Enlaces
Esta en:

documentos
Arriba
Bind-9
Bind-8
Ad+bind
Dhcp
Kdephp
Shell
Trucos
Php
Documentos
Cuestiones php
Fedora
Legal
W2000 xp
COMOS
Errores dns

Re: [PHP-ES] RE: Seguridad en scripts PHP

Write haof XML files: Satyam <Satyam_at_satyam.com.ar>
Fecha: Tue, 14 Feb 2006 07:22:03 +0100

----- Original Message -----
From: "Reynier Perez Mira" <rperezm_at_estudiantes. uci.cu>

Gustavo, que puedo decir tremenda explicación !!!! Pero algunas cosas no me
quedan claras y las expongo debajo.
> *Todas* las variables de origen externo deben filtrarse antes
> de usarse.
> Esto incluye a toda la información proporcionada por el agente de
> usuario vía HTTP

Esto incluye toda direccion URL del tipo: url.php?var1=1&var2=2&varn=n, ¿no?
ahora bien y si me pusiera y modificara la URL con el mod_rewrite de Apache
no seria esto una via de solución posible?

------------------------------------------------

interponer niveles de complejidad no resuelve el problema, plantéate como
ejercicio reescribir alguna de las inyecciones de código que Gustavo ha
mostrado para que funcionen con mod_rewrite y verás que no es dificil, con
el mod_rewrite no logras nada salvo, con suerte, evitar los ataques más
triviales. En definitiva, debes validar los valores de las variables que
recibes, como quiera que las recibieres. La solución de fondo no cambia.

En los ejemplos de Gustavo, donde mete un alert('XSS') como codigo, no es un
ejemplo simplemente didactico, ese es el código para detectar la
vulnerabilidad. Primero debes saber si el sitio es vulnerable, si deja
pasar código sin escapar, y el alert() es la forma mas simple de hacerlo.
Una vez detectada la vulnerabilidad luego ves qué puedes hacer con ella.

Satyam

-- 
PHP Spanish Localization Talk Mailing List (http://www.php.net/)
To unsubscribe, visit: http://www.php.net/unsub.php
Nearby mar feb 14 2006 - 12:23:42 CET

Este archivo fue generado por hypermail 2.2.0 : mié nov 07 2007 - 20:55:35 CET


Página Principal
Google

Web
dns.bdat.net

Visita nuestro proveedor:
www.bdat.net

Publicidad:

Impresenteibols:Humor Jazz, música en vivo