Título: [Tutorial] Seguridad web By:Painboy Publicado por: niñoweb en 4 Marzo 2009, 16:09 pm [-] Seguridad Web [-] [-] By: Painboy [-] Security website - By: Painboy [-]- - - - - - - - - - - - - - - - - - [-] [1] Introduccion [2] ¿Como nos atacan? [3] Htaccess & Php.ini [3.1] ¿Para que sirven? [3.2] Htaccess [3.2.1] Introduccion Htaccess [3.2.2] Codigos utiles de Htaccess [3.3] Php.ini [4] Evitar ataques [4.1] XSS [4.2] Sql injection [4.3] Rfi [4.4] Lfi [4.5] dos [5] Despedida [-] - - - - - - - - - - - - - - - - - - [-] [1] Introduccion: Buenas creo esto manual porque veo demasiados servidores webs sin la seguridad necesaria. Pues este manual se para mejorar o intentar mejorar la seguridad web en la red. Tratare de explicar lo mejor posible los pasos que daremos. [-] - - - - - - - - - - - - - - - - - - [-] [2] ¿Como nos atacan?: Como nos atacan un apartado muy importante bueno hay varios,muchas formas de ataque Algunas podremos evitar otras no. Daremos aqui algunos ejemplos de conque cosas suelen atacar nuestro website: -XSS (Cross site scripting) -Sql injection -Blind Sql injection (Injeccion a ciegas) -dos (Ataques SYN respuestas) -Reverse ip y muchas mas que hay pero esto es lo que en este manual intentaremos evitar que se produzca. Pero recuerda algo para poder evitar la mayoria de esto deberas aprender a programar o a leer el manual detenidamente y aprenderlo. [-] - - - - - - - - - - - - - - - - - - [-] [3.1] Para que sirven (Htaccess y Php.ini): Estos 2 archivos muy apreciados por los webmaster vienen a configurar el servidor web con multitud de funciones.Estos 2 archivos son muy utiles para la seguridad de nuestro website [3.2] Htaccess: Es un archivo de configuracion de el servidor web se le da ordenes para realizarse como restricciones y demas. ahora nos adentraremos un poquito mas en htaccess. [3.2.1] Intruduccion a Htaccess: htaccess como eh dicho anteriormente es un archivo de texto que apache usa para dar ordenes al servidor y trabajarlas. para crear el archivo .htaccess has lo siguiente: [1]: Habre el Bloc de notas [2]: Pincha en > Archivo > Guardar como [3]: Pon de nombre " .htaccess " [4]: Selecciona en tipo "Todos los archivos" [5]: Aceptar o Guardar Perfecto tendras creado el archivo .htaccess pero todavia no esta subido así que simplemente subelo a tu hosting ponlo en la carpeta que desees que trabaje (Por ahora no hay nada no hay codigos) y perfecto tendras ya subido el archivo .Htaccess para que trabaje cuando le metas codigos. [3.2.2] Codigos utiles de Htaccess: Buenas aqui te enseñare algunos codigos muy utiles para evitar tonterias de los lammers o algunos que quieren joder tu web o simplemente para mejorar tu website. Permitir acceso desde una IP unica Buenas pues al lugar donde se hubica el sitio donde subiste el .htaccess con el siguiente codigo Solo se le permitira la entrada si accede desde una ip (la que desees) para eso en nuestro archivo .htaccess lo colocamos: Código: deny from all Personalizar extensiones .html,.php y demas! Alguna vez has querido por ejemplo crear un archivo index.shit y que se lo tome como si fuese un archivo php pero que la extension sea .shit bueno pues hay un codigo en htacess para modificar las extensiones lo explicamos este es el codigo: Código: AddType application/x-httpd-php .extension lo que haria ese codigo seria tratar los archivos con la extension ".extension" como si fuesen .php ! Ahora probemos haber si podemos tratar un archivo de extension ".painboy" como si fuese .html: Código: AddType application/x-httpd-html .painboy y seria tratado como archivo html pero con la extension .painboy! Personalizar pagina error: Te suena verdad el tipico error 404 este error se muestra cuando no se encuentra el archivo en el Servidor y no lo puede localizar pues si te molesta este error simplemente debes añadirle unas 2 lineas a tu .htaccess: Código: RewriteEngine On Ok de este codigo puedes modificar varias cosas. 