Articles of seguridad

¿Existe una alternativa a rexec para el sandboxing de Python?

La implementación de un entorno ‘sandbox’ en Python solía hacerse con el módulo rexec ( http://docs.python.org/library/rexec.html ). Desafortunadamente, ha sido desaprobado / eliminado debido a algunas vulnerabilidades de seguridad. ¿Hay alguna alternativa? Mi objective es hacer que el código Python ejecute scripts de Python semi-confiables. En un mundo perfecto, las llamadas a cualquier función fuera […]

¿Cómo evitar que cada archivo malicioso se cargue en mi servidor? (verifique el tipo de archivo)?

Mi problema es evitar que los usuarios carguen algún archivo malicioso en mi servidor web. Estoy trabajando en un entorno linux (debian). En realidad, las cargas se manejan a través de php por este código: function checkFile($nomeFile, $myExt = false){ if($myExt != false){ $goodExt = “_$myExt”.”_”; }else{ $goodExt = “_.jpg_.bmp_.zip_.pdf_.gif_.doc_.xls_.csv_.docx_.rar_”; } $punto = strrpos($nomeFile, ‘.’); […]

Encriptación simétrica de enteros a enteros

Necesito algunos punteros o un ejemplo práctico sobre cómo cifrar un int a otro int, y se necesitaría una clave secreta para descifrar el valor. Algo como: encrypt(1, “secret key”) == 67123571122 decrypt(67123571122, “secret key”) == 1 Este tipo hace casi la misma pregunta: Algoritmo bijetivo simétrico para enteros sin embargo, al ser un cifrado […]

Propósito de la configuración de Django ‘SECRET_KEY’

¿Cuál es exactamente el punto de SECRET_KEY en django? Hice algunas búsquedas en Google y verifiqué los documentos ( https://docs.djangoproject.com/en/dev/ref/settings/#secret-key ), pero estaba buscando una explicación más detallada de esto, y por qué se requiere. Por ejemplo, ¿qué podría pasar si se comprometiera la clave / otros supieran lo que era? Gracias.

SQLAlchemy + inyección SQL

¿Cuáles son las mejores prácticas para mitigar los ataques de inyección de SQL cuando se usa SQLAlchemy?

Asegurar archivos estáticos con matraz

Estoy creando una aplicación de matraz, y quiero que sirva algunos archivos estáticos solo si el usuario está autenticado. Es una aplicación de tráfico muy bajo (solo para uso interno). ¿Cómo voy a hacer esto? Una cosa en la que estaba pensando es usar serve_static () y poner eso detrás de una verificación de autenticación, […]

¿Es un buen estilo llamar comandos bash dentro de un script de Python usando os.system (“código bash”)?

Me preguntaba si se considera o no un buen estilo para llamar a comandos bash dentro de un script de Python usando os.system (). También me preguntaba si es seguro hacerlo o no. Sé cómo implementar algunas de las funciones que necesito en Bash y en Python, pero es mucho más sencillo e intuitivo implementarlo […]

Restricción de la syntax de Python para ejecutar el código de usuario de forma segura. ¿Es este un enfoque seguro?

Pregunta original: Ejecutando un código de usuario matemático en un servidor web de Python, ¿cuál es la forma segura más simple? Quiero poder ejecutar el código enviado por el usuario en un servidor web de Python. El código será simple y matemático por naturaleza. Como se requiere un pequeño subconjunto de Python, mi enfoque actual […]

¿Cómo protegerme de una bomba gzip o bzip2?

Esto está relacionado con la pregunta sobre las bombas zip , pero teniendo en cuenta la compresión gzip o bzip2, por ejemplo, un servicio web que acepta archivos .tar.gz . Python proporciona un módulo tarfile práctico que es conveniente de usar, pero que no parece proporcionar protección contra zipbombs. En el código Python que utiliza […]

¿Cómo puedo protegerme de una bomba zip?

Acabo de leer sobre bombas zip , es decir, archivos zip que contienen una gran cantidad de datos altamente compresibles (0000000000000000000 …). Cuando se abren llenan el disco del servidor. ¿Cómo puedo detectar que un archivo zip es una bomba zip antes de descomprimirlo? ACTUALIZACIÓN ¿Puede decirme cómo se hace esto en Python o Java?