Video.- Spaghetti Code

Los que ya hace tiempo que seguís este blog sabres que, de tanto en cuando, me relajo viendo algunas ponencias. Justamente esta mañana he estado volviendo a ver una ponencia del famoso Chema Alonso que hizo junto a Nico Waisman en Red Innova donde, aparte de resumir muy bien el mundo de la seguridad informatica, hablaron sobre el Spaguetti Code. 

Yo pensaba que era un termino que utilizaron en tono de mofa en esa ocasión pero no, este termino esta hasta en la Wikipedia.

"El código espagueti es un término peyorativo para los programas de computación que tienen una estructura de control de flujo compleja e incomprensible. Su nombre deriva del hecho que este tipo de código parece asemejarse a un plato de espaguetis, es decir, un montón de hilos intrincados y anudados."

Así que es lo que hacemos todos cuando programamos algo para probar o para nosotros mismos. Bueno, y algunas empresas cuanto utilizan "Metodologías Ágiles".

Sed Buenos y no hagáis esto muy a menudo ;) 

PDF-Parser.- Bendito Sea Python

No muchos sabrán que las entradas a este blog son totalmente improvisadas, (Supongo que lo habréis supuesto xD) pero la verdad es que tampoco me gusta echar mano de los borrados los evito a no ser que sea imprescindible. Pues hoy ha sido uno de esos días que no tenia ni idea de que escribir, hasta que he visto la entrada de [Seifreed] en [DragonJar] donde presentaba la herramienta PDF-Parser. Una herramienta la mar de útil ni no queremos recurrir a sanboxs o a meterlo en el PeePDF, hecha en Python (Seee e.e) llamada PDF-Parser. Así que he decidido fusilarle la entrada. 

Aquí tenéis todas las opciones con las que podemos jugar con esta herramienta: 

Usage: pdf-parser.py [options] pdf-file|zip-file|url

pdf-parser, use it to parse a PDF document

Options:

• --version show program's version number and exit
• -h, --help show this help message and exit
• -s SEARCH, --search=SEARCH
• string to search in indirect objects (except streams)
• -f, --filter pass stream object through filters (FlateDecode,
• ASCIIHexDecode, ASCII85Decode, LZWDecode and
• RunLengthDecode only)
• -o OBJECT, --object=OBJECT
• id of indirect object to select (version independent)
• -r REFERENCE, --reference=REFERENCE
• id of indirect object being referenced (version
• independent)
• -e ELEMENTS, --elements=ELEMENTS
• type of elements to select (cxtsi)
• -w, --raw raw output for data and filters
• -a, --stats display stats for pdf document
• -t TYPE, --type=TYPE type of indirect object to select
• -v, --verbose display malformed PDF elements
• -x EXTRACT, --extract=EXTRACT
• filename to extract malformed content to
• -H, --hash display hash of objects
• -n, --nocanonicalizedoutput
• do not canonicalize the output
• -d DUMP, --dump=DUMP filename to dump stream content to
• -D, --debug display debug info
• -c, --content display the content for objects without streams or
• with streams without filters
• --searchstream=SEARCHSTREAM
• string to search in streams
• --unfiltered search in unfiltered streams
• --casesensitive case sensitive search in streams
• --regex use regex to search in streams

Source code put in the public domain by Didier Stevens, no Copyright

Use at your own risk https://DidierStevens.com

Espero que os guste y si queréis descargarlo o ver el código fuente de esta herramienta en la fuente:

• http://www.dragonjar.org/pdf-parser-tratando-documentos-pdf.xhtml

Sed Buenos ;) 

Securitylan.- Una Pagina Para Gobernarlas A Todas

Hace unos días que [ElDoctorBugs] le ha estado dando caña a lo que antes era una idea que salia de las continuas charlas por Hangout junto con [Hector Cuesta] y algunos mas a los que nos apasiona el mundo de la seguridad informática. 

SecurityLan va a ser el buque insignia para exponer todo lo que vamos hablando en ese hangout en una pagina web con el fin de divulgar la seguridad informática fuera de nuestro circulo. Tampoco queremos quedarnos aquí, así que vamos a incluir la biblioteca de la que tanto os he estado dando el coñazo durante todo este año de blog. Pero, queremos que este bien hecha, que os guste a todos y queráis colaborar con nosotros. 