1: Puedes cambiar el error a otro error ya que hay varios como el 505 y demas.. Si quieres evitar el error 505 simplemente has lo siguiente coloca lo siguiente en tu archivo .htaccess Código: RewriteEngine On Desabilitar el Acceso a una carpeta Para desabilitar a la gente el acceso a una carpeta pues nada mas debes introducir el siguiente Codigo en tu archivo .htaccess y luego subir el .htaccess dentro de la carpeta que deseas no permitir acceder. el codigo es el siguiente: Código: #deny all access y con eso nadie podria acceder al contenido de archivos de esa carpeta. Personalizar pagina error: Te suena verdad el tipico error 404 este error se muestra cuando no se encuentra el archivo en el Servidor y no lo puede localizar pues si te molesta este error simplemente debes añadirle unas 2 lineas a tu .htaccess: Código: RewriteEngine On Ok de este codigo puedes modificar varias cosas. 1: Puedes cambiar el error a otro error ya que hay varios como el 505 y demas.. Si quieres evitar el error 505 simplemente has lo siguiente coloca lo siguiente en tu archivo .htaccess Código: RewriteEngine On Bueno pues ya saben evitar errores de este tipo.por ejemplo hagan lo siguiente: Vallan a la siguiente url: www.SPAM(105)/loquequierasyquenoexista.html y veran que mostrara algo que dice error.html eso es porque ahi tendria que dar error 404 pero Que ocurrio pues que tenia que redireccionar al archivo error.html pero el archivo error.html no lo eh creado así que no se redirecciona. Evitar Hot link Hot link es cuando por ejemplo publicamos una img , video en algun servidorweb que no es el nuestro Pero ese archivo esta subido en nuestro hosting pues ahi gastaria nuestra banda de ancha seria como Un robo de banda ancha! pues con el siguiente codigo evitaremos que nos roben la Banda Ancha: Código: 1. RewriteCond %{HTTP_REFERER} !^$ Aqui lo que debes hacer es modificar websitetuya por tu website y ya. así con esto lograremos evitar que consuman nuestra banda ancha con este codigo evitamos Que los archivos (Fla,gif,jpg,jpeg,png,bmp) sean mostrados en otros sitios que no sean nuestro servidor web claro. Evitar mostrar modulos de apache y version Este codigo sirve para no mostrar ese error (http://img23.imageshack.us/img23/3647/errori.png) Ya que ese error puede dar informacion importante si nos quieren atacar así que lo evitaremos Colocando el siguiente codigo en nuestro archivo .htaccess: Código: ServerSignature Off Query_string Es muy importante configurar bien esto así evitaremos varias cosas como Sql injections,XSS y demas. Para configurar bien colocaremos el siguiente codigo en nuestro archivo .htaccess: Código: RewriteCond %{QUERY_STRING} ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR] Evitar el Robo(Hurto) de cookies Pues recuerdan que se podia robar cookies con una tecnica llamada xss pues eso se acabo Con el siguiente codigo colocalo en tu .htaccess si quieres evitar que por culpa de una variable mal programada te roben cookies a tu usuarios: Código: RewriteCond %{HTTP_COOKIE} PHPSESSID=([^;]+) [NC] Evitando Rfi / Lfi Buenas pues con el siguiente codigo evitaremos que por ejemplo con el siguiente codigo en php voy poner una variable vulnerable a rfi: Código: <?php Ok lo explotariamos eso haci www.tuweb.com/comosellamaelarchivo.php?var=loquequieras y si muestra loquequieras significa que register_globals esta en on. pues para evitar esto pondremos lo siguiente en nuestro archivo .htaccess Código: php_flag register_globals off y con eso estariamos evitando incluir archivos,palabras y demas en cualquier variable de archivos php. Protegiendo carpetas con contraseña Bien para mi esto es muy importante si quieres privacidad en tus carpetas que te muestre un login para meter el usuario y contraseña. Bien pues añadiremos las siguientes lineas al archivo .htaccess: Código: AuthUserFile /rutacompleta/hacia/.htpasswd lo que hace eso seria buscar la ruta de el archivo .htpasswd luego mostrar "Entas entrando en Aquipuedesponerloquequieras" luego definir que es un login basico el normal y luego decir el unico usuario que puede acceder (Para añadir mas usuario require user nombre1 nombre2) En el archivo .htpasswd la sintaxis es la siguiente: NOMBREUSUARIO:CONTRASEÑA Ejemplo: painboy:4sxbu06GwVhd2 Bueno la contraseña que se da como puedes ver debe estar cifrada en una variacion del algoritmo MD5 Realizada por el apache. Bueno pues para crear el archivo htpasswd y que te de la contraseña ya cifrada y todo listo para