Cristian Rodriguez escribió: > Claudio Salazar escribió: > > >> Lo importante para prevenir XSS es la validacion de los datos, >> > > No, no su validacion si no que la forma en la cual son mostrados en > pantalla. > > Lo decia una linea despues. >> si bien se pueden crear >> funciones con expresiones regulares para detectar patrones, >> > > No, solo preocupate de **mostrarlas** con las caracteres potencialmente > dañinos. > Feo output, de todas manera unas palabras mas adelante no les daba mi aprobacion. Lo mencione porque he visto que tambien tratan asi de evitar XSS. > > >> Para prevenir XSS puedes ocupar funciones como htmlspecialchars(), >> addslashes() que combinadas dan buenos resultados. >> > > que combinadas dejan la escoba ... > Cierto, me quedo con htmlspecialchars. > >> Por que no te funciona mysql_real_escape_string() ? >> Solo sirve para "sanitizar" los datos que se ingresan en las consultas, >> antes de aplicar mysql_query(). >> Mas info en >> http://www.php.net/manual/es/function.mysql-real-escape-string.php . >> > > > huh ? mysql_real_escape_string() no es para prevenir XSS.. > Hice un salto de linea para cambiar de tema, tambien mencionaba que no le funcionaba esa funcion y el asunto tambien trata sobre sql injection. > >> Tambien podrias ver otras aplicaciones como ModSecurity o Core Grasp que >> añaden seguridad a aplicaciones web. >> > > Peligrosa tu recomendacion. > > > Ahora no basta con preocuparse solo de XSS e inyecciones SQL, funciones como mail() ya estan siendo foco de inyecciones y asi cada dia nuevas, y no discutiremos que es necesario que un programador debe partir por la seguridad de su codigo, pero una ayudita no le hace mal a nadie. From [EMAIL PROTECTED] Fri Sep 21 14:59:49 2007 From: [EMAIL PROTECTED] (Alvaro Herrera) Date: Fri Sep 21 15:02:20 2007 Subject: Evitar sql injection y xss In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]>
Claudio Salazar escribió: > Cristian Rodriguez escribió: >> No, solo preocupate de **mostrarlas** con las caracteres potencialmente >> dañinos. > > Feo output, de todas manera unas palabras mas adelante no les daba mi > aprobacion. Lo mencione porque he visto que tambien tratan asi de evitar > XSS. Cristian tiene razon. Para evitar el XSS, lo que hay que hacer es evitar que el navegador interprete el tag como si fuera HTML. Para esto, lo mas facil es escapar los caracteres peligrosos (creo que con escapar el < deberia ser suficiente pero no estoy seguro). Asi, cualquier HTML que el atacante quiera hacer pasar por tu sitio, se veria como un pedazo de texto en el navegador del usuario, con lo cual el ataque deja de funcionar (por ej. si es un link, ya no es cliqueable). -- Alvaro Herrera http://www.advogato.org/person/alvherre "El número de instalaciones de UNIX se ha elevado a 10, y se espera que este número aumente" (UPM, 1972) From [EMAIL PROTECTED] Fri Sep 21 15:02:59 2007 From: [EMAIL PROTECTED] (Alvaro Herrera) Date: Fri Sep 21 15:05:25 2007 Subject: Autenticacion Centralizada In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Sebastian Antunez Noguera escribió: > Estimados Listeros, en la empresa vamos a migrar el actual servidor de > Fedora Core 7 a Redhat ES 5. > > Me pidieron que investigara poner un sistema de autenticacion centralizada > donde los usuarios puedan ingresar con una password y usuario unico a las > siguientes aplicaciones ¿Has considerado instalar un sistema Kerberos? -- Alvaro Herrera Valdivia, Chile ICBM: S 39º 49' 18.1", W 73º 13' 56.4" "Those who use electric razors are infidels destined to burn in hell while we drink from rivers of beer, download free vids and mingle with naked well shaved babes." (http://slashdot.org/comments.pl?sid=44793&cid=4647152) From [EMAIL PROTECTED] Fri Sep 21 15:05:48 2007 From: [EMAIL PROTECTED] (marco olivares) Date: Fri Sep 21 15:08:13 2007 Subject: OT: EDULINUX In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> El día 21/09/07, Marcos Vargas <[EMAIL PROTECTED]> escribió: > > lo que pasa es que