Category: Web

Reflector 5.0

Post author By alex
Post date 21 febrero 2007

Al parecer ayer se liberó una nueva versión de Reflector, una herramienta muy útil que permite explorar, analizar, ver, etc. los ensamblados de .NET.

Entre las novedades que trae esta versión, están:

Soporte para LINQ y el .NET Framework 3. 5
Existe un nuevo protocolo "code://" que hace que Reflector cargue el tipo especificado, por ejemplo code://System.Web/System.Web.HttpResponse/TransmitFile(String) debería ubicarlos en el método TransmitFile de la clase HttpResponse.
Existe la posibilidad de registrar una extensión (Reflector.exe /register) para que cada vez que se haga click derecho sobre un ensamblado compatible con .NET, aparezca una opción "Browse with .NET Reflector" en el menú contextual.

Para sacarle más provecho a esta herramienta, se pueden agregar plugins de acuerdo a las necesidades que tenga uno.

.NET ASP.NET Desarrollo de Software Web

Response.TransmitFile, nueva forma para enviar archivos al cliente en ASP.NET 2

Post author By alex
Post date 20 febrero 2007
8 Comments on Response.TransmitFile, nueva forma para enviar archivos al cliente en ASP.NET 2

Existen algunos escenarios donde hay la necesidad de que antes de autorizar la descarga de un archivo desde nuestra aplicación, debamos realizar algún tipo de proceso. En estos casos lo que básicamente hacía es lo siguiente:

csharp:

// Algun tipo de validación o proceso
// ...
string file = Request.Params["file"];
if(!string.IsNullOrEmpty(file))
{

    file = Path.Combine(Server.MapPath("downloads"), Path.GetFileName(file));
    Response.Clear();

    Response.ContentType = "application/octect-stream";

    Response.AddHeader("Content–Disposition", "attachment; filename=foo.xyz");

    Response.WriteFile(file);

    Response.End();

}

Menéame Seguridad Web XSS

Menéame y las cookies HttpOnly

Post author By alex
Post date 19 febrero 2007

Este último fin de semana finalmente fue incluido un parche para que la cookie donde se almacena las credenciales del usuario, sea marcada con la propiedad HttpOnly

Se hizo esta sugerencia gracias a un bug (XSS) -sobre el que comentaré dentro de unos días- que afectaba principalmente a todas las versiones de Internet Explorer, funcionaba porque este navegador hace posible la ejecución de javascript desde CSS.

Si bien es cierto que esta nueva característica incluida en menéame no evita del todo el robo de cookies, por lo menos limitará un poco más el número de vectores de ataques XSS.

Seguridad Web WordPress XSS

Nueva vulnerabilidad de WordPress

Post author By alex
Post date 18 febrero 2007

Héctor comentaba sobre la liberación de una nueva versión de wordpress que corregía un bug presente en las ramas 2.0 y 2.1 de este CMS.

Este error se presenta en la función wp_nonce_ays (archivo wp-includes/functions.php), porque la variable $action no está correctamente validada y en algunos casos, ésta puede ser modificada por el cliente. Por ejemplo http://vulnerable.com/wp-admin/plugins.php?action=activate&plugin=<script>alert(/XSS/)<script> es un posible vector de ataque.

php:

function wp_nonce_ays($action){
global$pagenow, $menu, $submenu, $parent_file, $submenu_file;
        $adminurl = get_option('siteurl') . '/wp-admin';

        if ( wp_get_referer() )

                $adminurl = wp_get_referer();
        $title = __('WordPress Confirmation');

        // Remove extra layer of slashes.

        $_POST   = stripslashes_deep($_POST  );

        if ( $_POST ) {

                $q = http_build_query($_POST);

                $q = explode( ini_get('arg_separator.output'), $q);

                $html .= "\t<form method='post' action='$pagenow'>\n";

                foreach ( (array) $q as $a ) {

                        $v = substr(strstr($a, '='), 1);

                        $k = substr($a, 0, -(strlen($v)+1));

                        $html .= "\t\t<input type='hidden' name='" . attribute_escape(urldecode($k)) . "' value='" . attribute_escape(urldecode($v)) . "' />\n";

                }

                $html .= "\t\t<input type='hidden' name='_wpnonce' value='" . wp_create_nonce($action) . "' />\n";

