Seguridad para mi pagina web

ivan_14 · #1 (**permalink**) 29/01/2010, 10:13

Hola a todos,,,

Necesito seguridad para mi web, que me recomiendad.
Por favor ayduenme.
gracias

JavierB · #2 (**permalink**) 29/01/2010, 10:21

Hola ivan_14

Muevo tu tema al foro de Seguridad y redes en dispositivos y software desde Web general.

Saludos,

LorDSitHLuiS · #3 (**permalink**) 29/01/2010, 11:07

A que tipo de seguridad te refieres?
Seguridad meramente de tu web? o seguridad de tu servidor?

Lo inseguro por asi decirlo seria de tu sevridor, asegura bien tu server mas que nada eso es lo importante es decir poner mucha atencion a las configuraciones de tus firewall y demas en tu server.

Y respecto a el contenido de tu pagina web pues hay muchas maneras para evitar la modificacion de contenido como poner la mayoria de tus aplicaciones en una ubicacion no publica fuera de la root y cargarlas mediante un comando de load seria una opcion.
Existe tambien la manera proteger a todas tus imagenes, podemos desactivar el uso del boton derecho del raton y asi evitar tambien de esta manera el plagio de informacion mediante el guardar xxx como o el guardar como.
Son solo unos ejemplos de movimientos que te puedes servir mucho dependiendo de tus intenciones para con la web que haras.

pasate por esta pagina y lleea es bastante interesante y t epuede servir
http://www.owasp.org/index.php/Main_Page
sino sabes ingles abrela mediante google y le oprimes en traducir.

probablemente esta pagina te ayude algo
http://guiaservermu.blogspot.com/200...ra-la-web.html

salu2

Kamae · #4 (**permalink**) 29/01/2010, 11:09

Buenas

Recibirías más ayuda si hubieras sido un poco más explícito en el tipo de web, en el lenguaje que está (sólo HTML? tiene PHP? formularios?)...

Suponiendo que uses PHP y formularios, lo primero es blindar todos los datos con htmlspecialchars() y con addslashes() al meterlos en la Base de Datos.

htmlspecialchars() sirve por si te meten en el formulario código en HTML (por ejemplo un <meta> que redireccionara a otra página). Con esta función trata esos datos como cadena de texto sin reconocer etiquetas HTML.

addslashes() es lo mismo pero a nivel de Base de Datos, si te ponen una comilla ( ' ) que es la que se usa para cerrar sentencias de SQL y seguidamente de la comilla una instrucción en SQL, podrían hacer lo que quisieran. Entonces lo que hace es tratar también la comilla como una comilla de texto, no como instrucción SQL. Verás que si luego recuperas datos de la BBDD saldrá por ejemplo "L\'Hospitalet de Llobregat". Para que muestre sin \ tienes que usar la función stripslashes().

Por ejemplo:

Código PHP:

  $dato1=htmlspecialchars(addslashes($dato1)); // Lo blinda para ponerlo luego en BBDD
$dato2=htmlspecialchars(addslashes($dato2)); // Lo blinda para ponerlo luego en BBDD
// Insertas estos datos blindados en la BBDD
...
...
echo stripslashes($dato1); // Quita el blindado para q se lea correctamente
echo stripslashes($dato2); // Quita el blindado para q se lea correctamente

Luego es recomendable que si trabajas con formularios uses el método POST antes que el GET (¿diferencias?), o almenos dependiendo de lo delicados que sean los datos, ya que por GET se ven arriba en la barra de navegación pero con POST no.

Todas las contraseñas que guardes en Bases de Datos codifícalas antes con MD5. Esto en PHP es tan fácil como usar la función md5(). Luego sólo tienes que tener en cuenta que cuando el usuario ponga la contraseña, la codifiques en md5 también para que pueda ser comparada con la de la BBDD. Por ejemplo:

Código PHP:

  // Guardamos una contraseña en la BBDD
$contrasenya=md5($contrasenya);
...
...
// Comparamos si la contraseña que introduce un usuario es correcta
// Recuperamos la contrasenya de la Base de Datos, $contrasenyaBBDD
if( md5($_POST["contrasenyaEntradaPorElUsuario"]) == $contrasenyaBBDD ){
   // Correcto
}else{
  // Incorrecto
}

Y finalmente, en tu servidor donde esté la web, quitar de la parte pública todos los archivos de configuración. Los archivos de configuración van en la parte privada, y los ficheros de la parte pública pueden acceder a todo el disco (incluso la parte privada). En cambio, si pones la configuración de tu servidor en la parte pública, está visible para el resto.

Esto es todo lo que se me ocurre ahora mismo, espero que te sirva de ayuda, aunque no sé si te referías a esto..

Saludos!

PD: Si usas otros lenguajes de programación diferentes a PHP, busca la equivalencia de las funciones que mencioné (md5, addslashes, stripslashes, htmlspecialchars...) para el lenguaje que tú uses, en el Google.

ivan_14 · #5 (**permalink**) 29/01/2010, 11:43

HOLA,,,
Yo necesito seguridad antihack, porque tengo un conocido que hackea paginas web.
Y yo quiero estar bien preparado.
Miren esta era mi pagina pero la hagarro el y ... http://noseconcigue.es.tl/
Estaba re buena mi pagina, pero me la re cago, ME ENTIENDEN.
Si saven a lo que me refiero porfavor ayudenme, este pibe me va a hackear mi nueva pagina sino. Encima lo peor de todo es que en esta pagina invertí plata.
saludos y gracias

LorDSitHLuiS · #6 (**permalink**) 30/01/2010, 04:20

pero coment si te sirvio de algo lo que pusimos para saber por que ambito nos iremos

comenta ademas la info completa de tu maquina y de tu lenguaje de programacion web

hace falta mas info

prueba todo lo que te pusimos puestyo que no hay un programa que por si solo te resuelva los problemas que planteas

tienes que ser mas especifico

salu2

ivan_14 · #7 (**permalink**) 30/01/2010, 14:48

HOLA A TODOS,,,

Si me sirvio muchisimo y les agradesco su ayuda,
yo queria los codios php, pero yo no savia que habia que hacer para ponerle seguridad por eso, pero muchas gracias.