Как создать простой троян на Python
Чтобы поймать преступника, нужно мыслить, как преступник. А чтобы понимать, как вредоносное ПО может испортить вам жизнь, нужно создать такое ПО самому.
Для этого вам потребуется изучить общие принципы разработки вредоносных программ, а также создать «холостой» троян, который не сможет никому навредить, но даст вам чёткое представление, как устроены подобного рода вредоносы. Подробнее:
https://cryptoworld.su/kak-sozdat-prostogo-troyana-na-python/
#безопасность
Чтобы поймать преступника, нужно мыслить, как преступник. А чтобы понимать, как вредоносное ПО может испортить вам жизнь, нужно создать такое ПО самому.
Для этого вам потребуется изучить общие принципы разработки вредоносных программ, а также создать «холостой» троян, который не сможет никому навредить, но даст вам чёткое представление, как устроены подобного рода вредоносы. Подробнее:
https://cryptoworld.su/kak-sozdat-prostogo-troyana-na-python/
#безопасность
👍19🤣4🔥3
Осторожно! В репозитории PyPI выявлены вредоносные пакеты, нацеленные на кражу криптовалюты
В каталоге PyPI (Python Package Index) выявлено 26 вредоносных пакетов, содержащих в скрипте setup.py обфусцированный код, определяющий наличие идентификаторов криптокошельков в буфере обмена и меняющий их на кошелёк злоумышленника. Подмену выполняет сценарий JavaScript, который встраивается в браузер.
Вот полный список вредоносных пакетов, которые подменяют номера криптокошельков:
Подробнее:
https://www.opennet.ru/opennews/art.shtml?num=58067
#новости #безопасность #PyPI
В каталоге PyPI (Python Package Index) выявлено 26 вредоносных пакетов, содержащих в скрипте setup.py обфусцированный код, определяющий наличие идентификаторов криптокошельков в буфере обмена и меняющий их на кошелёк злоумышленника. Подмену выполняет сценарий JavaScript, который встраивается в браузер.
Вот полный список вредоносных пакетов, которые подменяют номера криптокошельков:
baeutifulsoup4, beautifulsup4, cloorama, cryptograpyh, crpytography, djangoo, hello-world-exampl, hello-world-example, ipyhton, mail-validator, mysql-connector-pyhton, notebok, pyautogiu, pygaem, pytorhc, python-dateuti, python-flask, python3-flask, pyyalm, rqeuests, slenium, sqlachemy, sqlalcemy, tkniter, urlllib.Подробнее:
https://www.opennet.ru/opennews/art.shtml?num=58067
#новости #безопасность #PyPI
🤯53👍6⚡4🤬4😁3
Ломаем текстовую капчу на примере VK или брутфорсинг до сих пор актуален
Капча — автоматизированный тест Тьюринга, помогающий отсеивать подозрительные действия недобросовестных роботов от реальных людей. Но текстовая капча сильно устарела, тем не менее, её до сих пор используют популярные сервисы. В том числе и VK.
В этом мануале показали, как создать собственную нейросеть по распознанию текстовых капч, имея под рукой домашний компьютер, базовые знания в Python и немножко примеров капч: https://habr.com/ru/post/673440/
#нейросети #безопасность
Капча — автоматизированный тест Тьюринга, помогающий отсеивать подозрительные действия недобросовестных роботов от реальных людей. Но текстовая капча сильно устарела, тем не менее, её до сих пор используют популярные сервисы. В том числе и VK.
В этом мануале показали, как создать собственную нейросеть по распознанию текстовых капч, имея под рукой домашний компьютер, базовые знания в Python и немножко примеров капч: https://habr.com/ru/post/673440/
#нейросети #безопасность
👍23👎3❤1
Механизмы безопасности: шпаргалка для Python-разработчиков
Несколько толковых советов про работу с внешними данными, сканированию кода, загрузке пакетов, сериализации данных, форматированию строк и другим мерам безопасности:
https://snyk.io/blog/python-security-best-practices-cheat-sheet/
#безопасность
Несколько толковых советов про работу с внешними данными, сканированию кода, загрузке пакетов, сериализации данных, форматированию строк и другим мерам безопасности:
https://snyk.io/blog/python-security-best-practices-cheat-sheet/
#безопасность
👍4
Как использовать инструменты статического анализа в Python
Cтатические анализаторы кода здорово оптимизировали разработку приложений. Они избавляют от необходимости искать ошибки и уязвимости в системе продакшн или среде развертывания, указывая участок предполагаемого сбоя на основе типизации и других подсказок кода.
