Category: .NET

Programación usando Microsoft .NET

Categories
.NET ASP.NET Web

Protección de archivos con ASP.NET 2 e IIS 6

En ciertas ocasiones, es necesario controlar el acceso a los recursos o archivos de nuestra aplicación, bien sea por permitir sólo a usuarios registrados o con la intención de monitorear el número de descargas de éstos.

Todos los archivos relacionados a ASP.NET (aspx, asmx, ashx, asax, etc) son procesados por el runtime de ASP.NET y es por este motivo que se puede especificar que controlador HTTP se hará cargo de un determinado documento, a su vez también están disponibles los mecanismos de autenticación y autorización para éstos.

Continue reading "Protección de archivos con ASP.NET 2 e IIS 6"
Categories
.NET Recursos

E-book gratuito sobre threading en C#

Si les interesa la programación multihebra, seguramente el siguiente libro, disponible en versión HTML y PDF, les será de utilidad.

Categories
.NET ASP.NET PHP Seguridad XSS

Problema con los filtros genéricos

Hoy, acabo de encontrar en un foro la siguiente porción de código, que según su autor protege de ataques SQL Injection y XSS:

php:

# Función para evitar ataques SQL injection y XSS
function limpiar_sql($value){
    $value = trim(htmlentities($value)); // Evita introducción código HTML
    if (get_magic_quotes_gpc()) $value = stripslashes($value);
    $value = mysql_real_escape_string($value);
    return $value;
}

El problema con este tipo de funciones es que dan una falsa sensación de seguridad si éstas no son aplicadas en el lugar correcto, por ejemplo si intentamos usar esa función para el siguiente ejemplo:

php:

$url = limpiar_sql($_POST['url']);
// Guardar el valor...

// Mostrar la url
echo '<a href="' . $url . '">enlace</a>";

Veremos que la porción de código mostrada es vulnerable a XSS si el valor de url contiene algo como javascript:alert(document.cookie).

Si recordamos una entrada anterior, el bug en asp.net que permite realizar ataques XSS tiene un problema similar (uso de HttpUtility.HtmlEncode en lugar de HttpUtility.UrlEncode).

Como reflexión final, si queremos hacer uso de este tipo de funciones para validar/filtrar todos nuestros datos, debemos saber realmente que estamos haciendo.

Categories
.NET ASP.NET Microsoft Windows Forms

Cuarta Estrella de Desarrollador Cinco Estrellas

Después de tanto tiempo está disponible una nueva estrella de este programa, por lo visto, le están dando mayor énfasis a .NET 3.0 -imagino que no quieren que pase lo mismo que pasó con el anterior programa, que quedó desactualizado con la salida de .NET 2.0

Con la llegada de Windows Vista MSDN quiere ofrecerte todo lo necesario para afrontar la nueva ola de desarrollo de aplicaciones, recibiendo entrenamientos con contenido inédito y de primera mano, desarrollados por los más reconocidos especialistas de la región. Capacítate primero en .NET Framework 3.0 y el desarrollo de aplicaciones para Windows Vista.

La Cuarta Estrella te ofrece capacitación en la siguiente temática:

  • Desarrollo de aplicaciones para Windows Vista
  • Microsoft .NET Framework 3.0
    • Microsoft CardSpace
    • Windows Presentation Foundation (WPF)
    • Windows Communication Foundation (WCF)
    • Windows Workflow Foundation (WWF)
Categories
.NET ASP.NET Seguridad XSS

Cross Site Scripting (XSS) en ASP.NET

En una entrada anterior había prometido comentar un pequeño bug presente en asp.net 2 -y probablemente versiones anteriores.

Continue reading "Cross Site Scripting (XSS) en ASP.NET"