我有一个 Django 应用程序(个人项目)在 Azure VM 上实时运行。
我查看了
/var/log/django.log.env2023-04-13 16:19:12 [WARNING ] (log.log_response) Not Found: /.env
2023-04-13 16:19:12 [WARNING ] (log.log_response) Not Found: /.env
2023-04-13 16:19:14 [WARNING ] (log.log_response) Not Found: /.env.save
2023-04-13 16:19:14 [WARNING ] (log.log_response) Not Found: /.env.save
2023-04-13 16:19:14 [WARNING ] (log.log_response) Not Found: /.env.old
2023-04-13 16:19:14 [WARNING ] (log.log_response) Not Found: /.env.old
2023-04-13 16:19:16 [WARNING ] (log.log_response) Not Found: /.env.prod
2023-04-13 16:19:16 [WARNING ] (log.log_response) Not Found: /.env.prod
2023-04-13 16:19:20 [WARNING ] (log.log_response) Not Found: /.env.production
2023-04-13 16:19:20 [WARNING ] (log.log_response) Not Found: /.env.production
2023-04-13 05:35:17 [WARNING ] (log.log_response) Not Found: /owa/auth/logon.aspx
2023-04-13 05:35:17 [WARNING ] (log.log_response) Not Found: /owa/auth/logon.aspx
2023-04-13 06:02:18 [WARNING ] (log.log_response) Not Found: /login
2023-04-13 06:02:18 [WARNING ] (log.log_response) Not Found: /login
这是我应该关心的事情吗?
看起来演员正在扫描文件和目录,如果他成功找到我的
.env此外,这些警告的存在是否表明我的安全设置有些薄弱?
抱歉,如果这是一个新手问题,我的安全知识非常基础。
有人试图攻击您吗?看来是这样。
这是我应该关心的事情吗?
总的来说,是的。您应该假设人们正在扫描您的网站以查找您不打算向公众公开的文件。
哪些文件/页面/API端点暴露于互联网,哪些不暴露于互联网,通常在Web服务器配置文件中设置。
您还可以编写中间件/装饰器/条件来阻止访问 Django 本身中的某些 URL。
禁止或启用例如您的服务器上的目录列表可以在您的 Web 服务器配置中进行: https://www.invicti.com/blog/web-security/disable-directory-listing-web-servers/
您还可以尝试使用“蜜罐”,其中您可以扫描 .env 文件,但不能正常导航到,然后阻止该 IP 再次访问您的站点: https://www.acunetix.com/support/docs/faqs/how-to-block-automated-scanners-from-scanning-your-site/
'当我开始和我的配偶出现问题时,她开始表现可疑,在奇怪的时间打电话,而且通常表现得很奇怪。我的一个好朋友在 Instagram 上推荐了 Marie_consultancy。在 Instagram 上联系 Marie_consultancy 后,她在不知不觉中远程入侵了她的设备并为我提供了完整的访问权限。我可以查看她的电子邮件、查看她的照片并阅读她的短信,这一事实让我感到震惊和不知所措。毫无疑问,这位黑客是我雇佣过的最伟大的黑客。通过 Instagram @Marie_consultancy 或发送电子邮件至 [email protected] 与她联系。我向每个阅读这篇文章的人推荐她。