Entradas hasta ahora: 

• http://securitylan.es/2014/04/03/koding-programacion-online/
• http://securitylan.es/2014/04/02/instalar-laboratorio-virtual-wifislax-ii-de-ii/
• http://securitylan.es/2014/04/02/hacking-lab-a-la-caza-de-los-hackyeaster/
• http://securitylan.es/2014/04/01/kaspersky-mete-miedo-para-vender-mas/
• http://securitylan.es/2014/03/31/navaja-negra-iv-abiertos-los-plazos-para-el-cfpcft/
• http://securitylan.es/2014/03/30/laboratorio-wifislax-i-de-ii/
• http://securitylan.es/2014/03/30/que-es-la-ingenieria-social/
• http://securitylan.es/2014/03/30/comenzamos/

Esperamos que os guste y estaremos trabajando en esto. Os dejo el link en grande y bonico: 

http://securitylan.es

Sed Buenos ;) 

Kaspersky.- ¿Cuales Fueron Los Objetivos del Phishing en 2013?

Hoy, bueno hace unos minutos, curioseando mi cuenta de twitter me ha hecho gracia un tweet de [Kaspersky Business], donde se explicaba claramente una de las de las grandes amenazas cibernéticas para el sector financiero. El Phishing. 

Este enlace os lo dejo como fuente de la noticia, pero ahora quiero haceros pensar en que si vosotros tenéis alguna cuanta de mail hasta los topes de Spam con mas de algún Phishing en su interior, como lo tendrán la gente de Estados Unidos,  Rusia y Alemania con un 30,8%, 11,2% y un 9,32% de phishing respectivamente. (Se que el phishing no solo es enviado por correo electronico, pero me ha hecho gracia pensarlo así xDD)

Os dejo la imagen para que curiosees un poco: 

Fuente: 

• https://www.securelist.com/en/analysis/204792330/Financial_cyber_threats_in_2013_Part_1_phishing

Leeros la fuente que vale muchísimo la pena y aunque este en ingles, seguro que lo explican mucho mejor que yo.

Sed Buenos ;) 

Navaja Negra Conferece.- Apertura Del CFP/CFT

Si ayer os hablaba de la [HighSecCON], hoy os voy a dar la matraca con la nueva edición del congreso Navaja Negra otro evento del que hemos hablado hasta la saciedad. Pero esta vez me alegra poder anunciaros las fechas para todos los que queráis presentar un paper o hacer algún taller.  

Fechas:

• 01 de Abril: Apertura del CFP/CFT 
• 29 de Junio: Cierre del CFP/CFT 
• 07 de Julio: Apertura de la votación popular 
• 30 de Julio: Cierre de la votación popular
• 04 de Agosto: Notificación de los CFP/CFT aceptados 
• 05 de Agosto: Anuncio público de las charlas y talleres 
• 02-04 de Octubre: IV CONFERENCIA "NAVAJA NEGRA"

Para mas información:

• http://navajanegra.com/media/cfp.txt

Sed Buenos ;) 

HighSecCON El 4 de Abril

Una vez mas los amigos de [HighSec] nos traen su propio evento sobre seguridad informática llamado HighSecCON del que hemos hablado hasta el infinito en esto blog. (Vamos no creo que me haya saltado uno sin anunciar. XD) El evento será el próximo 4 de abril en la Calle Francisco Tomás y Valiente, 11, Universidad Autónoma de Madrid. Yo me muero de ganas por presentarme alguna y juego que cuando tenga dinero iré. 

Para mas información: http://highseccon.es/

Si yo viviera en Madrid no me lo perdería por nada del mundo. 

Sed Buenos ;) 

Cross Frame Scripting .- ¿Que Es Esto?

Hoy poniéndome al día con las entradas publicadas en [UnaAlDia], una publicación que hacia unos días que tenia algo olvidada, me ha hecho gracia encontrarme de morros con un termino llamado Cross Frame Scripting y no he podido resistirme a aprender un poco sobre esto.

Aunque la imagen habla por si sola, un Scripting Cross-Frame (XFS) es un método de explotación de Cross-site Scripting (XSS). En un ataque de XFS, el atacante explota un error específico entre marcos de scripts en un navegador web para acceder a los datos privados en un sitio web de terceros. El atacante induce al usuario del navegador para navegar a una página web el atacante controla; página del atacante carga una página de terceros en un marco HTML, y luego la ejecución de javascript en la página robos de datos del atacante desde la página de terceros.

