta distribución, ya que el servidor web viene con Directory Listing y podemos ver las carpetas y los ficheros de algunas de estas URLS.

Figura 4: Servidor web de HUE con Directory Listing
Y si navegamos, llegamos al "art" con el que ha sido tuneado esta versión concreta de HUE, que como veis son los logos de HortonWorks.

Figura 5: Logos de HortonWorks en el "tuning" de esta versión de HUE

Como se puede apreciar, esta es una versión de HortonWorks con Apache Hadoop y HUE, lo que debería hacerte pensar, si tienes una distribución de estas en tu empresa, deberías revisar cuanto antes las configuraciones de HUE y Django.

Figura 6: Big Probles with Big Data - Apache Hadoop Interfaces Security

De algunas de estas cosas habló el investigador Jakub Kaluzny en la reciente OWASP AppSecEU 16, así que no te pierdas la charla que está en el vídeo de la Figura 6. Aquí abajo tienes la lista de artículos de Big Data Security Tales para que no te vayas perdiendo ninguno.
Saludos Malignos!

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares