Seguridad en Django
Páginas: 3 (708 palabras)
Publicado: 29 de septiembre de 2014
Seguridad en Django:
Primer punto que Django hace mucha énfasis a un desarrollador es que nunca confíe en datos enviados por un navegador.
Primero se van a hablar de las vulnerabilidades endesarrollo web más comunes, claro no se pueden cubrir tan a fondo, pero si hablar en general de las brechas que usan los hackers para acceder a nuestro sistema.
Entre las fallas más comunes encontramos:1. Inyección de SQL: Es un exploit común en el cual un usuario (atacante) altera los parámetros que la página genera por unos propios, para insertar fragmentos aleatorios de prueba de SQL que unaaplicación mal implementada ejecuta directamente en su base de datos. Es la más peligrosa y una de las más comunes, por lo tanto una vulnerabilidad latente.
Aunque este es un problema algo enfadoso yhay situaciones que es difícil de detectar, pero la solución es simple, siempre escapar los datos insertados por el usuario cuando lo convertimos a una consulta de SQL.
SOLUCIÓN ofrecida por Django:escapar automáticamente todos los parámetros especiales SQL, de acuerdo a convenciones de la utilización de comillas del servidor de base de datos que se utilice, como pueden ser: MySQL, PostgreSQL,etc.
Aunque aplica en la totalidad de la API de bases de datos de Django, hay un par de excepciones:
El argumento WHERE del método extra(). En el cual dicho parámetro acepta SQL directamente.Consultas realizadas manualmente usando la API de base de datos de nivel más bajo.
2. Cross-Site Scripting (XSS)
El Cross-Site scripting puede encontrarse en aplicaciones Web que tienen fallas a la horade escapar de manera adecuada el contenido recuperado por el usuario antes de renderizarlo en HTML. Esto le da oportunidad a un atacante de insertar HTML arbitrarios en el sitio Web, comúnmente conetiquetas .
Los atacantes usan XSS para robar información de cookies y sesiones, o para engañar usuarios y lograr conseguir información privada y que lo almacene la persona equivocada.
SOLUCIÓN de...
Primer punto que Django hace mucha énfasis a un desarrollador es que nunca confíe en datos enviados por un navegador.
Primero se van a hablar de las vulnerabilidades endesarrollo web más comunes, claro no se pueden cubrir tan a fondo, pero si hablar en general de las brechas que usan los hackers para acceder a nuestro sistema.
Entre las fallas más comunes encontramos:1. Inyección de SQL: Es un exploit común en el cual un usuario (atacante) altera los parámetros que la página genera por unos propios, para insertar fragmentos aleatorios de prueba de SQL que unaaplicación mal implementada ejecuta directamente en su base de datos. Es la más peligrosa y una de las más comunes, por lo tanto una vulnerabilidad latente.
Aunque este es un problema algo enfadoso yhay situaciones que es difícil de detectar, pero la solución es simple, siempre escapar los datos insertados por el usuario cuando lo convertimos a una consulta de SQL.
SOLUCIÓN ofrecida por Django:escapar automáticamente todos los parámetros especiales SQL, de acuerdo a convenciones de la utilización de comillas del servidor de base de datos que se utilice, como pueden ser: MySQL, PostgreSQL,etc.
Aunque aplica en la totalidad de la API de bases de datos de Django, hay un par de excepciones:
El argumento WHERE del método extra(). En el cual dicho parámetro acepta SQL directamente.Consultas realizadas manualmente usando la API de base de datos de nivel más bajo.
2. Cross-Site Scripting (XSS)
El Cross-Site scripting puede encontrarse en aplicaciones Web que tienen fallas a la horade escapar de manera adecuada el contenido recuperado por el usuario antes de renderizarlo en HTML. Esto le da oportunidad a un atacante de insertar HTML arbitrarios en el sitio Web, comúnmente conetiquetas .
Los atacantes usan XSS para robar información de cookies y sesiones, o para engañar usuarios y lograr conseguir información privada y que lo almacene la persona equivocada.
SOLUCIÓN de...
Leer documento completo
Regístrate para leer el documento completo.