1 статья с этим тегом
Django идёт «с батарейками» и с безопасными значениями по умолчанию (ORM, CSRF, авто-экранирование в шаблонах, auth) и надёжен при корректной настройке. Но инциденты приходят из настроек. Большая тройка: (1) DEBUG=True в проде раскрывает настройки, переменные окружения и секреты на странице ошибки, (2) утёкший SECRET_KEY (основа подписи/сессий), (3) слабая авторизация (нет проверок is_staff/permission). Плюс SQLi через raw()/extra() или интерполяцию строк, небезопасная десериализация (pickle), незаданный ALLOWED_HOSTS и CVE зависимостей (pip). Защита: DEBUG=False в проде, SECRET_KEY из окружения, явная авторизация.