X              $html .= "\t\t<div id='message' class='confirm fade'>\n\t\t<p>" . wp_explain_nonce($action) . "</p>\n\t\t<p><a href='$adminurl'>" . __('No') . "</a> <input type='submit' value='" . __('Yes') . "' /></p>\n\t\t</div>\n\t</form>\n";

        } else {

X              $html .= "\t<div id='message' class='confirm fade'>\n\t<p>" . wp_explain_nonce($action) . "</p>\n\t<p><a href='$adminurl'>" . __('No') . "</a> <a href='" . add_query_arg( '_wpnonce', wp_create_nonce($action), $_SERVER['REQUEST_URI'] ) . "'>" . __('Yes') . "</a></p>\n\t</div>\n";

        }

        $html .= "</body>\n</html>";

        wp_die($html, $title);

}

Para corregir este fallo, simplemente hay que aplicar la función wp_specialchars sobre la salida de wp_explain_nonce en las línes marcadas con X:

php:

wp_specialchars(wp_explain_nonce($action));

Aprovechando este suceso, finalmente actualicé el blog a la versión 2.1 de WordPress e instalé el plugin wp-cache; si notan algún error, les estaré muy agradecido si me lo hacen saber.

.NET ASP.NET Firefox Internet Explorer Seguridad Web XSS

Mitigar el robo de cookies a través del atributo HttpOnly

Post author By alex
Post date 13 febrero 2007
2 Comments on Mitigar el robo de cookies a través del atributo HttpOnly

El Service Pack 1 y las versiones posteriores de Microsoft Internet Explorer 6 admiten la propiedad HttpOnly para las cookies, que puede ayudar a mitigar las amenazas a las secuencias de comandos entre sitios que originan cookies robadas. Las cookies robadas pueden contener información confidencial que identifique al usuario en el sitio, como el id. de sesión de ASP.NET o el vale de autenticación mediante formularios, que el atacante puede reproducir para hacerse pasar por el usuario u obtener información confidencial. Cuando un explorador compatible recibe una cookie HttpOnly, ésta resulta inaccesible para la secuencia de comandos de cliente.

Establecer la propiedad HttpOnly no evita que un atacante con acceso al canal de la red obtenga acceso a la cookie directamente.

Tal como se puede observar en la cita, al usar este tipo de cookies se ofrece más protección para evitar robo de los mismos a través de ataques XSS, puesto que no es posible acceder a los valores marcados con este atributo desde javascript.

En ASP.NET 2, para habilitar esta característica, se puede hacer a nivel individual o para todas las cookies de la aplicación.

Para el primer caso, sólo es necesario asignar en true la propiedad Secure del cookie.

csharp:

Response.Cookies["test"].Secure = true;

Para que esta característica englobe a todas las cookies de la aplicación, simplemente hay que cambiar la propiedad httpOnlyCookies de la sección httpCookies del Web.config

xml:

<?xml version="1.0"?>

<configuration>

  <system.web>

    <compilation debug="false"/>

    <authentication mode="Forms">

      <forms name="__auth" defaultUrl="default2.aspx" cookieless="AutoDetect" path="/" loginUrl="default.aspx">

      </forms>

    </authentication>

    <authorization>

      <deny users="?"/>

    </authorization>

    <httpCookies httpOnlyCookies="true"/>

  </system.web>

</configuration>

Al hacer estos cambios, las cabeceras que se envían al cliente son las siguientes:

code:

HTTP/1.1 200 OK

Server: ASP.NET Development Server/8.0.0.0

Date: Tue, 13 Feb 2007 13:03:29 GMT

X-AspNet-Version: 2.0.50727

Set-Cookie: test=foo; path=/; secure; HttpOnly     ---> el atributo secure es por Response.Cookies["test"].Secure = true;

Set-Cookie: demo=5; path=/; HttpOnly

Cache-Control: private

Content-Type: text/html; charset=utf-8

Connection: Close

Si se quisiera utilizar este tipo de cookies desde otros lenguajes que no dan soporte para esta característica, lo único que se tiene que agregar en las cabeceras es el texto HttpOnly luego de definir nuevas cookies, por ejemplo en PHP podríamos hacer algo como lo que sigue*.

php:

setcookie('foo', 'test', null, '/;HttpOnly');

Por el momento esta característica está disponible de manera nativa sólo en Internet Explorer, para Firefox tenemos que hacer uso de extensiones como las de Stefan Esser, que en realidad sólo renombra las cookies y encripta el contenido de éstas.

* Al parecer en PHP 5.2 ya hay un soporte para esta característica.