<div class="gmail_quote">On Mon, Jun 4, 2012 at 2:47 AM, anatoly techtonik <span dir="ltr"><<a href="mailto:techtonik@gmail.com" target="_blank">techtonik@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On Thu, May 24, 2012 at 6:24 AM, geremy condra <<a href="mailto:debatem1@gmail.com">debatem1@gmail.com</a>> wrote:<br>
> On Wed, May 23, 2012 at 7:00 PM, Steven D'Aprano <<a href="mailto:steve@pearwood.info">steve@pearwood.info</a>><br>
> wrote:<br>
>><br>
>> anatoly techtonik wrote:<br>
>><br>
>>> I am all ears how to make shutil.run() more secure. Right now I must<br>
>>> confess that I don't even realize.how serious is this problems, so if<br>
>>> anyone can came up with a real-world example with explanation of<br>
>>> security concern that could be copied "as-is" into documentation, it<br>
>>> will surely be appreciated not only by me.<br>
>><br>
>><br>
>> Start here:<br>
>><br>
>> <a href="http://cwe.mitre.org/top25/index.html" target="_blank">http://cwe.mitre.org/top25/index.html</a><br>
>><br>
>> Code injection attacks include two of the top three security<br>
>> vulnerabilities, over even buffer overflows.<br>
>><br>
>> One sub-category of code injection:<br>
>><br>
>> OS Command Injection<br>
>> <a href="http://cwe.mitre.org/data/definitions/78.html" target="_blank">http://cwe.mitre.org/data/definitions/78.html</a><br>
<br>
</div>Great links. Thanks. Do they still too generic to be placed in docs?<br>
<div class="im"><br>
><br>
> I talked about this in my pycon talk this year. It's easy to avoid and<br>
> disastrous to get wrong. Please don't do it this way.<br>
<br>
</div>Sorry, don't have too much time to watch it right now. Any specific<br>
slides, ideas or exceprts?<br></blockquote><div><br></div><div>The main idea was just that by combining a bit of awareness of common security anti-patterns (like this one) with a good test regimen and some script kiddie tools you can protect yourself from a lot of common vulnerabilities without being a security guru. I demonstrated how that process works on something fairly similar to this, but if you're interested in more details I'm happy to blather on or dredge up my slides.</div>
<div><br></div><div>Geremy Condra</div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
--<br>
anatoly t.<br>
</blockquote></div><br>