Re: [zope-pt] Perigo para segurança do Zope
Oi Xiru, Obvio que sim. Ele deixa passar quotado caso o teu codigo assim esteja feito (duma forma correcta). Caso nao utilizes o type=string ou uses dtml-var em vez do correcto dtml-sqlvar ele vai deixar fazer sql injection. E olha que ja vi muita gente a usar o dtml-var dentro de um sql method ou esquecer o type quando usa o dtml-sqlvar... :-) Por isso eu referi que é seguro mas apenas no caso do nosso codigo estar correcto. ;-) Abracos Hugo 2008/6/6 Fabiano Weimar dos Santos [EMAIL PROTECTED]: Oi Hugo, na verdade, ele deixa passar escapeado (caso você tenha escrito seu código adequadamente). Veja o email do Castardo, postado apos o meu... Att. Fabiano Weimar 2008/6/6 Hugo Ramos [EMAIL PROTECTED]: Oi Xiru, A tua resposta tb nao foi muito clara... No caso de sql injections o Zope, na realidade, é TRANSPARENTE a SQL Injections. Ou seja... Se atras do Zope estiver um sistema de base de dados como, por exemplo, o MySQL e nao estivermos à espera destas sql injections entao o Zope deixa passar o codigo malicioso para o MySQL e este vai executar as ordens dadas na caixa de texto. CU Hugo 2008/6/6 Fabiano Weimar dos Santos [EMAIL PROTECTED]: Olá Edgar, você não foi nem um pouco específico, mas em linhas gerais, o Zope é imune a ataques de SQL Injection e ataques de XSS são possíveis apenas em teoria. Eu reformularia a pergunta para algo mais específico... Att. Fabiano Weimar 2008/6/6 Edgard Costa [EMAIL PROTECTED]: Amigos Zope Estive lendo sobre mal uso de determinados comandos inseridos em caixa de texto como forma de invasão ou tentativa de derrubada, isto relativo as pg escritas com outros scripts que não python. Existe este tipo de perigo no Zope/Plone?? Alguém já leu relatos parecidos? EdgardCosta -- == Fabiano Weimar dos Santos (xiru) Weimar Consultoria Hospedagem Plone, Django, Zope 3, Grok... http://www.pytown.com == Para enviar uma mensagem: zope-pt@yahoogrupos.com.br Para desistir envie uma mensagem em branco para: [EMAIL PROTECTED] do Yahoo! Grupos -- Hugo Ramos - IT Project Manager home - http://www.hugoramos.eu/ tech - http://otuggatech.blogspot.com/ [EMAIL PROTECTED] -- == Fabiano Weimar dos Santos (xiru) Weimar Consultoria Hospedagem Plone, Django, Zope 3, Grok... http://www.pytown.com == Para enviar uma mensagem: zope-pt@yahoogrupos.com.br Para desistir envie uma mensagem em branco para: [EMAIL PROTECTED] do Yahoo! Grupos -- Hugo Ramos - IT Project Manager home - http://www.hugoramos.eu/ tech - http://otuggatech.blogspot.com/ [EMAIL PROTECTED]
[zope-pt] Perigo para segurança do Zope
Amigos Zope Estive lendo sobre mal uso de determinados comandos inseridos em caixa de texto como forma de invasão ou tentativa de derrubada, isto relativo as pg escritas com outros scripts que não python. Existe este tipo de perigo no Zope/Plone?? Alguém já leu relatos parecidos? EdgardCosta
Re: [zope-pt] Perigo para segurança do Zope
Olá Edgar, você não foi nem um pouco específico, mas em linhas gerais, o Zope é imune a ataques de SQL Injection e ataques de XSS são possíveis apenas em teoria. Eu reformularia a pergunta para algo mais específico... Att. Fabiano Weimar 2008/6/6 Edgard Costa [EMAIL PROTECTED]: Amigos Zope Estive lendo sobre mal uso de determinados comandos inseridos em caixa de texto como forma de invasão ou tentativa de derrubada, isto relativo as pg escritas com outros scripts que não python. Existe este tipo de perigo no Zope/Plone?? Alguém já leu relatos parecidos? EdgardCosta -- == Fabiano Weimar dos Santos (xiru) Weimar Consultoria Hospedagem Plone, Django, Zope 3, Grok... http://www.pytown.com ==
Re: [zope-pt] Perigo para segurança do Zope