subir abre la consola MS-DOS y escribe lo siguiente: Código: htpasswd -cb .htpasswd USUARIO CONTRASEÑA y te lo guardara en un archivo .htpasswd listo para subir al hosting y usarlo. y con eso ya tendras tu login de proteccion de carpetas y siempre cuando intentes acceder a la Carpeta donde se encuentra ese htaccess te pedire usuario y password y si los pones bien te da Accesso. [-] - - - - - - - - - - - - - - - - - - - - - - - - -[-] [3.3] Php.ini: Ultimamente el php se ah visto muy usado en servidores web es tan comun ver archivos php que es necesario un archivo para configurar sus funciones y demas a este archivo se le llama "php ini" a diferencia de el .htaccess el .htaccess engloba todo sobre Configuracion del servidor web encambio el php ini solo trabaja sobre los archivos php [3.3.2] Introduccion a Php.ini: Php.ini es un archivo de configuracion de archivos php al cual se le puede desactivar,activar funciones y demas así que aprenderemos un poco a usarlas por ahora quiero que hagas los siguientes pasos para crear el archivo Php.ini: [1] Abres bloc de notas [2] Pulsas >Archivo > Guardar como [3] Pones de nombre "Php.ini" [4] En tipo pones: "Todos los archivos" (vendra por defecto .txt !cambialo!) y haci abras creado el archivo Php.ini bueno ahora subelo a tu hosting y ya tendras el archivo Php.ini en tu servidor. Ahora empezemos a ver instrucciones utiles de Php.ini. [3.3.2] Codigos Utiles de Php ini Ahora aprenderemos unos cuantos codigos utiles para nuestra configuracion de Php.ini Espero que les sirva empezemos: allow_url_fopen Esta funcion lo que hace es permitir tratar incluir ficheros en la url osea tratar una url como un acceso a un fichero esta funcion viene activada! y claramente no nos combiene ser victimas de un ataque así que haremos lo siguiente ya que actualmente el php en nuestro servidor figura como lo siguiente: allow_url_fopen = on lo que haremos sera en nuestro archivo Php.ini colocaremos el siguiente codigo Código: allow_url_fopen = off y haci ya no se incluirian los archivos. Evitar mostrar errores de Php Para evitar mostrar errores de php y así evitar que sea mas sencillo que venga uno y nos quiera hacer pasar un mal rato es recomendable desactivar el mostrar errores de php así que añadiremos este siguiente codigo en el archivo Php.ini Código: display_errors = Off y ya esta eso es con eso ya no se mostrarian los errores de php. Activando el Safe Mode Como sabran es muy importante activar el modo seguro en nuestro servidor así limitaremos y mucho a los malechores de la red que intentan modificar nuestros archivos así que colocaremos el siguiente codigo en nuestro archivo Php.ini: Código: safe_mode = On Register_globals Como habia explicado mas arriba en la parte de "Codigos Utiles de htaccess" usaremos esta funcion Para así evitar inclusiones como de Rfi así que por defecto esta desactivado así que hay que Mantenerlo así pero por si no lo tienes coloca lo siguiente en el archivo Php.ini: Código: register_globals = off [-] - - - - - - - - - - - - - - - - - - [-] [4] Evitar Ataques: Bien en este apartado nos centraremos un poquillo en la programacion sobre todo php y algunas cosillas mas espero que les sea de ayuda y empezamos: [4.1] Evitar XSS: Bueno la verdad el tema de evitar ataques XSS Es un tema muy urgente en la red así que lo Trataremos así que espero que no intentes leer esto si no eres programador o miniprogramador en Php ya que sino no entenderas empezamos: Bueno haber imaginemonos un libro de visitas no? Ok que es lo que hace un libro de visitas sin filtros ni nada, Pues es un libro que muestra exactamente lo que se escribio en el mensaje y los codigos <h1> y demas se injectan! y se ejecutan ok. Bueno pues lo que queremos es que no se ejecuten verdad? Pues perfecto explicare algunas funciones muy utiles para evitar esto: strip_tags: Bien lo que hace esta funcion es como su nombre indica "ARRANCAR" , "Romper" las tags (<>) Bueno bien pues esta funcion eso es lo que realiza romper tags por lo tanto si la usamos imaginate pongo algo así: (http://img514.imageshack.us/img514/6042/comn.png) Pues el atacante creera que su el codigo introducido en el comentario se va a ejecutar pero no! ya que yo para que