Articles of seguridad de

Restringir las ubicaciones de script de Python

Me pregunto si hay una forma de controlar desde dónde se pueden ejecutar los scripts de Python. De modo que solo los scripts en ciertas ubicaciones pueden ser ejecutados por Python. Estamos ejecutando un entorno de Windows con controladores de dominio de Windows. La razón es como un paso para bloquear Python en un entorno […]

Python – Liberar / reemplazar una variable de cadena, ¿cómo se maneja?

Digamos que passWd una contraseña en texto sin formato en una variable llamada passWd como una cadena. ¿Cómo libera Python esta variable una vez que la descarte (por ejemplo, con del passWd o passWd= ‘new random data’ )? La cadena se almacena como una matriz de bytes, lo que significa que se puede sobrescribir en […]

¿Permisos múltiples en view_config decorator?

Estoy configurando el control de acceso para una aplicación web basada en el marco de Pyramid. Estoy configurando permisos para mis @view_config vista utilizando el decorador @view_config . Tengo dos permisos, a saber, ‘read’ y ‘write’ . Ahora, quiero que ciertas vistas requieran ambos permisos. No pude averiguar cómo hacer esto con view_config . ¿Me […]

¿Hay alguna manera de asegurar cadenas para la evaluación de Python?

Hay muchas preguntas sobre SO sobre el uso de la evaluación de Python en cadenas inseguras (por ejemplo, ¿ Seguridad de la evaluación de Python () en cadenas no confiables?, Python: haga que la evaluación sea segura ). La respuesta unánime es que esta es una mala idea. Sin embargo, encontré poca información sobre qué […]

Dado que mi código es de código abierto y estoy ejecutando en un servidor, y acepto código casi sin procesar, ¿qué es lo peor que me puede pasar?

Estoy observando varios casos en los que sería mucho más fácil aceptar un código casi sin procesar. Asi que, ¿Qué es lo peor que puedes hacer con una expresión si no puedes lambda, y cómo? ¿Qué es lo peor que puede hacer con el código ejecutado si no puede usar la importación y cómo? (no […]

¿Usar ast y las listas blancas para hacer que eval () de python sea seguro?

DE ACUERDO. Sé que los expertos han hablado y nunca debe utilizar eval() python en datos no fiables, nunca. No soy más inteligente que el rest del mundo, y ni siquiera debería intentar esto. ¡Pero! Voy a, de todos modos Mi problema básico es que estoy buscando escribir un pequeño progtwig de evaluación de calculadoras […]

¿Cómo hacer una copia de seguridad de un sitio de AppEngine?

Entonces, construyes un gran sitio web shiny y nublado en la parte superior de AppEngine, con miles y miles de imágenes guardadas en el almacén de datos y conciertos de datos en el blobstore. ¿Cómo los respalda?

Funciones de Python explotables

Esta pregunta es similar a las funciones PHP explotables . Los datos contaminados provienen del usuario, o más específicamente un atacante. Cuando una variable contaminada alcanza una función de sumidero, tiene una vulnerabilidad. Por ejemplo, una función que ejecuta una consulta SQL es un sumidero, y las variables GET / POST son fonts de corrupción. […]

Pasar de forma segura una contraseña a subprocess.Popen a través del entorno

Me gustaría pedir una contraseña a un usuario de manera segura y luego pasarla a subprocess.Popen para ejecutar un comando que lo requiera. He visto esta pregunta y la otra , pero me pregunto si puedo pasar la contraseña de forma segura a través del entorno de subproceso así: import subprocess, os user_password = input(“what […]

Generador de contraseñas aleatorio simple de alta calidad

Me interesa crear un generador de contraseñas aleatorias de alta calidad (criptográfica) muy simple. ¿Hay una mejor manera de hacer esto? import os, random, string length = 13 chars = string.ascii_letters + string.digits + ‘!@#$%^&*()’ random.seed = (os.urandom(1024)) print ”.join(random.choice(chars) for i in range(length))