30 de mayo

Seguridad de aplicaciones Web

Web Comentarios ofrecer

Acabo de recibir algo a mis viejos ct 'buscan en revistas y me encontré con el tema 26/2006 sobre la seguridad de las aplicaciones web muy interesante artículo. Es una vez más en detalle los ataques actualmente comunes, tales como

  • Cross Site Scripting
  • Ejecución remota de código y
  • De inyección SQL

explicó. Especialmente las aplicaciones web 2.0 son vulnerables, porque aquí se puede jugar todo el ataque en el ordenador del usuario.
La mayoría de servicios de alojamiento web compartido se basa en PHP. Un problema importante con PHP es que las normas de seguridad (en php.ini) sólo puede ser global, no para cada conjunto de aplicaciones varias a la vez. Por lo tanto, a menudo los parámetros de seguridad se ajustan menos a ejecutar los scripts de los clientes. Los parámetros más importantes para la seguridad son los siguientes:

Parámetro Descripción
register_globals = off impide que las asignaciones de variables en las peticiones HTTP y cookies variables globales del programa anulan
allow_url_fopen = apagado se asegura de que los scripts PHP puede incorporar sólo los archivos locales en el servidor
safe-mode = on causas, entre otras cosas, que el proceso PHP puede acceder a los archivos y directorios que pertenezcan al usuario, se ejecuta con los privilegios del proceso PHP
open_basedir = / ruta / a / www carpeta especifica un directorio, abra fuera de los scripts PHP no puede archivos.
display_errors = Off En caso de errores en los scripts PHP, el PHP suprime su propio mensaje de error, se incluyen entre otras cosas, la ruta del sistema de archivos para la aplicación web

Fuente ct '26 / 2006

El recurso en línea para los artículos son muy interesantes:

  1. Demostración en línea conocidas vulnerabilidades XSS
  2. Detalles sobre la vulnerabilidad en el Foro de Empleo de T-Online ( ahora fijo )
  3. Explicación de inyección de SQL en la Wikipedia
  4. Manual de PHP
  5. La extensión de copia de seguridad para Apache suEXEC
  6. Documentación para el modo seguro de PHP
  7. Servidor Web seguro con mod_security

gklinkmann escrito por \ \ tags: ,

Añadir un comentario

Sí, me gustaría ser notificado sobre comentarios!