Python-сообщество

Навеяно статьей на хабре, в которой приведен список самых популярных уязвимостей веб-приложений за 2013 год. Несмотря что во многом упоминается PHP, предлагаю обсудить их в контексте использования Django, а именно присутствует ли проблема и, если присутствует пути решения. Все решения будут суммироваться в этом топик стартере.

1. SQL Injection - Отсутствует при использовании ORM
2. Некорректная аутентификация и управление сессией
3. XSS
4. Небезопасные прямые ссылки на объекты
5. Небезопасная конфигурация
6. Утечка чувствительных данных
7. Отсутствие контроля доступа к функциональному уровню
8. Подделка межсайтовых запросов (CSRF) - отсутствует при обертывании post запросов
9. Использование компонентов с известными уязвимостями
10. Невалидированные редиректы
11. Кликджекинг - отсутствует, при использовании middleware класса
12. Фишинг

Начну с себя.
1. SQL Injection - думаю тут все ясно. Джанга средствами своей ORM экранирует символы строк параметров таким образом что бы атака не прошла
8. Подделка межсайтовых запросов (CSRF) - С определенной версии по умолчанию Джанга в принципе не дает возможность проведения не безопасных post запросов. В документации есть наглядный раздел об использовании этой технологии защиты.
11. Кликджекинг - лично не использовал, но согласно документации решается добавлением класса в пост обработку ответов. Начиная с версии 1.6 опция конфигурации устанавливается автоматически при создании проекта.