11 comentarios en Seguridad en aplicaciones Web

Bucio

Muy Bueno :D

Clodoaldo

Muy Bueno

Carlos

Hola Excelente articulo, me ha servido de mucho para seguir investigando sobre la seguridad en las aplicaciones web

Salonvil

Hola Amigos, Excelente articulo, soy nuevo en esta area profesional, quisiera saber si conocen de alguna herramienta que detecte estas vulnerabilidades antes de subir a producción cualquier acutalización de aplicación, y si conocen sea en software libre, agradeciendo su colaboración.

Victor De la Rocha

Hola Salonvil, para la mayoría de los casos, todos los datos que entran en tu aplicación ya sea por cualquiera de los métodos conocidos GET, POST, HEAD, etc <strong>es necesario</strong> revisarlos antes de usarlos, para el caso de utilizar esa información para crear una consulta SQL puedes utilizar algo parecido a <a href="http://kodrs.com/funcion-sql_quotes-con-php/" rel="nofollow">esto</a>:

[php]function sql_quotes( $value ) {
if( get_magic_quotes_gpc() ) {
$value = stripslashes( $value );
}
//verifica si existe la función
if( function_exists("mysql_real_escape_string") ) {
$value = mysql_real_escape_string( $value );
} else {
//para versiones de PHP < 4.3.0 usar addslashes
$value = addslashes( $value );
}
return $value;
}[/php]

Para el caso de que la información se despliegue en alguna parte del código es necesario que tengas en cuenta <strong>muchas, muchas cosas, por lo que para eso mejor te recomiendo leer www.buayacorp.com ;)

dayron

Muy buen articulo, pero me salta la siguiente duda, tengo en el servidor una carpeta con plantillas XMLs y qusiera saber de que manera puedo darle seguridad de manera tal que no sean alteradas

Victor De la Rocha

No entiendo tu duda dayron. Un directorio con XMLs no debería poder ser alterados desde la web.

A menos que estes hablando de que múltiples personas tengan acceso físicamente (o virtual pero con cuenta de acceso) a los archivos del servidor: Ahí tendrías que aplicar permisos directamente sobre el archivo.

cerberus-zero

Hola,

Para evitar el ataque remoto, no sólo bastaría con poner el register_globals = off si no que también recomendaría poner a off:
allow_url_fopen = off

.. ya que esta directiva en php.ini nos permite abrir sitios remotos y es un agujero grande de seguridad.

Jose Luis Sanizo

El testeo de aplicaciones web para comprobar las vulnerabilidades, es aconsejable....
Buen articulo

Ricardo

Muy buen articulo, informativo y explicativo! se agradece ;)

Deja un comentario

¿Cuanto es 2 + 3 - 5? =

Suscribirse a los comentarios.