XFS también a veces se usa para describir un ataque XSS, que utiliza un marco HTML en el ataque. Por ejemplo, un atacante podría explotar un Cross Site Scripting Flaw para inyectar un marco en una página web de terceros, o que un atacante podría crear una página que utiliza un marco para cargar una página de terceros con una falla XSS.

Fuente:

• https://www.owasp.org/index.php/Cross_Frame_Scripting

Sed Buenoss ;) 

Día Internacional de las Copias de Seguridad.- ¿Pensamos También En Los Reportes?

Aprovechando el 31 de marzo se celebra el día internacional de las copias de Seguridad me encantaría remarcar, también, que ya que nos ponemos a realizar estas copia estaría genial guardar junto a ellas cualquier reporte que pueda servir a un perito, cuerpo de policía o a cualquier administrador de sistemas en un futuro.

Me gustaría recomendaros algunas herramientas para que el Perito que venga a veros este mas contento:  

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Herramientas: 

• [Active Registry Monitor.- Mantén Tu Registro De Windows A Salvo]
• [Se Me Han Adelantado.- Python Detectar Unidades (HDD o FlashDrives)]
• [RadioGraPhy 2.0.- Radiografía Tu Windows.]

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Sed Buenos ;) 

Kaspersky.- Cyber Warfare Real Time Map

Andaba yo hoy con curioseando y jugando con mis cosas cuando [ElDoctorBugs] me ha abierto conversación por el Hangout de Google diciéndome que os asustara con esto. La verdad es que los ataques entre países están a la orden del día y que [la cifra de ataques DDOS] que se realizan al día es abrumadora por eso, Kaspersky ha hecho un mapa del mundo que señala diferentes tipos de  ataques en tiempo real gracias al uso se sus sistemas de detección. 

Es una pagina muy curiosa y cataloga los paises por cantidad de infectados y me "enorgullece" ver que España está en en la décima posición, OLE. Os dejo la pagina para que le echéis un ojo vosotros mismos.

• http://cyberwar.kaspersky.com/

Sed Buenos ;) 

Infografia.- Pagar De Forma Segura.

Una Infografia vale mas que mil palabras, aunque el pago debería de ser seguro en Internet la verdad es que hacemos muchas burradas cuando vamos a pagar algo. Unos consejos nunca van mal: 

Fuente: http://seguinfo.files.wordpress.com

Video.- Hacking Etico - Fuerza Bruta a SSH

Hoy revisando armarios he encontrado el primer libro que me compré sobre hacking. Era una guía de campo y fue durante unos años como un Grimorio para mi. No he podido resistirme ha echarle un ojo y a tomar una foto al ver todas las anotaciones y puntos de libro que estaban puestos. 

no se ve muy bien pero a la izquierda están las puntas 

estratégicamente dobladas. 

Este libro hablaba bastante sobre ataques de fuerza bruta así que empezando a buscar información para refrescar ese conocimiento me ha hecho mucha ilusión enocntrar una video demostración del Blog HackingEtico donde explican, paso a paso, como hacer fuerza bruta a un servicio SSSH con Hydra. Lo cual, es una de las cosas que hable con Snifer hace unos días y le pedí información. (Aún la sigo esperado ¬¬ Maldito dinosaurio)

Espero que os guste y no dejéis de pasaros por la fuente que son unos grandes:

• http://hacking-etico.com/2014/02/05/ataque-de-fuerza-bruta-ssh-con-hydra/

Sed Buenos con esto ;) 

SANS Investigate Forensic Toolkit.- Mas Juguetes

Se que últimamente no dejo de recomendaros herramientas, tanto que me he planteado hacer una nueva pagina del blog sobre herramientas recomendadas. Porque o es que cada día salen mas, o tengo un super poder para encontrarlas. Esta utilidad no he tenido tiempo de probarla pero confió en que SANS Computer Forensic (Empresa cuyos certificados son caros pero bastante valorados) ha podido hacer un banco de trabajo con cara y ojos. Aunque no niego que tenga muchísimas ganas de ponerme a enredar con el. 

