Modulo de seguridad para php
Páginas: 4 (897 palabras)
Publicado: 23 de noviembre de 2010
Desarrollo de Código Seguro
22 y 27 de Septiembre de 2004
Facultad Regional Concepción del Uruguay Universidad Tecnológica Nacional
Seguridad en PHP
– Lineamientos Generales. – Filtrado de laEntrada. – Utilización de Librerías. – Diseño en Tres Capas.
Gabriel Arellano
arellanog@frcu.utn.edu.ar
Alejandro de Brito Fontes
debritoa@frcu.utn.edu.ar
Introducción
PHP es un lenguajeque en casi todos los casos estará soportando aplicaciones accesibles vía Internet. Por esto se deben tener en cuenta aspectos de seguridad que normalmente se pasarían por alto en el caso de lenguajesde programación tradicionales.
Register Globals
La directiva register_globals permite que las variables pasadas por el cliente se registren como variables globales en nuestras aplicaciones. Estadirectiva está desabilitada por defecto desde la versión 4.1.0 de PHP.
En principio: • Considere los usos ilegítimos de su aplicación. • Filtre la información proveniente del exterior. • Investigueconstantemente. Esta directiva en sí no es una vulnerabilidad, pero representa un riesgo de seguridad. Por lo tanto debería diseñar sus aplicaciones para que funcionen sin register_globals activada. Register Globals
Tomemos este ejemplo:
Register Globals
Recomendaciones: •Inicializar todas la variables antes de utilizarlas.
Si register_globals estuviera activada e hiciera una consultacomo esta:
script.php?path=http%3A%2F%2Fhacker.org%2F%3F
•Establecer error_reporting a E_ALL durante el desarrollo. •Siempre tomar los valores de los arreglos _POST y _GET. •Evitar trabajar conregister_globals activado.
Mi script quedaría:
Filtrado de la Entrada
Como afirmamos varias veces, el filtrado de la información que el cliente envía es la pieza fundamental de la seguridad web.Esto involucra establecer mecanismos mediante los cuales se pueda determinar la validez de los datos que están siendo enviados. Un buen diseño debe ayudar a los desarrolladores a: • Asegurar que el...
22 y 27 de Septiembre de 2004
Facultad Regional Concepción del Uruguay Universidad Tecnológica Nacional
Seguridad en PHP
– Lineamientos Generales. – Filtrado de laEntrada. – Utilización de Librerías. – Diseño en Tres Capas.
Gabriel Arellano
arellanog@frcu.utn.edu.ar
Alejandro de Brito Fontes
debritoa@frcu.utn.edu.ar
Introducción
PHP es un lenguajeque en casi todos los casos estará soportando aplicaciones accesibles vía Internet. Por esto se deben tener en cuenta aspectos de seguridad que normalmente se pasarían por alto en el caso de lenguajesde programación tradicionales.
Register Globals
La directiva register_globals permite que las variables pasadas por el cliente se registren como variables globales en nuestras aplicaciones. Estadirectiva está desabilitada por defecto desde la versión 4.1.0 de PHP.
En principio: • Considere los usos ilegítimos de su aplicación. • Filtre la información proveniente del exterior. • Investigueconstantemente. Esta directiva en sí no es una vulnerabilidad, pero representa un riesgo de seguridad. Por lo tanto debería diseñar sus aplicaciones para que funcionen sin register_globals activada. Register Globals
Tomemos este ejemplo:
Register Globals
Recomendaciones: •Inicializar todas la variables antes de utilizarlas.
Si register_globals estuviera activada e hiciera una consultacomo esta:
script.php?path=http%3A%2F%2Fhacker.org%2F%3F
•Establecer error_reporting a E_ALL durante el desarrollo. •Siempre tomar los valores de los arreglos _POST y _GET. •Evitar trabajar conregister_globals activado.
Mi script quedaría:
Filtrado de la Entrada
Como afirmamos varias veces, el filtrado de la información que el cliente envía es la pieza fundamental de la seguridad web.Esto involucra establecer mecanismos mediante los cuales se pueda determinar la validez de los datos que están siendo enviados. Un buen diseño debe ayudar a los desarrolladores a: • Asegurar que el...
Leer documento completo
Regístrate para leer el documento completo.