В статье подробно разобрали несколько инструментов статического анализа с открытым ПО для Python, включая Bandit и Radon. Bandit находит уязвимости в коде, а Radon генерирует метрики о сложности и удобстве сопровождения кода: https://nuancesprog.ru/p/17267/
#лучшиепрактики #безопасность
Cтатические анализаторы кода здорово оптимизировали разработку приложений. Они избавляют от необходимости искать ошибки и уязвимости в системе продакшн или среде развертывания, указывая участок предполагаемого сбоя на основе типизации и других подсказок кода.
В статье подробно разобрали несколько инструментов статического анализа с открытым ПО для Python, включая Bandit и Radon. Bandit находит уязвимости в коде, а Radon генерирует метрики о сложности и удобстве сопровождения кода: https://nuancesprog.ru/p/17267/
#лучшиепрактики #безопасность
👍1
Особенности работы с русской кодировкой при загрузке файлов через aiohttp
Если работали с aiohttp, вы наверняка натыкались на баги с битой кодировкой. Если да, то вот небольшая статья на несколько минут чтения, в которой разработчики рассказывают о своём опыте столкновения с этой ошибкой и её фиксом.
#лучшиепрактики #безопасность #библиотека
Если работали с aiohttp, вы наверняка натыкались на баги с битой кодировкой. Если да, то вот небольшая статья на несколько минут чтения, в которой разработчики рассказывают о своём опыте столкновения с этой ошибкой и её фиксом.
#лучшиепрактики #безопасность #библиотека
👍1
Pyscan для поиска уязвимостей
Инструмент отыскивает бреши в зависимостях вашего проекта. Он пройдётся по логам poetry, hatch, filt, pdm и прочих менеджеров пакетов, а также прочитает requirements.txt и pyproject.toml. Запускается в прямо в директории проекта командой:
Репозиторий на GitHub
#безопасность
Инструмент отыскивает бреши в зависимостях вашего проекта. Он пройдётся по логам poetry, hatch, filt, pdm и прочих менеджеров пакетов, а также прочитает requirements.txt и pyproject.toml. Запускается в прямо в директории проекта командой:
pyscanРепозиторий на GitHub
#безопасность
👌3
Freeway — инструмент пентестеров для взлома Wi-Fi
Не все хакеры плохие. Есть те, кто специально ищут эксплойты в коде, чтобы передать их разработчикам до того, как их обнаружат злоумышленники.
Это касается и безопасности Wi-Fi сетей, которые они проверяют с помощью утилиты Freeway для Python.
Если хотите проверить свои силы в пентесте на собственной домашней сети, то по ссылке найдёте инструкцию по установке и использованию:
https://github.com/FLOCK4H/Freeway
Использовать только для этичного хакинга и проверки собственной безопасности!
#безопасность #пентест
Не все хакеры плохие. Есть те, кто специально ищут эксплойты в коде, чтобы передать их разработчикам до того, как их обнаружат злоумышленники.
Это касается и безопасности Wi-Fi сетей, которые они проверяют с помощью утилиты Freeway для Python.
Если хотите проверить свои силы в пентесте на собственной домашней сети, то по ссылке найдёте инструкцию по установке и использованию:
https://github.com/FLOCK4H/Freeway
Использовать только для этичного хакинга и проверки собственной безопасности!
#безопасность #пентест
👍6❤2🔥1🤣1
Популярная ИИ-библиотека Ultralytics заразилась
Под удар попала легендарная YOLO. Злоумышленники внедрили криптомайнер в версию 8.3.41, распространяя вредоносный код через платформу PyPI. Уязвимость была в процессе автоматической сборки. Инцидент привёл к значительному росту загрузки процессора у пользователей.