"Un equipo internacional de expertos forenses, dirigidos por el SANS Facultad Fellow Rob Lee, creó el SANS Investigative Forensic Toolkit (SIFT) de estaciones de trabajo y puso a disposición de toda la comunidad como un servicio público. El kit de herramientas SIFT libre, que puede adaptarse a cualquier habitación de la herramienta forense moderna, también se ofrece en SANS 'Análisis Advanced Computer Forensic y el curso de Respuesta a Incidentes (DE 508). Esto demuestra que las investigaciones avanzadas y respuesta a intrusiones se puede lograr utilizando herramientas de código abierto de vanguardia que son de libre acceso y se actualiza con frecuencia."

Os dejo la fuente donde encontrareis el link a la descarga del Toolkit:

• http://digital-forensics.sans.org/community/downloads

Sed Buenos y decidme que tal esta para sacarme un poco el mono ;)

Canal Pirata de Snifer VI - ModSecurity aprendiendo paso a paso...

Esta entrada viene dedicada a nuestro amigo gringo, para que pueda hechar mas mano a mod_security con su Handbook en el cual podemos ver  y apreciar el pequeño monstruo y amigo que puede ser ModSecurity

a que me refiero a esta entrada Apache y modsecurity securizando en la cual hablo del tema, pero porque no dar mas material para que pueda aprender :) y conocer sobre ello.

Por si quieren descargar el libro y conocer mas de ello aqui lo tenemos Descargar ModSecurity HandBook

Regards,
Snifer

Active Registry Monitor.- Mantén Tu Registro De Windows A Salvo

Como ya sabemos, en la red de redes hay tipos de malware capaces de variar el registro del windows y empezar ha manipular tu ordenador como le de la real gana. El registro esta claro que puede variar siempre y cuando esas variaciones se adecuen a lo que estas haciendo o a lo que tu equipo esta programado para que lo haga. Es colo el ruido del ventilador de tu equipo,  si suena cuando estas haciendo nada, acojona. Así que me ha encantado encontrarme con Active Registry Monitor. 

"Active Registry Monitor (ARM) es un utilitario diseñado para analizar los cambios hechos al Registry de Windows - tomando fotos de su estado y guardándolos en una base de datos. Luego, pueden compararse dos fotos y obtener un listado de claves/datos nuevos, eliminados o, simplemente, cambiados. El ARM puede, no solamente comparar el Registry completo, sino también, cualquier clave del Registry. También es posible excluir de los resultados de la comparación cualquier clave del Registro. Más aún, es posible crear archivos de deshacer/hacer (por ejemplo, para volver atrás los cambios). Para ver el estado actual de la clave, o para modificarlo, se puede usar la función ir a Regedit. El contenido de cualquier clave puede ser exportado al *.reg file."

Para mas información y para la descarga de esta herramienta:

• http://www.devicelock.com/es/arm/ 

Fuente: 

• http://blog.segu-info.com.ar/2014/03/vigilar-cambios-en-el-registro-de.html

Safe Browsing API.- Securizandonos Con Google

Como sabréis los que seguís mas o menos mis publicaciones al día, sabrá que ahora me ha dado por la seguridad defensiva. No esta mal de vez en cuando entrar en estos temas para poder aconsejar a un cliente la mejor manera de "tapar" las vulnerabilidades que tu le plantees en un Pentest. Lo considero un valor añadido a mi trabajo y como de paso descubro pues estoy encantado de compartirlo con vosotros. Así que, voy hablaros de Safe Browsing API antes de divagar mas. 

"Es un servicio proporcionado por Google que permite a las aplicaciones comprobar las URL con las listas de una actualización constante de Google de sospecha de phishing y páginas de malware." 

"Estas son algunas de las cosas que puede hacer con el servicio de navegación segura: 

• Advertir a los usuarios antes de hacer clic en los enlaces que aparecen en su sitio cuando se llevan a páginas infectados con malware.  
• Evitar que los usuarios publicar enlaces a páginas de phishing conocidos de su sitio.
• Disponibilidad de una lista de las páginas con las listas de Google de sospecha de phishing y páginas de malware."

Existen dos tipos de APIS para este proposito pero en un resumen, es la típica pagina en rojo que te advierte que una pagina puede contener algún tipo de comportamiento malicioso. 

Fuente y muchísima mas información: 

• https://developers.google.com/safe-browsing

Sed Buenos ;) 

Instalando Mod_Evasive en Apache.

La segunda entrada es la que os he prometido esta mañana, vamos de directo a Mod_Evasive el modulo para Apache, programado por Nuclear Elephant, para prevenir ataques DoS. Así que es muy útil tenerlo instalado.

