Domande con tag 'python'

domande con tag
3
risposte

Impossibile comprendere perché l'app Web sia vulnerabile a un attacco trasversale directory

Stavo lavorando con questa web-app, quando qualcuno lo ha testato con la penna e mi ha inviato un rapporto enorme in cui si afferma che la mia app è vulnerabile a un attacco trasversale della directory. Ecco un esempio: Testing Path: http:/...
posta 07.09.2016 - 13:34
1
risposta

Sicurezza di Django SECRET_KEY, in che modo i metodi sono più sicuri

Mi avvicino a un punto in cui distribuirò la mia applicazione Django all'ambiente ostile altrimenti noto come "Internet" e sto cercando di capire meglio le ramificazioni del Django SECRET_KEY . Una delle procedure standard che sembra è quell...
posta 26.06.2014 - 08:42
2
risposte

Le funzioni popen (e simili) di Python sono influenzate da Shellshock?

In sostanza quali funzioni di Python attivano bash (e potrebbero essere influenzate da shellshock) e quali no? Ho trovato questa domanda vedendo in alcuni script la funzione popen() . La mia domanda riguarda sia Python 2 e 3.     
posta 29.09.2014 - 16:27
1
risposta

Ho la possibilità di eseguire codice Python arbitrario sull'utente 'apache'. Che danno posso fare?

Quindi, a causa di una cattiva programmazione da parte di uno dei miei ex colleghi, una delle nostre app Web interne consente all'utente di caricare ed eseguire un file Python arbitrario. Questo di recente è venuto alla luce tramite un suggerime...
posta 07.06.2016 - 18:47
3
risposte

Quali sono i pro e i contro dell'uso di sha256 per hash una password prima di passarla a bcrypt?

Recentemente mi sono reso conto del fatto che bcrypt tronca le password a 72 caratteri. In pratica, la mia intuizione è che questo non pone problemi di sicurezza importanti. Tuttavia, capisco che ciò significa che qualsiasi libreria di software...
posta 22.06.2015 - 16:48
2
risposte

MongoDB Iniezione di Nosql in codice Python

Ecco lo snippet di codice per accedere a MongoDB. client = MongoClient() db = client.test_database collection = db.test # Get data from fields condition = form.getvalue('name') if condition: where = {"$where": "this.name == '"+condition+"...
posta 07.03.2015 - 00:35
3
risposte

Dimostrare la necessità di aggiornare Django

La storia: In uno dei nostri progetti, utilizziamo il framework web Django. Ma, al momento, siamo bloccati alla 1.6.11 (principalmente perché nel 1.7 il supporto per Python 2.6 è stato abbandonato - ci stiamo lavorando, ma sta procedendo mo...
posta 21.12.2016 - 20:35
1
risposta

È sicuro usare i gestori di pacchetti Python come pip, easy_install o conda?

So che non è sicuro installare il software (compresi i pacchetti Python) da fonti non affidabili o compromesse. Tuttavia mi chiedo quanto sono sicuro quando installo un pacchetto attendibile dall'indice dei pacchetti Python o dal repository A...
posta 05.02.2018 - 11:46
3
risposte

Test di iniezione SQL continui

Abbiamo un set di applicazioni web Python / Django interne che sono abbastanza ben testate in termini di funzionalità, ma di volta in volta scopriamo vulnerabilità e, in particolare, luoghi in cui possono verificarsi SQL e altri tipi di iniezion...
posta 19.12.2017 - 02:57
2
risposte

Come implementare la crittografia lato client per i contenuti di CalDav e CardDav?

Sto cercando un'implementazione di crittografia sul lato client che sia in grado di proteggere CardDav & Dati CalDav in modo che non possano essere compromessi anche dal provider di hosting. Lato server: applicazione Web basata su PHP o...
posta 26.08.2013 - 15:25