А вы знаете какой-нибудь индекс проверки опенсорса на предмет заражений, как haveibeenpwned.com для паролей? Поделитесь в комментариях.
#computervision #безопасность
@zen_of_python
Под удар попала легендарная YOLO. Злоумышленники внедрили криптомайнер в версию 8.3.41, распространяя вредоносный код через платформу PyPI. Уязвимость была в процессе автоматической сборки. Инцидент привёл к значительному росту загрузки процессора у пользователей.
А вы знаете какой-нибудь индекс проверки опенсорса на предмет заражений, как haveibeenpwned.com для паролей? Поделитесь в комментариях.
#computervision #безопасность
@zen_of_python
😨6😱1
Как настроить аутентификацию в веб-приложениях на Django
В Tproger рассмотрели основные способы настройки аутентификации в веб-приложениях на Django, начиная с базового входа и регистрации и заканчивая интеграцией с социальными сетями и кастомными моделями.
#безопасность #django
@zen_of_python
В Tproger рассмотрели основные способы настройки аутентификации в веб-приложениях на Django, начиная с базового входа и регистрации и заканчивая интеграцией с социальными сетями и кастомными моделями.
#безопасность #django
@zen_of_python
🥱3👎1
В PyPI нашли зловреды, ворующие ключи от аккаунтов в соцсетях
В официальном репозитории PyPI, который используется для хранения пакетов Python, выявили два опасных пакета, созданных для кражи пользовательских данных. Они успели набрать более 100 загрузок каждая, прежде чем были удалены. Наибольшее количество импортов зафиксировано в Соединенных Штатах, Китае, России и Индии. От зла нигде не спрятаться, даже в опенсорсе.
#безопасность
@zen_of_python
В официальном репозитории PyPI, который используется для хранения пакетов Python, выявили два опасных пакета, созданных для кражи пользовательских данных. Они успели набрать более 100 загрузок каждая, прежде чем были удалены. Наибольшее количество импортов зафиксировано в Соединенных Штатах, Китае, России и Индии. От зла нигде не спрятаться, даже в опенсорсе.
#безопасность
@zen_of_python
🤯9
На PyPi теперь умеют вводить «карантин»
В связи с возросшим числом библиотек, способных «угонять» данные разработчика и клиентов, инженеры по безопасности Python Software Foundation ввели понятие карантина для пакетов.
Если проект помечается как «заразный», он отправляется на проверку модераторам pypi.org, его нельзя установить. В случае удаления зловредного пакета, имя высвобождается.
#безопасность
@zen_of_python
В связи с возросшим числом библиотек, способных «угонять» данные разработчика и клиентов, инженеры по безопасности Python Software Foundation ввели понятие карантина для пакетов.
Если проект помечается как «заразный», он отправляется на проверку модераторам pypi.org, его нельзя установить. В случае удаления зловредного пакета, имя высвобождается.
#безопасность
@zen_of_python
🆒4☃3
В PyPI нашли библиотеку для MEXC, которая помогала… красть крипту у установивших
Вредоносный пакет ccxt-mexc-futures маскировался под легитимное расширение для автоматизации торговли криптовалютами. Пакет крал API-ключи пользователей и управлял их ордерами, перенаправляя запросы на поддельный сервер.
Воистину, в эпоху «Девятого вала контента» пропустить такой зловред при установке инструментария легче легкого.
#безопасность
@zen_of_python
Вредоносный пакет ccxt-mexc-futures маскировался под легитимное расширение для автоматизации торговли криптовалютами. Пакет крал API-ключи пользователей и управлял их ордерами, перенаправляя запросы на поддельный сервер.
Воистину, в эпоху «Девятого вала контента» пропустить такой зловред при установке инструментария легче легкого.
#безопасность
@zen_of_python
👀2✍1
Из гайда по безопасности Django
Фреймворк известен своей философией «батарейки в комплекте». Однако даже с его встроенными средствами защиты, безопасность приложения во многом зависит от разработчика.