2008/6/6 Edgard Costa [EMAIL PROTECTED]: Amigos Zope Opa! Estive lendo sobre mal uso de determinados comandos inseridos em caixa de texto como forma de invasão ou tentativa de derrubada, isto relativo as pg escritas com outros scripts que não python. Você está falando de SQLInjetion[1] e Cross Site Scripting[2]. Em ambos os casos estamos seguros com o Zope! No caso do SQL Injection, o que temos é o tratamento feito pelo DTML (linguagem utilizada para querys dinâmicas), onde basta um dtml-sqlvar variavel type=string para tratar isso (o segredo está em usar sqlvar). No caso do Cros Site Scripting o Zope Page Templates (vulgo ZPT, utilizado para páginas dinâmicas) ignora quaisquer tags, simplesmente as printa. Exemplo: p tal:content=request/variavelaqui vem o valor dinamico da variavel do request/p resultado: plt;valor da variavel/p ou seja, nao há interpretação do valor da variável como HTML. Porém em alguns casos onde se tem um DB com texto misturado com HTML, coisa que acontece, você precisa que os códigos sejam interpretados, nesse caso vc tem que usar o seguinte: p tal:content=structure request/variavelaqui vem o valor dinamico da variavel do request/p E isso deve ser feito apenas qdo a aplicação que gravou isto no banco trata Cross Site Scripting e SQL Injection. Existe este tipo de perigo no Zope/Plone?? Continuando ... agora, tudo se perde se vc não usar sqlvar na query por exemplo, mas o Zope trata ntivo, basta vc ter o grande trabalho de digitar sqlvar =). No Plone existe ainda um tratamento mais sofisticado, onde vc eh quem diz qual tag deve ser ignorada ou não, eu prefiro bem mais esta ideia. Alguém já leu relatos parecidos? Eu trabalho com Zope e Plone desde 2003, e até hoje simplesmente desconheço qualquer invasão por falha PZP. E conheço uma parte do pessoal aqui da lista, e não me lembro de nenhum comentário sobre isso, nem casos em Brasília onde eu moro. Alguém conhece? Aliás, confere o report de bugs de segurança de um Mambo e compara com o do Plone, isto vai ter dar uma boa idéia do que estou falando. Abraços EdgardCosta [1] http://en.wikipedia.org/wiki/SQL_injection [2] http://en.wikipedia.org/wiki/Cross-site_scripting -- Castardo ThreePointsWeb [EMAIL PROTECTED] +55 61 8162-2072
Re: [zope-pt] Perigo para segurança do Zope
Oi Xiru, A tua resposta tb nao foi muito clara... No caso de sql injections o Zope, na realidade, é TRANSPARENTE a SQL Injections. Ou seja... Se atras do Zope estiver um sistema de base de dados como, por exemplo, o MySQL e nao estivermos à espera destas sql injections entao o Zope deixa passar o codigo malicioso para o MySQL e este vai executar as ordens dadas na caixa de texto. CU Hugo 2008/6/6 Fabiano Weimar dos Santos [EMAIL PROTECTED]: Olá Edgar, você não foi nem um pouco específico, mas em linhas gerais, o Zope é imune a ataques de SQL Injection e ataques de XSS são possíveis apenas em teoria. Eu reformularia a pergunta para algo mais específico... Att. Fabiano Weimar 2008/6/6 Edgard Costa [EMAIL PROTECTED]: Amigos Zope Estive lendo sobre mal uso de determinados comandos inseridos em caixa de texto como forma de invasão ou tentativa de derrubada, isto relativo as pg escritas com outros scripts que não python. Existe este tipo de perigo no Zope/Plone?? Alguém já leu relatos parecidos? EdgardCosta -- == Fabiano Weimar dos Santos (xiru) Weimar Consultoria Hospedagem Plone, Django, Zope 3, Grok... http://www.pytown.com == Para enviar uma mensagem: zope-pt@yahoogrupos.com.br Para desistir envie uma mensagem em branco para: [EMAIL PROTECTED] do Yahoo! Grupos -- Hugo Ramos - IT Project Manager home - http://www.hugoramos.eu/ tech - http://otuggatech.blogspot.com/ [EMAIL PROTECTED]
Re: [zope-pt] Perigo para segurança do Zope
