Articles of seguridad

jinja2: variables de escape html

¿Cómo puedo html-escape entrada insanitada peligrosa en jinja2? ¿Puedo hacerlo dentro de la plantilla o debe hacerse en código python? Tengo una variable que puede contener los caracteres de u & s de da . ¿Cómo me escapo en jinja2?

Aplicaciones de Python: ¿Puedes asegurar tu código de alguna manera?

Si realmente existe una “mejor” forma, ¿cuál es la mejor manera de enviar una aplicación de Python y garantizar que las personas no puedan (fácilmente) realizar ingeniería inversa de sus algoritmos / seguridad / trabajo en general? Si no hay una “mejor” forma, ¿cuáles son las diferentes opciones disponibles? Antecedentes: Me encanta codificar en Python […]

Cómo rechazar la serialización de pepinillos en el apio.

Celery utiliza de forma predeterminada el pickle como método de serialización para las tareas. Como se señaló en las preguntas frecuentes , esto representa un agujero de seguridad. Celery le permite configurar cómo se serializan las tareas utilizando el parámetro de configuración CELERY_TASK_SERIALIZER . Pero esto no resuelve el problema de seguridad. Incluso si las […]

¿Asegurar la comunicación con la aplicación móvil?

Una aplicación de Android / Iphone accederá a los datos de la aplicación desde el servidor. [Django-Python] ¿Cómo puedo asegurar la comunicación con la aplicación móvil? Expectativa : lo suficientemente segura para la información confidencial, como contraseñas, no habrá una forma directa de descifrado, excepto el uso de datos brutos. Mis requerimientos : Autenticación [Sólo […]

¿Cuál de estos lenguajes de script es más apropiado para la prueba de la pluma?

En primer lugar, quiero evitar una guerra de fuego en los idiomas. Los idiomas para elegir son Perl, Python y Ruby. Quiero mencionar que me siento cómodo con todos ellos, pero el problema es que no puedo concentrarme solo en uno. Si, por ejemplo, veo un módulo de Perl genial, tengo que probarlo. Si veo […]

Python – No se pueden instalar solicitudes : operación no permitida

Cuando bash ejecutar las sudo pip2 install requests[security] este error: MacBook-Pro-di-Francesco:~ francesco$ sudo pip2 install requests[security] The directory ‘/Users/francesco/Library/Caches/pip/http’ or its parent directory is not owned by the current user and the cache has been disabled. Please check the permissions and owner of that directory. If executing pip with sudo, you may want sudo’s -H […]

¿Cómo usar Scapy para determinar el tipo de cifrado inalámbrico?

Estoy realizando una investigación de seguridad en redes inalámbricas que implica la encoding de una pequeña herramienta que busca puntos de acceso Wifi en las proximidades. Según el tipo de cifrado encontrado, continúa con otras pruebas de seguridad. Hasta ahora tengo un código Python que usa Scapy para enumerar diferentes puntos de acceso y si […]

¿Serializar el estado de cálculo de MD5 y reanudar más tarde?

Quiero serializar / deserializar el contexto md5. Pero no sé cómo hacerlo en Python. Seudocódigo de lo que quiero hacer. import md5 # Start hash generation m = md5.new() m.update(“Content”) # Serialize m serialized_m = serialize(m) # In another function/machine, deserialize m # and continue hash generation m2 = deserialize(serialized_m) m2.update(“More content”) m2.digest() Hay bibliotecas […]

¿Es una consulta SQLAlchemy vulnerable a los ataques de inyección?

Tengo la siguiente consulta que utiliza like para buscar un blog. No estoy seguro de si me hago vulnerable a un ataque de inyección SQL si hago esto. ¿Cómo maneja esto SQLAlchemy? ¿Es seguro? search_results = Blog.query.with_entities(Blog.blog_title).filter(Blog.blog_title.like(“%”+ searchQuery[‘queryText’] +”%”)).all()

¿Razones detrás de los nombres en clases de Python’s fáciles de confundir, como OS y SYS?

Me he dado cuenta de que una gran cantidad de preguntas en SO, relacionadas con Python, se refieren a personas que cometen errores en su clase Sys, clase de sistema operativo y ninguna clase. Por ejemplo, un caso fácil de confundir es el caso: os.open(“something”) , open(“something”) y sys.open(“something”) . Todavía no he entendido las […]