Современные веб-приложения сталкиваются с множеством угроз. Хотя Django предоставляет встроенные механизмы защиты от многих из них, полезно ознакомиться с основными InfoSec-практиками.
Обновление Django и зависимостей
Регулярно «освежайте» версию фреймворка и сторонних библиотек, они нередко содержат хотфиксы в контексте безопасности.
Передача данных по HTTPS
Обязательно настраивайте свой веб-сервер, будь то nginx или что другое, на HTTPS. SSL-сертификат можно получить бесплатно на letsencrypt.com. Библиотека certbot даже позволяет настроить автопродление серта.
Ограничение доступа к базе данных
Хотя Django ORM защищает от SQL-инъекций, дополнительные меры не повредят:
— Ограничьте права пользователя БД до необходимого минимума;
— Регулярно создавайте резервные копии и шифруйте данные;
— Используйте ORM Django.
Если необходимо использовать сырой SQL, спасет параметризация. В примере ниже драйвер БД экранирует значение username:
Встроенные средства безопасности
Создатели проекта предоставляет множество встроенных механизмов безопасности:
— Добавьте
— Настройте заголовки безопасности, такие как
Аутентификация
— Реализуйте многофакторную аутентификацию с помощью пакетов, таких как django-otp;
— Применяйте ролевую модель доступа для управления правами пользователей.
Полезные библиотеки | Misc
Ниже представлена слегка эклектичная, но полезная подборка тулов, прямо или косвенно повышающих безопасность вашего сайта:
— django-ratelimit ограничит частоту запросов;
— django-guardian управляет объектно-ориентированными разрешениями;
— SonarQube / semgrep.dev: автотестирует ваш проект на предмет эксплойтов (DevSecOps).
#безопасность #основы
@zen_of_python
Фреймворк известен своей философией «батарейки в комплекте». Однако даже с его встроенными средствами защиты, безопасность приложения во многом зависит от разработчика.
Современные веб-приложения сталкиваются с множеством угроз. Хотя Django предоставляет встроенные механизмы защиты от многих из них, полезно ознакомиться с основными InfoSec-практиками.
Обновление Django и зависимостей
Регулярно «освежайте» версию фреймворка и сторонних библиотек, они нередко содержат хотфиксы в контексте безопасности.
Передача данных по HTTPS
Обязательно настраивайте свой веб-сервер, будь то nginx или что другое, на HTTPS. SSL-сертификат можно получить бесплатно на letsencrypt.com. Библиотека certbot даже позволяет настроить автопродление серта.
Ограничение доступа к базе данных
Хотя Django ORM защищает от SQL-инъекций, дополнительные меры не повредят:
— Ограничьте права пользователя БД до необходимого минимума;
— Регулярно создавайте резервные копии и шифруйте данные;
— Используйте ORM Django.
Если необходимо использовать сырой SQL, спасет параметризация. В примере ниже драйвер БД экранирует значение username:
from django.db import connection
with connection.cursor() as cursor:
cursor.execute("SELECT * FROM auth_user WHERE username = %s", [username])
Встроенные средства безопасности
Создатели проекта предоставляет множество встроенных механизмов безопасности:
— Добавьте
django.middleware.security.SecurityMiddleware в список MIDDLEWARE;— Настройте заголовки безопасности, такие как
Content-Security-Policy, X-Content-Type-Options, X-Frame-Options.Аутентификация
— Реализуйте многофакторную аутентификацию с помощью пакетов, таких как django-otp;
— Применяйте ролевую модель доступа для управления правами пользователей.
Полезные библиотеки | Misc
Ниже представлена слегка эклектичная, но полезная подборка тулов, прямо или косвенно повышающих безопасность вашего сайта:
— django-ratelimit ограничит частоту запросов;
— django-guardian управляет объектно-ориентированными разрешениями;
— SonarQube / semgrep.dev: автотестирует ваш проект на предмет эксплойтов (DevSecOps).
#безопасность #основы
@zen_of_python
👍2🎃1