tengo 2 dhcp en mi red, el que tenia antes de instalar > EDULINUX que esta hecho en linux ademas es dominio de mi red y funciona > solo > con las mac y el nuevo servidor que esta funcionando de igual manera con > un > ambito especifico para que le de solo ip a las estaciones viejas y ademas > envie el LTSP a estas a traves de floppy.Al hacer estas modificaciones las > hice directamente al dhcpd.conf y al parecer el administrador de > estaciones > se mareo y no graba las modificaciones para las estaciones como la tarjeta > de sonido, el mouse, etc., por lo cual necesito si alguien sabe cual es el > archivo especifico en el cual se graban estas modificaciones para cada > estacion como el mouse, video, audio etc. > > Muchas Gracias > > ... dentro de \opt\ltsp esta el sistema... y al cual se llama para las configuraciones para los clientes--- ahora no estoyt en el server.. pero si mal no recuerdo... es esa \opt\ltsp\i386\etc\lts.conf espero te sirva... Marco Rojas. From [EMAIL PROTECTED] Fri Sep 21 15:09:18 2007 From: [EMAIL PROTECTED] (Sebastian Antunez Noguera) Date: Fri Sep 21 15:11:42 2007 Subject: Autenticacion Centralizada In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> No he considerado la opcion de instalar un Kerberos Lo voy a revisar este fin de semana Gracias El día 21/09/07, Alvaro Herrera <[EMAIL PROTECTED]> escribió: > > Sebastian Antunez Noguera escribió: > > Estimados Listeros, en la empresa vamos a migrar el actual servidor de > > Fedora Core 7 a Redhat ES 5. > > > > Me pidieron que investigara poner un sistema de autenticacion > centralizada > > donde los usuarios puedan ingresar con una password y usuario unico a > las > > siguientes aplicaciones > > ¿Has considerado instalar un sistema Kerberos? > > -- > Alvaro Herrera Valdivia, Chile ICBM: S 39º 49' 18.1", W 73º 13' > 56.4" > "Those who use electric razors are infidels destined to burn in hell while > we drink from rivers of beer, download free vids and mingle with naked > well shaved babes." (http://slashdot.org/comments.pl?sid=44793&cid=4647152 > ) > From [EMAIL PROTECTED] Fri Sep 21 15:10:17 2007 From: [EMAIL PROTECTED] (Rodrigo Fuentealba) Date: Fri Sep 21 15:12:40 2007 Subject: Evitar sql injection y xss In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> El 21/09/07, Claudio Salazar <[EMAIL PROTECTED]> escribió: > Cristian Rodriguez escribió: > > Claudio Salazar escribió: > > > >> Lo importante para prevenir XSS es la validacion de los datos, > > > > No, no su validacion si no que la forma en la cual son mostrados en > > pantalla. > > > Lo decia una linea despues. Si guardas basura, basura tendrás para mostrar. Es importante validar y luego formatear. > Feo output, de todas manera unas palabras mas adelante no les daba mi > aprobacion. Lo mencione porque he visto que tambien tratan asi de evitar > XSS. Si guardas basura... > Ahora no basta con preocuparse solo de XSS e inyecciones SQL, funciones > como mail() ya estan siendo foco de inyecciones y asi cada dia nuevas, y > no discutiremos que es necesario que un programador debe partir por la > seguridad de su codigo, pero una ayudita no le hace mal a nadie. Si un programador decide preocuparse "per sé" del tratamiento de datos pre/post guardado, dos cosas: 1.- O tiene "demasiado tiempo" para invertir en reinventar la rueda. 2.- O está "demasiado loco" para cranear todas las posibilidades. Hay proyectos que evitan todas esas cosas, como Propel/Creole y ADOdb del lado del modelo, Smarty o (el que me gusta más) PHPTAL en el lado de las vistas. Y si por último quieres algo completo porque tu aplicación es compleja, get a framework which suits your needs!!! Pero mod_security o CoreGrasp "no" son buenas medidas de seguridad, debido a que el programador tiende a relajar sus hábitos de desarrollo y la aplicación no siempre (más bien, casi nunca) llega a un servidor en el que están instalados estos dos productitos. -- Rodrigo Fuentealba Cartes Desarrollador de Sistemas - Consultor UNIX - Database Administrator
