Особенности работы с русской кодировкой при загрузке файлов через aiohttp
Если работали с aiohttp, вы наверняка натыкались на баги с битой кодировкой. Если да, то вот небольшая статья на несколько минут чтения, в которой разработчики рассказывают о своём опыте столкновения с этой ошибкой и её фиксом.
#лучшиепрактики #безопасность #библиотека
Если работали с aiohttp, вы наверняка натыкались на баги с битой кодировкой. Если да, то вот небольшая статья на несколько минут чтения, в которой разработчики рассказывают о своём опыте столкновения с этой ошибкой и её фиксом.
#лучшиепрактики #безопасность #библиотека
👍1
Pyscan для поиска уязвимостей
Инструмент отыскивает бреши в зависимостях вашего проекта. Он пройдётся по логам poetry, hatch, filt, pdm и прочих менеджеров пакетов, а также прочитает requirements.txt и pyproject.toml. Запускается в прямо в директории проекта командой:
Репозиторий на GitHub
#безопасность
Инструмент отыскивает бреши в зависимостях вашего проекта. Он пройдётся по логам poetry, hatch, filt, pdm и прочих менеджеров пакетов, а также прочитает requirements.txt и pyproject.toml. Запускается в прямо в директории проекта командой:
pyscanРепозиторий на GitHub
#безопасность
👌3
Freeway — инструмент пентестеров для взлома Wi-Fi
Не все хакеры плохие. Есть те, кто специально ищут эксплойты в коде, чтобы передать их разработчикам до того, как их обнаружат злоумышленники.
Это касается и безопасности Wi-Fi сетей, которые они проверяют с помощью утилиты Freeway для Python.
Если хотите проверить свои силы в пентесте на собственной домашней сети, то по ссылке найдёте инструкцию по установке и использованию:
https://github.com/FLOCK4H/Freeway
Использовать только для этичного хакинга и проверки собственной безопасности!
#безопасность #пентест
Не все хакеры плохие. Есть те, кто специально ищут эксплойты в коде, чтобы передать их разработчикам до того, как их обнаружат злоумышленники.
Это касается и безопасности Wi-Fi сетей, которые они проверяют с помощью утилиты Freeway для Python.
Если хотите проверить свои силы в пентесте на собственной домашней сети, то по ссылке найдёте инструкцию по установке и использованию:
https://github.com/FLOCK4H/Freeway
Использовать только для этичного хакинга и проверки собственной безопасности!
#безопасность #пентест
👍6❤2🔥1🤣1
Популярная ИИ-библиотека Ultralytics заразилась
Под удар попала легендарная YOLO. Злоумышленники внедрили криптомайнер в версию 8.3.41, распространяя вредоносный код через платформу PyPI. Уязвимость была в процессе автоматической сборки. Инцидент привёл к значительному росту загрузки процессора у пользователей.
А вы знаете какой-нибудь индекс проверки опенсорса на предмет заражений, как haveibeenpwned.com для паролей? Поделитесь в комментариях.
#computervision #безопасность
@zen_of_python
Под удар попала легендарная YOLO. Злоумышленники внедрили криптомайнер в версию 8.3.41, распространяя вредоносный код через платформу PyPI. Уязвимость была в процессе автоматической сборки. Инцидент привёл к значительному росту загрузки процессора у пользователей.
А вы знаете какой-нибудь индекс проверки опенсорса на предмет заражений, как haveibeenpwned.com для паролей? Поделитесь в комментариях.
#computervision #безопасность
@zen_of_python
😨6😱1
Как настроить аутентификацию в веб-приложениях на Django
В Tproger рассмотрели основные способы настройки аутентификации в веб-приложениях на Django, начиная с базового входа и регистрации и заканчивая интеграцией с социальными сетями и кастомными моделями.
#безопасность #django
@zen_of_python
В Tproger рассмотрели основные способы настройки аутентификации в веб-приложениях на Django, начиная с базового входа и регистрации и заканчивая интеграцией с социальными сетями и кастомными моделями.