Primeramente cambiamos de directorio: 

• cd /usr/src 

Descargamos mod_evasive con un wget: 

• wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz 

Descomprimimos: 

• tar zxvf mod_evasive_1.10.1.tar.gz 

Nos meovemos a la carpeta descomprimida: 

• cd mod_evasive

Compilamos en apxs (no os asusteis es facil):

• apxs -cia mod_evasive20.c 
• Para Apache 1.3 el comando sería:
•  apxs -cia mod_evasive.c 

Editamos la configuración de nuestro Apache (ya entraremos en esto):

• vi /etc/httpd/conf/httpd.conf 

 Reiniciamos el Apache:

• service httpd restart 

Intentaré no tardar nada en estudiarme la configuración y en explicarla paro me gustaría entenderla antes de postearla en el blog junto con la de Mod_Security. 

Lo siento pero tenia que hacerlo xDD 

Fuente:

• http://www.tail-f.com.ar/servicios/httpd/apache-httpd-servicios/instalar-mod_evasive-en-apache-para-dificultar-ataques-dos.html

Sed Buenos ;) 

Instalando Mod_Security En Debian y Derivadas

Como ayer tocaba entrada y lo la hice por problemas con las bajadas repentinas de tensión eléctrica en mi barrio,   hoy toca entrada doble así que me dedicaré a hacer los dos tutoriales sobre como instalar [Mod_Security] y [Mod_Evasive] en nuestro Servidor Apache. Empezare por Mod_Security porque me gusta mas. 

Primero nos encargamos de obtener mod_security del repositorio apropiado para Debian: 

• apt-get install libapache2-modsecurity

Comprobamos si se ha cargado el modulo mod_security:

• apachectl-M | grep -- color security

Deberíamos haber visto que un modulo llamado security2_module (shared) lo cual indica el que este modulo esta cargado. 

La instalación de Mod_Security incluye una configuración de archivos recomendada, la cual ha de ser renombrada. 

• mv /etc/modsecurity/modsecurity.conf{-recommended,}

Para acabar, actualizaremos:

• service apache2 reload

Después de actualizar encontraremos un nuevo archivo de registro (vamos un log) de mod_security en el directorio de registro de Apache. 

• root@droplet:~# ls -l /var/log/apache2/modsec_audit.log -rw-r----- 1 root root 0 Oct 19 08:08 /var/log/apache2/modsec_audit.log

Listo ahora solo nos faltaría configurarlo, pero eso ya será en otra entrada.
Fuente:

• https://www.digitalocean.com/community/articles/how-to-set-up-mod_security-with-apache-on-debian-ubuntu

Sed Buenos ;) 

La Defensa de Chewbacca, Vicente Aceituno y Mi Opinión

El la ultima NocONName tuve la oportunidad de oír a Vicente Aceituno en su ponencia llamada La Defensa de Chewbacca, donde exponía una forma de organización basada en el orden prioridad de vulnerabilidades a parchear y no por los típicos colores o renglones de alto medio y bajo. La verdad es que me encanto y desde ese día adopto este nuevo tipo de gestión en FriendsandJobs y funciona, no todo lo rápido que me gustaría pero todos lo entienden mejor y el trabajo es mas agradecido para todos.  

Por si no conoces este sistema de gestión os dejo un video donde Vicente lo resume en unos dos minutos y medio: 

En mi opinión, trabajar con este sistema ha sido una ventaja para que la Startup empezara a funcionar de una forma "fluida" con el parcheo de vulnerabilidades, haciendo entender tanto al jefe como al responsable de los cambios a aplicar. A nadie nos guste que nos pongan en la cara 400 cosas a cambiar aunque hayan estén en diferentes campos, la respuesta será: "Que lo haga tu abuela XD" aunque sea una Startup.

Sed Buenos ;) 

Online x86 /x64 Assembler.- Se Acabó El Llorar En clase.

Si hay algo que odio de la universidad es el código de ensamblador, será que lo lo entiendo del todo, será que pienso demasiado o simplemente será que debería dedicarle mucho mas tiempo del que tengo para entenderlo como me gustaría para poderlo como lo ven otros. Así que una ayuda para esto nunca es mal vista desde mi posición y por eso me ha encantando toparme de cara con un traductor. 

