lunes, agosto 01, 2016

Big Data Security Tales: Django en HUE en modo DEBUG y con Directory Listing (Level 103)

Otra de las cosas que es fácil probar y localizar es esta mala configuración por defecto de Django en distribuciones de Apache Hadoop. En concreto, Django es un framework para desarrollo de aplicaciones web escrito en Python, y sobre él está construido HUE, el interfaz de administración web de análisis de datos del que hablamos ayer. Muchos amantes de Python lo utilizan de forma habitual para desarrollar sus aplicaciones, e incluso tienes un módulo de Latch para Django que hizo en forma de hack nuestro amigo Deese de RootedCON usando el SDK de Latch para Python.

Figura 1: Django en HUE en modo DEBUG y con Directory Listing (Level 103)

El caso es que, en algunas distribuciones de Apache Hadoop en las que se incluye HUE, la configuración de Django no está lista para producción y viene en modo DEBUG. Basta con ir a la ayuda de Django y ver que explica lo siguiente.

Figura 2: Ayuda sobre el modo DEBUG en Django

Queda claro que jamas se debería poner en producción una aplicación escrita en Django con el modo DEBUG activado, pero sin embargo HortonWorks la lleva así. Basta con pedir un fichero que no existe en el servicio HUE (sin haber hecho login si quiera) y acceder a la información en modo DEBUG.

Figura 3: Información de DEBUG en el error de Django

Como se puede ver, son URLs disponibles en el servidor de HUE que quedan expuestas. Podemos incluso pedir alguna de ellas para darnos cuenta de otro error en el empaquetado y publicación de HUE en esta distribución, ya que el servidor web viene con Directory Listing y podemos ver las carpetas y los ficheros de algunas de estas URLS.

Figura 4: Servidor web de HUE con Directory Listing
Y si navegamos, llegamos al "art" con el que ha sido tuneado esta versión concreta de HUE, que como veis son los logos de HortonWorks.

Figura 5: Logos de HortonWorks en el "tuning" de esta versión de HUE

Como se puede apreciar, esta es una versión de HortonWorks con Apache Hadoop y HUE, lo que debería hacerte pensar, si tienes una distribución de estas en tu empresa, deberías revisar cuanto antes las configuraciones de HUE y Django.

Figura 6: Big Probles with Big Data - Apache Hadoop Interfaces Security

De algunas de estas cosas habló el investigador Jakub Kaluzny en la reciente OWASP AppSecEU 16, así que no te pierdas la charla que está en el vídeo de la Figura 6. Aquí abajo tienes la lista de artículos de Big Data Security Tales para que no te vayas perdiendo ninguno.
- Big Data Security Tales: ¡Vigila que tu MongoDB no le de tus datos a cualquiera! (Level 100)
- Big Data Security Tales: Cómo funcionan las MongoDB Injection
- Big Data Security Tales: MongoDB y Cassandra (Level 101)

- Big Data Security Tales: Apache Hadoop expuesto por no configurar HUE (Level 102)
- Big Data Security Tales: Django en HUE en modo DEBUG y con Directory Listing (Level 103)
- Big Data Security Tales: Las Interfaces de acceso al HDFS
- Big Data Security Tales: Apache Amabari Default Admin
- Big Data Security Tales: WSO2 Carbon y la ayuda para el Login
- Big Data Security Tales: Los Known-Bugs en WSO2 Carbon Server
- Big Data Security Tales: Kibana & ElasticSearch objetivos del ransomware
- Big Data Security Tales: Apache CouchDB Relax... o no
- Big Data Security Tales: Riak NoSQL Database
Saludos Malignos!

No hay comentarios:

Publicar un comentario