se muestre tengo que hacer lo siguiente: Código: <?php Entonces si ponemos ese codigo solo se mostraria el comentario sin el tag de <h1> y haci evitamos Que se muestre en grande lo que escribio el atacante. encambio si ponemos esto: Código: <?php Mostrara en grande el comentario que hizo y nos puede hacer infinidad de cosas mas así que ya sabes si no quieres que te hagan eso utiliza la funcion Strip_tags. Htmlentities Bien lo que hace esta funcion es cojer una cadena y transformarla en entidades html Un ejemplo esto: <script> seria transformado en: <script> Bueno pondremos un ejemplo usando htmlentities y otro sin el miren esto: (http://img514.imageshack.us/img514/6042/comn.png) Ok lo que el atacante quiere es mostrar su comentario en grande pero como usamos lo siguiente: Código: <?php Entonces lo que hara sera envez de mostrarse todo en grande la etiqueta (tag) <h1> sera Transformado a una entidad html y haci no se mostrara el mensaje grande. Bueno hay muchos mas funciones de php para filtrar las cadenas pero creo que con estas dos vas bien. hay mas como htmlspecialchars que es exactamente igual a htmlentities solo que trabaja con UTF8. [-] - - - - - - - - - - - - - - - - - - - - - - [-] [4.2] Evitar Sql injection: Bien pues este es un error muy tonto pero que tiene facil solucion algunos por ejemplo cometen fallos como el siguiente: Código: SELECT * FROM painboy Bueno pues con ese codigo podemos obtener lo que yo quiera es totalmente vulnerable a sql injection Por un simple * podemos poner en riesgo nuestro website así que para arreglarlo haremos lo Siguiente: Código: SELECT nombre FROM painboy así se concreta y solo busca ahi y no nos arriesgamos a nada. [-] - - - - - - - - - - - - - - - - - - - - - - [-] [4.3] Evitar Rfi Rfi (Remote file inclusion) Su nombre lo dice todo así que vamos con ello esta tecnica es dificil encontrarla para ejecutar de varias formas que ahora te contare y te contare como evitarlo. Para que RFI Funcion necesitas lo siguiente: 1- Error en la programacion 2-Tener Register_globals en on 3-allow_url_fopen en on Bueno pues si esta todo eso como indico entonces si podras hacer un remote file inclusion así que te pondre un codigo vulnerable de RFI Código: include($URL) Ok bien como vemos se incluye lo que sea! así que para explotarlo seria: www.web.com/archivo.php?URL=SHELL Bueno y claramente queremos evitar esto así que vamos a hacer lo siguiente: 1-No cometer errores en la programacion 2-Register_globals en OFF 3-allow_url_fopen en OFF Empezamos: [4.3.1] No cometer errores en programacion: Como hemos visto lineas antes se veia un codigo vulnerable a rfi ok bien pero cual es el problema de ese codigo pues que se incluye lo que sea y lo que haremos sera usar file_exists Pondre un codigo 100% seguro contra rfi (Remote file inclusion): Código: $url = intval($_GET['url']); //la variable URL solo tendra un valor entero lo que hemos echo es simplemente verificar si lo que hemos introducido esta dentro de nuestro hosting y que tenga una extension .php y si ese archivo existe pues se muestra. [4.3.2] Register_globals en OFF Buenas pues mira debes abrir el archivo Php.ini y introducir la siguiente linea: Código: Register_globals = off y guardas y ya tendras Register_globals en OFF Si tienes mas dudas sobre como ponerlo en off o sobre el archivo Php.ini mira mas arriba y te viene Una explicacion mas extensa y mas entendible [4.3.2] allow_url_fopen en OFF Bueno pues como en register_globals es exactamente igual debes abrir el archivo Php.ini y introducir la siguiente linea: Código: allow_url_fopen = off y luego guardar el archivo php.ini y subirlo. [-] - - - - - - - - - - - - - - - - - - - - - - [-] [4.3] Evitar lfi Lfi (Local file inclusion) inclusion de archivos internos (locales) bueno eso significa que sirve para mucho No les parece para los atacantes esto es una joya ya que pueden obtener datos muy sensibles Empezamos como para que vean como evitar este ataque: Pondremos un codigo vulnerable a lfi para que entiendan mas o menos: Código: <?php Ok parece un codigo totalmente normal sin problema algun verdad pues si te das cuenta no filtra el escalar directorios! si escalamos directorios y empezamos a ver cosas