"Esta herramienta toma algunas instrucciones x86 o x64 de montaje y los convierte a su representación binaria (código máquina). Utiliza GCC (AS) para ensamblar el código que le des y objdump desmontar el archivo objeto resultante, para que pueda ver qué bytes corresponden a la cual las instrucciones."

Pues eso espero que esto no solo sea una ayuda para mi si no para aquellos estudiantes que como yo no veamos claro el código de ensamblador.  Os dejo el enlace abajo:

• https://defuse.ca/online-x86-assembler.htm  

Sed Buenos ;) 

Canal Pirata de Snifer V - Domando a Python Hour of Code y el Canal Pirata

Hola a todos menos a State_X ¬_¬° el porque de este inicio simple y facil!!! hace un par de semanas atrás don Albert elimino la entrada que estaba en borradores el porque pregúntenle, para que también...

Ire sacando mis propias ideas del porque elimino lo principal, que indague estos fue porque el señor quiso programar en Brain Fuck y no así en Python ya que le di la sugerencia que lo haga pero como es el choco este de terco! simple y facil elimino la entrada pero le daremos el contra!!!! por algo tengo el canal pirata aqui :).

Asi que nos lanzamos, con el post luego de varias semanas estando apagado por problemas de salud y el trabajo que andaba a full! , esta ocacion venimos a traer un paquete de aprendizaje de la serpiente si les hablo de Python el cual como saben el Gringo Aka StateX anda programando en este sepsimente dulce lenguaje *_*. 

Con esta primera entrega quiero que conozcan este material que es totalmente libre, y tenemos tanto como en Español  e Ingles

Python

• Aprenda a pensar como un programador (con Python) (PDF)
• Doma de Serpientes para Niños: Aprendiendo a Programar con Python
• El tutorial de Python
• Inmersión en Python
• Inmersión en Python 3 (PDF)
• Introducción a la programación con Python (PDF)
• Introducción a Programando con Python
• Python instantáneo
• Python no muerde
• Python para ciencia e ingeniería
• Python para todos (PDF)
• Python para principiantes (PDF) (HTML)

Python

• A Beginner's Python Book
• A Bit of Python and Other Things
• A Guide to Python's Magic Methods - Rafe Kettler
• Building Skills in Python
• Building Skills in Object-Oriented Design (Python)
• Byte of Python
• Data Structures and Algorithms in Python
• Dive into Python - Mark Pilgrim
• Dive into Python 3 - Mark Pilgrim
• Google's Python Class
• Google's Python Style Guide
• Hacking Secret Cyphers with Python - Al Sweigart
• Hitchiker's Guide to Python!
• How to Think Like a Computer Scientist: Learning with Python - Allen B. Downey, Jeff Elkner and Chris Meyers
  • How to Think Like a Computer Scientist: Learning with Python, Interactive Edition
• Introduction to Programming Using Python - Cody Jackson
• Introduction to Programming with Python
• Introduction to python - Kracekumar
• Invent Your Own Computer Games With Python - Al Sweigart
• Learn Python The Hard Way
• Lectures on scientific computing with python - J.R. Johansson
• Making Games with Python & Pygame - Al Sweigart
• Modeling Creativity: Case Studies in Python - Tom D. De Smedt
• Natural Language Processing with Python
• Non-Programmer's Tutorial for Python 2.6
• Non-Programmer's Tutorial for Python 3
• Porting to Python 3: An In-Depth Guide
• Problem Solving with Algorithms and Data Structures
• Program Arcade Games With Python And Pygame
• Python Bibliotheca
• Python Cookbook - David Beazley
• Python for Fun
• Python for Informatics: Exploring Information
• Python for you and me
• Python in Hydrology - Sat Kumar Tomer
• Python Koans
• Python Module of the Week
• Python Practice Book
• Python Programming - PDF
• Python Scientific Lecture Notes
• Python Standard Library - Fredrik Lundh
• Snake Wrangling For Kids
• Test-Driven Web Development with Python
• The Art and Craft of Programming
• The Programming Historian - William J. Turkel, Adam Crymble and Alan MacEachern
• Think Python - Allen B. Downey
• Wikibooks: Python Programming
• Text Processing in Python - David Mertz
• Welcome to Problem Solving with Algorithms and Data Structures - Brad Miller and David Ranum
• Web2py: Complete Reference Manual, 6th Edition (pre-release) - HTML
• Web2py: Complete Reference Manual, 6th Edition (pre-release) - PDF

Regards,
Snifer