Articles of seguridad

Gestión de contraseñas para procesos no interactivos.

El reto Necesito una herramienta de administración de contraseñas que serán invocadas por otros procesos (scripts de todo tipo: python, php, perl, etc.) y será capaz de identificar y verificar el script de la persona que llama para realizar el control de acceso: devolver una contraseña atrás o salida -1 La implementación actual Después de […]

Cómo hacer una shell web interactiva en Python

¿Cómo funcionan los sitios como https://www.pythonanywhere.com/try-ipython/ ? Probablemente ejecutan varios comandos de exec , o se interconectan con ipython. Sin embargo, esto puede ser extremadamente inseguro si no realizaron ninguna “acción preventiva” (lo que hicieron). Un usuario simple (y malvado) puede hacer algo como import shutil, os y hacer algo malo. ¿Cómo es posible la […]

¿Qué cifrado simétrico usar para cifrar mensajes?

No tengo ni idea sobre el cifrado en absoluto. Pero lo necesito. ¿Cómo? Digamos que tiene un sistema de nodos que se comunican entre sí en una red a través de mensajes asíncronos. Los nodos no mantienen la información de sesión sobre otros nodos (esto es una restricción de diseño). Digamos que quiere asegurarse de […]

Python: ¿Asegurar scripts / subproceso no confiables con chroot y chjail?

Estoy escribiendo un servidor web basado en Python que debería poder ejecutar “complementos” para que la funcionalidad se pueda extender fácilmente. Para esto, consideré que el enfoque tiene una cantidad de carpetas (una para cada complemento) y una serie de scripts de shell / python que llevan el nombre de nombres predefinidos para diferentes eventos […]

¿Cómo puedo acceder a Ring 0 con Python?

Esta respuesta, que indica que el nombramiento de clases en Python no se realiza debido a privilegios especiales, aquí me confunde. ¿Cómo puedo acceder a los anillos inferiores en Python? ¿Es el io de bajo nivel para acceder a los anillos de nivel inferior? Si es así, ¿a qué anillos puedo acceder con eso? Es […]

jinja2: variables de escape html

¿Cómo puedo html-escape entrada insanitada peligrosa en jinja2? ¿Puedo hacerlo dentro de la plantilla o debe hacerse en código python? Tengo una variable que puede contener los caracteres de u & s de da . ¿Cómo me escapo en jinja2?

Aplicaciones de Python: ¿Puedes asegurar tu código de alguna manera?

Si realmente existe una “mejor” forma, ¿cuál es la mejor manera de enviar una aplicación de Python y garantizar que las personas no puedan (fácilmente) realizar ingeniería inversa de sus algoritmos / seguridad / trabajo en general? Si no hay una “mejor” forma, ¿cuáles son las diferentes opciones disponibles? Antecedentes: Me encanta codificar en Python […]

Cómo rechazar la serialización de pepinillos en el apio.

Celery utiliza de forma predeterminada el pickle como método de serialización para las tareas. Como se señaló en las preguntas frecuentes , esto representa un agujero de seguridad. Celery le permite configurar cómo se serializan las tareas utilizando el parámetro de configuración CELERY_TASK_SERIALIZER . Pero esto no resuelve el problema de seguridad. Incluso si las […]

¿Asegurar la comunicación con la aplicación móvil?

Una aplicación de Android / Iphone accederá a los datos de la aplicación desde el servidor. [Django-Python] ¿Cómo puedo asegurar la comunicación con la aplicación móvil? Expectativa : lo suficientemente segura para la información confidencial, como contraseñas, no habrá una forma directa de descifrado, excepto el uso de datos brutos. Mis requerimientos : Autenticación [Sólo […]

¿Cuál de estos lenguajes de script es más apropiado para la prueba de la pluma?

En primer lugar, quiero evitar una guerra de fuego en los idiomas. Los idiomas para elegir son Perl, Python y Ruby. Quiero mencionar que me siento cómodo con todos ellos, pero el problema es que no puedo concentrarme solo en uno. Si, por ejemplo, veo un módulo de Perl genial, tengo que probarlo. Si veo […]