Articles of seguridad de

¿Cómo hacer una copia de seguridad de un sitio de AppEngine?

Entonces, construyes un gran sitio web shiny y nublado en la parte superior de AppEngine, con miles y miles de imágenes guardadas en el almacén de datos y conciertos de datos en el blobstore. ¿Cómo los respalda?

Funciones de Python explotables

Esta pregunta es similar a las funciones PHP explotables . Los datos contaminados provienen del usuario, o más específicamente un atacante. Cuando una variable contaminada alcanza una función de sumidero, tiene una vulnerabilidad. Por ejemplo, una función que ejecuta una consulta SQL es un sumidero, y las variables GET / POST son fonts de corrupción. […]

Pasar de forma segura una contraseña a subprocess.Popen a través del entorno

Me gustaría pedir una contraseña a un usuario de manera segura y luego pasarla a subprocess.Popen para ejecutar un comando que lo requiera. He visto esta pregunta y la otra , pero me pregunto si puedo pasar la contraseña de forma segura a través del entorno de subproceso así: import subprocess, os user_password = input(“what […]

Generador de contraseñas aleatorio simple de alta calidad

Me interesa crear un generador de contraseñas aleatorias de alta calidad (criptográfica) muy simple. ¿Hay una mejor manera de hacer esto? import os, random, string length = 13 chars = string.ascii_letters + string.digits + ‘!@#$%^&*()’ random.seed = (os.urandom(1024)) print ”.join(random.choice(chars) for i in range(length))

¿Qué problemas de seguridad deben abordarse al trabajar con Google App Engine?

He estado considerando usar Google App Engine para algunos proyectos de hobby. Si bien no manejarán ningún tipo de datos confidenciales, todavía me gustaría que estén relativamente seguros por varias razones, como aprender sobre seguridad, legal, etc. ¿Qué problemas de seguridad deben abordarse al trabajar con Google App Engine? ¿Son los mismos problemas a los […]

¿Cómo manejar la información de configuración confidencial al implementar aplicaciones del motor de aplicaciones?

Ejemplo: tengo una aplicación que necesita acceder a una API que proporciona un token de autenticación myApi = MyApi(token=my_private_sensible_token) Quiero evitar tener ese token privado en un archivo de configuración que forma parte del proyecto. Una solución que viene a la mente es aislar la interacción con este servicio en una aplicación proxy separada que […]

¿Es este un uso seguro de python eval ()?

Si un atacante puede controlar el valor de attacker_controlled_nasty_variable , ¿es este segmento de código vulnerable? dic={“one”:1, “nasty”:attacker_controlled_nasty_variable, } store=str(dict) … dic=eval(store)

Entendiendo la inseguridad de Python Pickle

En la documentación de Python se indica que el pickle no es seguro y no debe analizar las entradas de los usuarios que no son de confianza. Si investigas esto; casi todos los ejemplos demuestran esto con una llamada a system() a través de os.system . Lo que no me queda claro es cómo se […]

Python: API de generación de token con su peligroso

Estoy siguiendo el libro “Flask Web Development” para implementar la autenticación basada en token. Básicamente, el usuario se autentica a sí mismo con autenticación básica HTTP y se genera un token para ello: s = Serializer(app.config[‘SECRET_KEY’], expires_in = 3600) token = s.dumps({ ‘id’: user.id }) Pero parece que esto no cambia mientras la id y […]

¿Puede la cadena .format () de Python ser segura para cadenas de formato que no son de confianza?

Estoy trabajando en una aplicación web donde los usuarios podrán suministrar cadenas en las que el servidor sustituirá las variables. Preferiblemente, me gustaría usar la syntax del formato PEP 3101 () y estoy analizando la posibilidad de reemplazar los métodos en Formatter para que sea seguro para una entrada no confiable. Estos son los riesgos […]