#безопасность #django
@zen_of_python
🥱3👎1
В PyPI нашли зловреды, ворующие ключи от аккаунтов в соцсетях
В официальном репозитории PyPI, который используется для хранения пакетов Python, выявили два опасных пакета, созданных для кражи пользовательских данных. Они успели набрать более 100 загрузок каждая, прежде чем были удалены. Наибольшее количество импортов зафиксировано в Соединенных Штатах, Китае, России и Индии. От зла нигде не спрятаться, даже в опенсорсе.
#безопасность
@zen_of_python
В официальном репозитории PyPI, который используется для хранения пакетов Python, выявили два опасных пакета, созданных для кражи пользовательских данных. Они успели набрать более 100 загрузок каждая, прежде чем были удалены. Наибольшее количество импортов зафиксировано в Соединенных Штатах, Китае, России и Индии. От зла нигде не спрятаться, даже в опенсорсе.
#безопасность
@zen_of_python
🤯9
На PyPi теперь умеют вводить «карантин»
В связи с возросшим числом библиотек, способных «угонять» данные разработчика и клиентов, инженеры по безопасности Python Software Foundation ввели понятие карантина для пакетов.
Если проект помечается как «заразный», он отправляется на проверку модераторам pypi.org, его нельзя установить. В случае удаления зловредного пакета, имя высвобождается.
#безопасность
@zen_of_python
В связи с возросшим числом библиотек, способных «угонять» данные разработчика и клиентов, инженеры по безопасности Python Software Foundation ввели понятие карантина для пакетов.
Если проект помечается как «заразный», он отправляется на проверку модераторам pypi.org, его нельзя установить. В случае удаления зловредного пакета, имя высвобождается.
#безопасность
@zen_of_python
🆒4☃3
В PyPI нашли библиотеку для MEXC, которая помогала… красть крипту у установивших
Вредоносный пакет ccxt-mexc-futures маскировался под легитимное расширение для автоматизации торговли криптовалютами. Пакет крал API-ключи пользователей и управлял их ордерами, перенаправляя запросы на поддельный сервер.
Воистину, в эпоху «Девятого вала контента» пропустить такой зловред при установке инструментария легче легкого.
#безопасность
@zen_of_python
Вредоносный пакет ccxt-mexc-futures маскировался под легитимное расширение для автоматизации торговли криптовалютами. Пакет крал API-ключи пользователей и управлял их ордерами, перенаправляя запросы на поддельный сервер.
Воистину, в эпоху «Девятого вала контента» пропустить такой зловред при установке инструментария легче легкого.
#безопасность
@zen_of_python
👀2✍1
Из гайда по безопасности Django
Фреймворк известен своей философией «батарейки в комплекте». Однако даже с его встроенными средствами защиты, безопасность приложения во многом зависит от разработчика.
Современные веб-приложения сталкиваются с множеством угроз. Хотя Django предоставляет встроенные механизмы защиты от многих из них, полезно ознакомиться с основными InfoSec-практиками.
Обновление Django и зависимостей
Регулярно «освежайте» версию фреймворка и сторонних библиотек, они нередко содержат хотфиксы в контексте безопасности.
Передача данных по HTTPS
Обязательно настраивайте свой веб-сервер, будь то nginx или что другое, на HTTPS. SSL-сертификат можно получить бесплатно на letsencrypt.com. Библиотека certbot даже позволяет настроить автопродление серта.
Ограничение доступа к базе данных
Хотя Django ORM защищает от SQL-инъекций, дополнительные меры не повредят:
— Ограничьте права пользователя БД до необходимого минимума;
— Регулярно создавайте резервные копии и шифруйте данные;
— Используйте ORM Django.
Если необходимо использовать сырой SQL, спасет параметризация. В примере ниже драйвер БД экранирует значение username:
Встроенные средства безопасности
Создатели проекта предоставляет множество встроенных механизмов безопасности:
— Добавьте
— Настройте заголовки безопасности, такие как
Аутентификация
— Реализуйте многофакторную аутентификацию с помощью пакетов, таких как django-otp;
— Применяйте ролевую модель доступа для управления правами пользователей.
