elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  ¿Ideas para aumentar la seguridad de mi gestor?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Ideas para aumentar la seguridad de mi gestor?  (Leído 3,998 veces)
KateLibby

Desconectado Desconectado

Mensajes: 90



Ver Perfil
¿Ideas para aumentar la seguridad de mi gestor?
« en: 12 Agosto 2011, 10:23 am »

Tengo que contruir un programa gestor de clientes en el cual la base de datos contendrá contraseñas y datos personales, por lo que tiene que ser lo más seguro posible.

Las medidas de seguridad con las que había pensado son:

- Cifrar contraseñas en la base de datos.
- Limitar el acceso sólo a unas IPs concretas.
- Bloquear el acceso a los usuarios que hayan introducido mal la contraseña X veces.

¿Podríais darme más ideas para aumentar la seguridad?

Gracias de antemano.


En línea

EFEX


Desconectado Desconectado

Mensajes: 1.171


"Dinero Facil"


Ver Perfil WWW
Re: ¿Ideas para aumentar la seguridad de mi gestor?
« Respuesta #1 en: 12 Agosto 2011, 10:27 am »

SQL injection, RFI, XSS, entre otros, te dejo un enlace a un pdf completito explicando estos metodos.

Proteger nuestras webs PHP de ataques
http://phpbarcelona.org/files/phpworkshop08/seguridad/Art-HackWeb-v1-4.pdf


En línea

KateLibby

Desconectado Desconectado

Mensajes: 90



Ver Perfil
Re: ¿Ideas para aumentar la seguridad de mi gestor?
« Respuesta #2 en: 12 Agosto 2011, 10:43 am »

Muchas gracias! Le echaré un vistazo!
En línea

[u]nsigned


Desconectado Desconectado

Mensajes: 2.397

JS/Node developer


Ver Perfil WWW
Re: ¿Ideas para aumentar la seguridad de mi gestor?
« Respuesta #3 en: 12 Agosto 2011, 14:05 pm »

Si se trata de un sistema medianamente grande, yo te recomendaria usar algun Framework, CodeIgniter por ejemplo, que funciona en cualquier servidor. Es totalmente seguro, ya que es de los mas populares.

Hay quienes prefieren desarrollar todo ellos mismos, y la verdad que no los entiendo  :xD gustos son gusto, pero siempre es probable que se no escape algo en seguridad web...mientras que si usamos algun framework de calidad como CI nos olvidamos del aspecto de la seguridad y solo te consentras en desarrollar. Su curva de aprendizaje es relativamente baja.


Saludos
En línea

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!
madpitbull_99
Colaborador
***
Desconectado Desconectado

Mensajes: 1.911



Ver Perfil WWW
Re: ¿Ideas para aumentar la seguridad de mi gestor?
« Respuesta #4 en: 12 Agosto 2011, 15:47 pm »

CodeIgniter totalmente seguro? Lo he usado en mi último proyecto y que te lo diga WHK, no es muy seguro, lo único de seguridad que ofrecen
es la protección XSS y solo filtra algunas palabras.

Si vas a envíar datos vía POST, tiene un helper para proteger contra CSRF, pero si envías los datos por GET, te tienes que buscar la vida.

Aunque un framework agiliza el desarrollo, no ofrece total seguridad, tarea que recae en las manos del desarrollador.


PD: No es mi intención hacer un flamewar.
En línea



«Si quieres la paz prepárate para la guerra» Flavius Vegetius

[Taller]Instalación/Configuración y Teoría de Servicios en Red
[u]nsigned


Desconectado Desconectado

Mensajes: 2.397

JS/Node developer


Ver Perfil WWW
Re: ¿Ideas para aumentar la seguridad de mi gestor?
« Respuesta #5 en: 12 Agosto 2011, 16:18 pm »