que no se podrian de ver Nuestra website correria mucho peligro así que les enseñare a filtrar el escalamiento de directorios y el no incluir archivos locales para así mostrarlos y dar informacion sensible al atacante. Código: <?php Ok ahora imaginen que la variable proteccion quiere mostrar un contenido ok? Ok pues lo que hariamos seria usar la funcion de php str_replace para borrar los codigos utiles que al atacante le sirve para escalar directorios y mostrar así archivos locales así que ya saben Usen str_replace y luego filtren lo que necesiten para evitar lo que quieran en este caso con el ejemplo que es 100% seguro filtramos lfi. [-] - - - - - - - - - - - - - - - - - - - [-] [5] Recomendaciones: Bueno aparte de esto te doy unas recomendaciones 1: No subas muchos scripts a tu hosting (muchas veces si subes muchos scripts la gente si ve que tu website el mostrado no tiene bugs y demas o no puede con ella ira a escanear tu web y vera que tienes mas scripts en tu hosting y intentara acceder por medio de esos scripts por medio de algun bug que tenga esos scripts así que mucho cuidado con lo que subes siempre intenta limitarte al subir algo. 2: Sigue los consejos que te doy ya que son muy utiles y recuerda tener este archivo siempre en tu Pc por si acaso lo necesitas en algun momento y no lo encuentras en la red. 3: Con respecto al login que te enseñe a hacer con htpasswd y htaccess te recomiendo esconder el archivo htpasswd en directorios y cambiarle el nombre al archivo .htpasswd y modificar un poquillo el login así le dificultas la entrada al atacante. [-] - - - - - - - - - - - - - - - - - - - [-] [5] Despedida: Bueno este manual se lo dedico a toda aquella gente que desea tener un website seguro y que bueno se lo dedico a toda mi comunidad y demas bueno pues eso espero que hayan aprendido y Demas y que apliquen lo que les digo. Si vas a poner este Manual en algun otro sitio respeta el Copyright saludos amigos.
Creador: Painboy Contacto: Painboy@hotmail.com [-] - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - [-] Título: Re: [Tutorial] Seguridad web By:Painboy Publicado por: niñoweb en 5 Marzo 2009, 14:36 pm Porque no comentan?
Me tire haciendo esto mas de 2h !! :-( Título: Re: [Tutorial] Seguridad web By:Painboy Publicado por: jdc en 5 Marzo 2009, 15:13 pm Está bonito :)
Título: Re: [Tutorial] Seguridad web By:Painboy Publicado por: niñoweb en 5 Marzo 2009, 15:23 pm Gracias bro.
Eres el primero :) Man esto trata todo sobre seguridad web. Espero que te haya gustado. Salu2 Título: Re: [Tutorial] Seguridad web By:Painboy Publicado por: Red Mx en 5 Marzo 2009, 16:30 pm contiene medidas basicas pero no est muy profundisado el tema , aun que es verdad es seguridad considero que es mejor en la sección webmasters ya que es principalmente el tema que se trata.
Título: Re: [Tutorial] Seguridad web By:Painboy Publicado por: niñoweb en 5 Marzo 2009, 16:59 pm Ok bro.
Grax por moverlo. Tienes razon iva aqui sorry. Bueno se que este manual ayudara a MUUCHA gente. Título: Re: [Tutorial] Seguridad web By:Painboy Publicado por: PanConMantequilla en 26 Abril 2009, 03:57 am Personalizar extensiones .html,.php y demas! Alguna vez has querido por ejemplo crear un archivo index.shit y que se lo tome como si fuese un archivo php pero que la extension sea .shit bueno pues hay un codigo en htacess para modificar las extensiones lo explicamos este es el codigo: Código: AddType application/x-httpd-php .extension lo que haria ese codigo seria tratar los archivos con la extension ".extension" como si fuesen .php ! Ahora probemos haber si podemos tratar un archivo de extension ".painboy" como si fuese .html: Código: AddType application/x-httpd-html .painboy y seria tratado como archivo html pero con la extension .painboy! Hola siempre intente hacer eso pero NUNCA vi resultados positivos, cada vez que le agrego al .htaccess : Citar AddType application/x-httpd-php .extension no me leen los archivos PHP, solo me funciona con archivos HTML, osea que si hago Ver codigo fuente se ve la dichosa programacion PHP, acaso hay algo que me falta hacer?? Título: Re: [Tutorial] Seguridad web By:Painboy Publicado por: Dosjota en 26 Abril 2009, 04:22 am buen aporte!!
