Ver Mensaje Individual
  #6 (permalink)  
Antiguo 29/09/2009, 21:57
Avatar de zerpico_01
zerpico_01
 
Fecha de Ingreso: enero-2008
Ubicación: Wilde - Avellaneda -
Mensajes: 421
Antigüedad: 16 años, 10 meses
Puntos: 13
Respuesta: Anti-injecion mysql

que diferncia hay entre usar -->stripslashes o --> addcslashes

porque francamente ya tengo los ojos morados leer y cada vez estoy mas confundido, me estoy volviendo paranoico.....

por otra parte creo que la mejor forma seria usar el htaccess e incluir estas lineas:
Código PHP:
##
Seguridad extra para PHP
php_flag safe_mode on
php_flag expose_php off
php_flag display_errors off
## Manejo de errores de Apache. Cuando se produzca uno de estos
erroresredirigimos a una pagina especial desarrollada por nosotros.
ErrorDocument 401 /error401.html
ErrorDocument 403 
/error403.html
ErrorDocument 404 
/error404.html RewriteEngine On Options
+FollowSymLinks
# Evitar escaneos y cualquier intento de manipulación malintencionada
# de la URL. Con esta regla es imposible lanzar ataques de inyección
(SQLXSSetc)
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(-|.|') [OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(<|>|%3C|%3E)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT}
^(.*)(libwww-perl|libwwwperl|snoopy|curl|wget|winhttp|python|nikto|scan|clshttp|archiver|loader|email|harvest|fetch|extract|grab|miner|suck|reaper|leach)(.*)
[NC,OR] RewriteCond %{REQUEST_URI}
^(/,|/;|/<|/>|/'
|/`|/%2C|/%3C|/%3E|/%27|/////) [NC,OR]
RewriteCond %{HTTP_REFERER}
^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|<|>|'|%3C|%3E|%26%23|%27|%60)(.*)
[NC,OR]
RewriteCond %{QUERY_STRING}
^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|%3C|%3E|%27|%26%23|%60)(.*)
[NC,OR]
RewriteCond %{QUERY_STRING}
^(.*)('|-|<|>|,|/|\\|\.a|\.c|\.t|\.d|\.p|\.i|\.e|\.j)(.*) [NC,OR]
RewriteCond %{HTTP_COOKIE} ^(.*)(<|>|'|%3C|%3E|%27)(.*) [NC]
RewriteRule ^(.*)$ error.php [NC]
## No permitir acceso al .htaccess
order allow,deny
deny from all ## Evitar que se liste el contenido de los directorios
Options All -Indexes ## Lo mismo que lo anterior
IndexIgnore * ## Denegar el acceso a robots dañinos, browsers offline,
etc
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} ^Anarchie [OR]
RewriteCond %{HTTP_USER_AGENT} ^ASPSeek [OR]
RewriteCond %{HTTP_USER_AGENT} ^attach [OR]
RewriteCond %{HTTP_USER_AGENT} ^autoemailspider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xenu [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus.*Webster [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus
##redireccionar a los robots a otra web
RewriteRule ^.*$ http://www.otraweb.com [R,L] # Protegerse contra los
ataques DOS limitando el tamaño de subida de archivos
LimitRequestBody 10240000 
colocando la parte de codigo que se necesita ¿que opinan?

tambien por todo lo que he leido he llegado a la conclusion que la validacion en javascript solo sirve para usuarios normales (sin intensiones malas) y que si agrego un validador en php para verificar los datos en el servidor es la solucion mas segura .... Pero he mirado muchos codigo que de muchos usarios que muestran como deterner caracteres especiales como * < etc etc ect....

pero la pregunta que me surge es ¿que pasa si un usario mal intesionado intentara convertir los caracteres considerados peligrosos como '<' y '>' a su
equivalente hexadecimal '&3C' y '%3E' respectivamente ?????

he analizado algunas clases como zend y cake y hecho las pruebas en mi red y usando un poco de logica me salteo tranquilamente la validacion de los formularios

Por ultimo alguien conoce alguna buena herramienta para scanear vulneralidades en aplicaciones,
por que he probado acunetix y no me sirve, encontre una interesante pero no tengo la menor idea de como se instala, o como se usa, pero tiene en su pagina una aplicacion basada en web y verdaderamete sirve pues encuentra errores y vulneralidades
la web de la aplicacion es :

http://pixybox.seclab.tuwien.ac.at/pixy/index.php

estoy pensando instalar algunas herramientas que usan los spamer y hac3er, para scanear mi aplicacion ...creo que si uso una de esas voy a encontrar seguro algun hueco..... el tema es que, si instalo alguna de esas, tal vez haga que mi red se infecte y pase segurametne a formar parte de alguna red sombi o en el mejor de los casos rompa todo y tenga que formatear mi rigido....

Por lo visto la profesion de spamer deja buen dinero y va en aumento, ademas las diferentes "malas" profesiones, como dueños y alquladores deredes sombi e intaladores de troyanos, estan sumando cada dia mas adeptos... por las ganancias que estas cosas dejan...

por lo que he leido la mayor parte de estas cosas provienen de rusia, dicen que es el pais por exelencia en este tipo de practicas... e incluso hay paginas que pagan a los uarios por maquina infectadas o por portales infectados e injectados!!! y lei que las ganacias promedio de un spamer medio es de 200mil dolares anuales (joder!!! ahora entiendo todo!!!)
y parece ser que la red que mas infecta a las pc es facebook ....

bueno creo que esto es mundo nuevo :

saludos a prepararse y a protegerse que, la soga viene con bosta !!! y hay que agarrarla con los dientes joder !!!

Última edición por zerpico_01; 29/09/2009 a las 22:22