Полезные библиотеки | Misc
Ниже представлена слегка эклектичная, но полезная подборка тулов, прямо или косвенно повышающих безопасность вашего сайта:
— django-ratelimit ограничит частоту запросов;
— django-guardian управляет объектно-ориентированными разрешениями;
— SonarQube / semgrep.dev: автотестирует ваш проект на предмет эксплойтов (DevSecOps).
#безопасность #основы
@zen_of_python
Фреймворк известен своей философией «батарейки в комплекте». Однако даже с его встроенными средствами защиты, безопасность приложения во многом зависит от разработчика.
Современные веб-приложения сталкиваются с множеством угроз. Хотя Django предоставляет встроенные механизмы защиты от многих из них, полезно ознакомиться с основными InfoSec-практиками.
Обновление Django и зависимостей
Регулярно «освежайте» версию фреймворка и сторонних библиотек, они нередко содержат хотфиксы в контексте безопасности.
Передача данных по HTTPS
Обязательно настраивайте свой веб-сервер, будь то nginx или что другое, на HTTPS. SSL-сертификат можно получить бесплатно на letsencrypt.com. Библиотека certbot даже позволяет настроить автопродление серта.
Ограничение доступа к базе данных
Хотя Django ORM защищает от SQL-инъекций, дополнительные меры не повредят:
— Ограничьте права пользователя БД до необходимого минимума;
— Регулярно создавайте резервные копии и шифруйте данные;
— Используйте ORM Django.
Если необходимо использовать сырой SQL, спасет параметризация. В примере ниже драйвер БД экранирует значение username:
from django.db import connection
with connection.cursor() as cursor:
cursor.execute("SELECT * FROM auth_user WHERE username = %s", [username])
Встроенные средства безопасности
Создатели проекта предоставляет множество встроенных механизмов безопасности:
— Добавьте
django.middleware.security.SecurityMiddleware в список MIDDLEWARE;— Настройте заголовки безопасности, такие как
Content-Security-Policy, X-Content-Type-Options, X-Frame-Options.Аутентификация
— Реализуйте многофакторную аутентификацию с помощью пакетов, таких как django-otp;
— Применяйте ролевую модель доступа для управления правами пользователей.
Полезные библиотеки | Misc
Ниже представлена слегка эклектичная, но полезная подборка тулов, прямо или косвенно повышающих безопасность вашего сайта:
— django-ratelimit ограничит частоту запросов;
— django-guardian управляет объектно-ориентированными разрешениями;
— SonarQube / semgrep.dev: автотестирует ваш проект на предмет эксплойтов (DevSecOps).
#безопасность #основы
@zen_of_python
👍2🎃1
Еще одна схема мошенничества на PyPi: освободившиеся домены
PyPI усиливает защиту аккаунтов от атак через «возрождение» доменов. С июня 2025 года система ежедневно проверяет статус доменов, связанных с адресами электронной почты пользователей. Если домен переходит в период восстановления или удаления, PyPI автоматически отменяет верификацию таких адресов, предотвращая возможность захвата аккаунта через сброс пароля. С начала июня более 1 800 адресов были размечены как ненадежные. Пользователям рекомендуется добавить вторичный адрес с надежного почтового сервиса и включить двухфакторную аутентификацию для повышения безопасности.
#безопасность
@zen_of_python
😈 — Если для мошенников в опенсорсе отдельный котел в аду
PyPI усиливает защиту аккаунтов от атак через «возрождение» доменов. С июня 2025 года система ежедневно проверяет статус доменов, связанных с адресами электронной почты пользователей. Если домен переходит в период восстановления или удаления, PyPI автоматически отменяет верификацию таких адресов, предотвращая возможность захвата аккаунта через сброс пароля. С начала июня более 1 800 адресов были размечены как ненадежные. Пользователям рекомендуется добавить вторичный адрес с надежного почтового сервиса и включить двухфакторную аутентификацию для повышения безопасности.
#безопасность
@zen_of_python
😈 — Если для мошенников в опенсорсе отдельный котел в аду
😈5❤1