Yo uso CI 2.0.2 que ya incorpora preccion contra CSRF (desactivada por defecto):

application/config/config.php

Código
  1. /*
  2. |--------------------------------------------------------------------------
  3. | Global XSS Filtering
  4. |--------------------------------------------------------------------------
  5. |
  6. | Determines whether the XSS filter is always active when GET, POST or
  7. | COOKIE data is encountered
  8. |
  9. */
  10. $config['global_xss_filtering'] = TRUE;
  11.  
  12. /*
  13. |--------------------------------------------------------------------------
  14. | Cross Site Request Forgery
  15. |--------------------------------------------------------------------------
  16. | Enables a CSRF cookie token to be set. When set to TRUE, token will be
  17. | checked on a submitted form. If you are accepting user data, it is strongly
  18. | recommended CSRF protection be enabled.
  19. | 'csrf_token_name' = The token name
  20. | 'csrf_cookie_name' = The cookie name
  21. | 'csrf_expire' = The number in seconds the token should expire.
  22. */
  23. $config['csrf_protection'] = TRUE;
  24. $config['csrf_token_name'] = 'csrf_test_name';//Usar un string alpha-num de uno 20 chars
  25. $config['csrf_cookie_name'] = 'csrf_cookie_name';
  26. $config['csrf_expire'] = 7200;
  27.  

Aca se explica como hacerlo 'a mano'

De todas formas acepto que fue muy pretencioso decir que algo es totalmente seguro, my foul.  ;)
En línea

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!
madpitbull_99
Colaborador
***
Desconectado Desconectado

Mensajes: 1.911



Ver Perfil WWW
Re: ¿Ideas para aumentar la seguridad de mi gestor?
« Respuesta #6 en: 12 Agosto 2011, 16:24 pm »

Conozco la "protección" anti CSRF, lo único que hace es agregar un campo hidden con el valor del token en cada formulario.

Así al recibir los datos, compruebas el token. ¿Pero si envías los datos por GET? Tienes que pasarle el token "a mano" a través de la url.
En línea



«Si quieres la paz prepárate para la guerra» Flavius Vegetius

[Taller]Instalación/Configuración y Teoría de Servicios en Red
[u]nsigned


Desconectado Desconectado

Mensajes: 2.397

JS/Node developer


Ver Perfil WWW
Re: ¿Ideas para aumentar la seguridad de mi gestor?
« Respuesta #7 en: 12 Agosto 2011, 16:32 pm »

Es verdad. La verdad que nunca me vi en la necesidad de pasar por get, ni siquiera usando AJAX.

Nuevamente Reconozco que fue desmedida (y muy incorrecta) mi afirmacion de que el framework es totalmene seguro. Pero a lo que iba es que ya tenemos el 80% del trabajo (por tirar un numero) hecho. Si quisieramos implementar toda la segurida a mano es demasiado laburo. Cada uno elige.

En cuanto a hacerlo a mano acá se explica con lujo de detalle.

Citar
PD: No es mi intención hacer un flamewar.

Para nada, a lo mejor me estoy perdiendo de algo y toda critica costructiva es util, ademas respeto mucho tu opinion en estos temas.

Saludos
En línea

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!
bomba1990


Desconectado Desconectado

Mensajes: 395



Ver Perfil WWW
Re: ¿Ideas para aumentar la seguridad de mi gestor?
« Respuesta #8 en: 13 Agosto 2011, 06:28 am »

a mi tambien me gusta mucho este tema, y era de los que creia que la proteccion contra xss y contra sqli estaba "protegido", no soy ningun entendio sobre el tema, pero me gustaria saber si no es seguro, que deberia hacer para trabajar mas "seguro" y segundo porque no es seguro, como lo sabes lo leiste? revisaste el codigo? (es para yo poder verlo tambien)
En línea

"Cuando le di de comer a los pobres me llamaron santo, pero cuando pregunte porque los pobres eran pobres me dijeron comunista"

http://sosinformatico.blogspot.com/
http://www.publisnet.com.ve
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines