Introducción as inxeccións de código en Python
05/10/2024 , Orballo
Idioma: Galician

No mundo actual, cada vez existen máis problemas de seguridade que afectan á información e aos sistemas que a xestionan e, como cabe esperar, Python non está libre deste tipo de problemas. Os atacantes buscan vulnerabilidades que poidan explotar para o seu beneficio e os defensores investigan como defendernos destas ameazas.

Esta charla centrarase sobre as vulnerabilidades de inxección de código, as cales consisten en introducir código nunha aplicación na que, posteriormente, será executado ou interpretado. Este tipo de ataques prodúcense debido a unha falta de validación nos datos que se poden introducir nunha aplicación.

Primeiro explicarase como os atacantes inxectan código Python malicioso nunha sandbox na que a priori non se poden escribir ficheiros no sistema operativo.

Despois, falarase sobre como se explotan as vulnerabilidades de inxección de plantillas utilizando de exemplo unha aplicación web desenvolvida con flask.

Finalmente, describirase como aproveitar unha configuración feita en yaml e un programa que a le con PyYAML para mostrar o contido dalgún ficheiro confidencial.

Polo camiño explicaranse varios detalles do funcionamento interno de Python como a estrutura das builtins ou a árbore sintáctica abstracta. Tamén se mostrará como se foron tratando de resolver estes problemas de seguridade e como os atacantes conseguían evadir as diferentes defensas que se foron plantexando.


Temática:

Network and Security

Temáticas adicionales:

Core

Nivel de la propuesta:

Intermediate (it is necessary to understand the related bases to go into detail)

Me llamo Guzmán Cernadas Pérez y soy ingeniero informático por la Universidade de Santiago de Compostela. He realizado el Master Universitario en Seguridad de las Tecnologías de la Información y de las Comunicaciones por la Universitat Oberta de Catalunya y actualmente estoy trabajando en BE:SEC (Emetel Sistemas S.L.U.) como especialista en ciberseguridad.

Previamente he trabajado en:

Abril 2022 - Marzo 2023 * Alten en un proyecto de mejora de la calidad de INCIBE.

Febrero 2021 - Abril 2022 * BE:SEC como pentester.

Junio 2017 - Octubre 2020 * Tarlogic Security S.L. en un proyecto de gestión de vulnerabilidades y alerta temprana.

I'm just a guy who likes Python and security. I'm part of the Hackliza group.