telefonia
INFORMACION
Seguridad en Aplicaciones y
Desarrollo de Sistemas
DESARROLLO DE APLICACIONES SEGURAS
Para desarrollar una aplicación segura deberemos tener en cuenta lossiguientes
aspectos:
1.Control de la entrada: validar todas las entradas
2.Gestión de memoria: desbordamiento de buffers
3.Estructura interna y diseño del programa.
4.Llamadas a recursos externos:bibliotecas, scripts, ...
5.Control de la salida: formato, restricciones, ...
6.Problemas de los lenguajes de programación
7.Otros: algoritmos criptográficos, de autentificación, ...
CONTROL DEENTRADA
● Hay que validar todas las entradas que vienen de fuentes no fiables.
● Se debe determinar qué es legal y rechazar lo que no lo sea; siempre se debe
verificar que algo es legal, laaproximación contraria (detección de entradas
erroneas) puede fallar. El sistema se debe verificar generando entradas erróneas
desconocidas.
● Hay que limitar la longitud máxima de la entradaVALIDACIÓN DE CADENAS Y NÚMEROS
● Vigilar caracteres especiales:
– Caracteres de control
– Caracteres especiales para el Shell, SQL, etc.
– Delimitadores (p. ej. tabuladores, comas, :, etc.).
– Verificarla códificación y decodificación de URLs y la validez de los juegos de
caracteres.
– Minimizar las decodificaciones; no decodificar más de una vez de modo
innecesario.
● Números: verificarmáximos, mínimos y ceros.
VALIDACIÓN DE OTROS TIPOS DE DATOS
● Direcciones de correo: ver RFC 2822 y 822.
● Nombres de fichero: Omitir caracteres especiales (/, '\n', '”', ...), omitir '../' de lospatrones legales y no expandir expresiones regulares.
● Cookies: comprobar dominios.
● HTML/XML: prevenir cross-posting.
● URI/URL: validar antes de procesar.
● Locales: validar nombre del local([A-Za-z][A-Zaz0-9_,+@\-\.=]*) y rutas antes de usarlos.
VALIDACIÓN DE OTROS TIPOS DE DATOS
● Vigilar caracteres especiales:
– Caracteres de control
– Caracteres especiales para el Shell,...
Regístrate para leer el documento completo.