se agradece!! ;D Título: Re: [Tutorial] Seguridad web By:Painboy Publicado por: jdc en 26 Abril 2009, 08:00 am @Rencoroso lo que haces con eso es por ejemplo sí tienes un archivo "index.extensión" lo lea como un servidor leeria un archivo "index.php" osea que en el navegador pondrías "www.tvpágina.com/index.extensión" y se mostraria tú index.php que lo único que tiene de especial es la extensión.
Saludos Título: Re: [Tutorial] Seguridad web By:Painboy Publicado por: CICOLO_111234 en 26 Abril 2009, 17:35 pm buen aporte ;D
Título: Re: [Tutorial] Seguridad web By:Painboy Publicado por: PanConMantequilla en 27 Abril 2009, 03:19 am @Rencoroso lo que haces con eso es por ejemplo sí tienes un archivo "index.extensión" lo lea como un servidor leeria un archivo "index.php" osea que en el navegador pondrías "www.tvpágina.com/index.extensión" y se mostraria tú index.php que lo único que tiene de especial es la extensión. Saludos Hola, gracias por responderme, y si entiendo a la perfeccion el asunto y como hacerlo, intento hacer lo que dices PERO a pesar de ello no resuelvo mi problema, este es un demo de lo que quiero decirles: DEMO AQUI (http://granpapi.com/TEST/test.fuck) fijense en el codigo fuente que muestra el codigo PHP y tampoco muestra el mensaje PHP, como digo "solo muestra HTML" tambien tengo que decir que cuando agrego al .htaccess el primer codigo no funciona, sino me da la opcion para descargar la pagina: Citar AddType application/x-httpd-html .fuck pero cuando agrego :Citar AddType x-httpd-html .fuck recien puedo ver resultados pero como dije, se puede ver el codigo PHP en el fuentealguna solucion?? :huh: 2 minutos despues: Ahora estoy realmente confundido, crei que era el codigo Citar AddType application/x-httpd-html .fuck que me permitia la descarga del archivo, pero creo que no es asi, la opcion para descargar noto que sale solo en Internet Explorer y en Mozilla no y no entiendo porque :huh:Título: Re: [Tutorial] Seguridad web By:Painboy Publicado por: pana88 en 29 Abril 2009, 12:57 pm loco te pasaste este post esta bien bueno .... nos veremos por ahi ... suerte
Título: Re: [Tutorial] Seguridad web By:Painboy Publicado por: pana88 en 29 Abril 2009, 13:15 pm va a aparecer 50.000.000 de veces jeje muy buena compilacion , y bastante bien echo ...saludos
Título: Re: [Tutorial] Seguridad web By:Painboy Publicado por: дٳŦ٭ en 6 Mayo 2009, 06:22 am Pues le falta no crees?. En nivel 0-10 donde el 10 es el más alto le daría un 7. Yo le agregaría:
Citar By Azielito Como todos sabemos podemos poner el archivo de conexion a la base de datos en un archivo, y, entonces mandamos a llamarlo y listo. Ahora bien, que pasa si antes de hacer la conexion limpiamos todas las variables que pasan por GET o POST (o por cookie)? asi tendremos siempre limpias nuestras variables y evitamos ataques XSS y SQLi. Código
Ahora solo nos queda insertar ese archivo cuando hacemos alguna operacion en MySQL y listo! nos olvidamos de limpiar las variables una a una para evitar los ataques antes mencionados. Para evitar ataques de RFI entonces en esta linea: Código Agregamos los dos puntos ( “:” ) y la diagonal ( “/” ) si sabemos que nunca se usaran estos caracteres en los campos de nuestra base de datos quedaría así: Código y quedamos seguros evitando que nos metan los “caracteres malditos”. By SMF: Código
Título: Re: [Tutorial] Seguridad web By:Painboy Publicado por: HardieVon en 8 Mayo 2009, 03:12 am en efecto lo que dice el chavo este tiene razón no esta muyy completo.
yo le doy un 4. le falto y en los htaccess esta muy fumado |