Artículos y opiniones sobre seguridad Web, SQL Injection, XSS, etc.
Jeremiah Grossman, fundador de WhiteHat Security, publicó un reporte que muestra datos muy interesantes sobre el estado de la seguridad en aplicaciones web.
Según este reporte, de cada 10 sitios web que usan aplicaciones web hechas a medida, 8 tienen problemas de seguridad.
Pueden encontrar más información en los siguientes documentos:
La revista (IN)SECURE -relacionada a seguridad- acaba de publicar una nueva edición para el mes de Diciembre, en el que trata los siguientes temas:
La mencionada edición, se puede descargar libremente en formato PDF
El código que se muestra a continuación, es un ejemplo simplificado del comportamiento que ofrece en una de sus secciones, un -importante- diario español.
¿Qué condiciones se deben dar para que el siguiente código sea vulnerable a XSS?
<head>
<title>Test</title>
</head>
<body>
<?php echo htmlentities($_GET['mensaje'], ENT_COMPAT, 'utf-8'); ?>
</body>
</html>
Nota: la codificación del documento que contiene el código mostrado es UTF-8.
Se deben cumplir las siguientes condiciones para que la vulnerabilidad se haga evidente:
mensaje un texto en formato UTF-7 u otro.He puesto el código en http://test.buayacorp.com/xss.php para efectos de prueba (para ver el mensaje, usen IE con la mencionada opción habilitada - Ver->Codificación->Selección Automática).
Poner de manera explícita la codificación adecuada, a través de cabeceras HTTP o del elemento meta.
Quieres reportar un simple error sobre seguridad -que se explica en un par de líneas- en una página y te encuentras solamente con el siguiente formulario para hacerlo:
