Articles of seguridad

¿Cómo usar Scapy para determinar el tipo de cifrado inalámbrico?

Estoy realizando una investigación de seguridad en redes inalámbricas que implica la encoding de una pequeña herramienta que busca puntos de acceso Wifi en las proximidades. Según el tipo de cifrado encontrado, continúa con otras pruebas de seguridad. Hasta ahora tengo un código Python que usa Scapy para enumerar diferentes puntos de acceso y si […]

¿Serializar el estado de cálculo de MD5 y reanudar más tarde?

Quiero serializar / deserializar el contexto md5. Pero no sé cómo hacerlo en Python. Seudocódigo de lo que quiero hacer. import md5 # Start hash generation m = md5.new() m.update(“Content”) # Serialize m serialized_m = serialize(m) # In another function/machine, deserialize m # and continue hash generation m2 = deserialize(serialized_m) m2.update(“More content”) m2.digest() Hay bibliotecas […]

¿Es una consulta SQLAlchemy vulnerable a los ataques de inyección?

Tengo la siguiente consulta que utiliza like para buscar un blog. No estoy seguro de si me hago vulnerable a un ataque de inyección SQL si hago esto. ¿Cómo maneja esto SQLAlchemy? ¿Es seguro? search_results = Blog.query.with_entities(Blog.blog_title).filter(Blog.blog_title.like(“%”+ searchQuery[‘queryText’] +”%”)).all()

¿Razones detrás de los nombres en clases de Python’s fáciles de confundir, como OS y SYS?

Me he dado cuenta de que una gran cantidad de preguntas en SO, relacionadas con Python, se refieren a personas que cometen errores en su clase Sys, clase de sistema operativo y ninguna clase. Por ejemplo, un caso fácil de confundir es el caso: os.open(“something”) , open(“something”) y sys.open(“something”) . Todavía no he entendido las […]

¿Existe una alternativa a rexec para el sandboxing de Python?

La implementación de un entorno ‘sandbox’ en Python solía hacerse con el módulo rexec ( http://docs.python.org/library/rexec.html ). Desafortunadamente, ha sido desaprobado / eliminado debido a algunas vulnerabilidades de seguridad. ¿Hay alguna alternativa? Mi objective es hacer que el código Python ejecute scripts de Python semi-confiables. En un mundo perfecto, las llamadas a cualquier función fuera […]

¿Cómo evitar que cada archivo malicioso se cargue en mi servidor? (verifique el tipo de archivo)?

Mi problema es evitar que los usuarios carguen algún archivo malicioso en mi servidor web. Estoy trabajando en un entorno linux (debian). En realidad, las cargas se manejan a través de php por este código: function checkFile($nomeFile, $myExt = false){ if($myExt != false){ $goodExt = “_$myExt”.”_”; }else{ $goodExt = “_.jpg_.bmp_.zip_.pdf_.gif_.doc_.xls_.csv_.docx_.rar_”; } $punto = strrpos($nomeFile, ‘.’); […]

Encriptación simétrica de enteros a enteros

Necesito algunos punteros o un ejemplo práctico sobre cómo cifrar un int a otro int, y se necesitaría una clave secreta para descifrar el valor. Algo como: encrypt(1, “secret key”) == 67123571122 decrypt(67123571122, “secret key”) == 1 Este tipo hace casi la misma pregunta: Algoritmo bijetivo simétrico para enteros sin embargo, al ser un cifrado […]

Propósito de la configuración de Django ‘SECRET_KEY’

¿Cuál es exactamente el punto de SECRET_KEY en django? Hice algunas búsquedas en Google y verifiqué los documentos ( https://docs.djangoproject.com/en/dev/ref/settings/#secret-key ), pero estaba buscando una explicación más detallada de esto, y por qué se requiere. Por ejemplo, ¿qué podría pasar si se comprometiera la clave / otros supieran lo que era? Gracias.

SQLAlchemy + inyección SQL

¿Cuáles son las mejores prácticas para mitigar los ataques de inyección de SQL cuando se usa SQLAlchemy?

Asegurar archivos estáticos con matraz

Estoy creando una aplicación de matraz, y quiero que sirva algunos archivos estáticos solo si el usuario está autenticado. Es una aplicación de tráfico muy bajo (solo para uso interno). ¿Cómo voy a hacer esto? Una cosa en la que estaba pensando es usar serve_static () y poner eso detrás de una verificación de autenticación, […]