Oi Hugo, na verdade, ele deixa passar escapeado (caso você tenha escrito seu código adequadamente). Veja o email do Castardo, postado apos o meu... Att. Fabiano Weimar 2008/6/6 Hugo Ramos [EMAIL PROTECTED]: Oi Xiru, A tua resposta tb nao foi muito clara... No caso de sql injections o Zope, na realidade, é TRANSPARENTE a SQL Injections. Ou seja... Se atras do Zope estiver um sistema de base de dados como, por exemplo, o MySQL e nao estivermos à espera destas sql injections entao o Zope deixa passar o codigo malicioso para o MySQL e este vai executar as ordens dadas na caixa de texto. CU Hugo 2008/6/6 Fabiano Weimar dos Santos [EMAIL PROTECTED]: Olá Edgar, você não foi nem um pouco específico, mas em linhas gerais, o Zope é imune a ataques de SQL Injection e ataques de XSS são possíveis apenas em teoria. Eu reformularia a pergunta para algo mais específico... Att. Fabiano Weimar 2008/6/6 Edgard Costa [EMAIL PROTECTED]: Amigos Zope Estive lendo sobre mal uso de determinados comandos inseridos em caixa de texto como forma de invasão ou tentativa de derrubada, isto relativo as pg escritas com outros scripts que não python. Existe este tipo de perigo no Zope/Plone?? Alguém já leu relatos parecidos? EdgardCosta -- == Fabiano Weimar dos Santos (xiru) Weimar Consultoria Hospedagem Plone, Django, Zope 3, Grok... http://www.pytown.com == Para enviar uma mensagem: zope-pt@yahoogrupos.com.br Para desistir envie uma mensagem em branco para: [EMAIL PROTECTED] do Yahoo! Grupos -- Hugo Ramos - IT Project Manager home - http://www.hugoramos.eu/ tech - http://otuggatech.blogspot.com/ [EMAIL PROTECTED] -- == Fabiano Weimar dos Santos (xiru) Weimar Consultoria Hospedagem Plone, Django, Zope 3, Grok... http://www.pytown.com ==
Re: [zope-pt] Perigo para segurança do Zope
Vale lembrar que é necessário ficar atento aos hotfix tanto do plone quanto do Zope. 2008/6/6 Ricardo Bánffy [EMAIL PROTECTED]: A menos que você use coisas como dtmo-sqlvar em suas queries. O Zope é bem seguro - você precisa criar suas próprias falhas de segurança ;-) 2008/6/6 Hugo Ramos [EMAIL PROTECTED] ramosh%40gmail.com: Oi Xiru, A tua resposta tb nao foi muito clara... No caso de sql injections o Zope, na realidade, é TRANSPARENTE a SQL Injections. Ou seja... Se atras do Zope estiver um sistema de base de dados como, por exemplo, o MySQL e nao estivermos à espera destas sql injections entao o Zope deixa passar o codigo malicioso para o MySQL e este vai executar as ordens dadas na caixa de texto. CU Hugo 2008/6/6 Fabiano Weimar dos Santos [EMAIL PROTECTED]xirumacanudo%40gmail.com : Olá Edgar, você não foi nem um pouco específico, mas em linhas gerais, o Zope é imune a ataques de SQL Injection e ataques de XSS são possíveis apenas em teoria. Eu reformularia a pergunta para algo mais específico... Att. Fabiano Weimar 2008/6/6 Edgard Costa [EMAIL PROTECTED]edgardalvescosta%40gmail.com : Amigos Zope Estive lendo sobre mal uso de determinados comandos inseridos em caixa de texto como forma de invasão ou tentativa de derrubada, isto relativo as pg escritas com outros scripts que não python. Existe este tipo de perigo no Zope/Plone?? Alguém já leu relatos parecidos? EdgardCosta -- == Fabiano Weimar dos Santos (xiru) Weimar Consultoria Hospedagem Plone, Django, Zope 3, Grok... http://www.pytown.com == Para enviar uma mensagem: zope-pt@yahoogrupos.com.brzope-pt%40yahoogrupos.com.br Para desistir envie uma mensagem em branco para: [EMAIL PROTECTED]zope-pt-unsubscribe%40yahoogrupos.com.brLinksdo Yahoo! Grupos -- Hugo Ramos - IT Project Manager home - http://www.hugoramos.eu/ tech - http://otuggatech.blogspot.com/ [EMAIL PROTECTED] ramosh%40gmail.com -- Pablo Nogueira Oliveira 061-84089333 Brasilia DF
