È sicuro non impostare un utente nell'amministrazione di django?

0

È possibile che qualcuno inserisca l'app di amministrazione di django, se non creo un utente per questo, eseguendo:

python manage.py createsuperuser

Ad esempio, esiste una coppia nome utente-password predefinita che qualcuno potrebbe utilizzare per ottenere l'accesso all'amministratore di django?

    
posta pgmank 28.03.2018 - 00:09
fonte

2 risposte

2

È possibile accedere con le credenziali predefinite

Non esiste un utente predefinito e lo stato dei documenti :

The username and email address for the new account can be supplied by using the --username and --email arguments on the command line. If either of those is not supplied, createsuperuser will prompt for it when running interactively.

In quanto tale, non esiste un utente predefinito con cui puoi accedere.

Se qualcuno può eseguire comandi arbitrari, potrei essere violato

Sì, se qualcuno può eseguire il comando create user, può creare un nuovo utente admin e usarlo, ma potrebbe anche eseguire qualsiasi comando a loro piacimento, quindi a quel punto l'hai già perso.

    
risposta data 21.07.2018 - 12:37
fonte
0

Penso che la tua domanda si riduce a questo, vero?

is there a default username-password pair

Se è così, la risposta è "no". Ecco la documentazione per createsuperuser

Ovviamente, devi anche essere vigile riguardo alle considerazioni generali sulla sicurezza della tua app Web, compresi i problemi di autenticazione non direttamente correlati alla presenza o all'assenza di un utente predefinito.

Questa è un'altra grande risorsa che ti suggerisco di guardare.

    
risposta data 21.05.2018 - 22:32
fonte

Leggi altre domande sui tag