[pyar] Me prueban un sitio?
DuDe SL
dudesl en gmail.com
Mie Ago 31 15:37:33 ART 2011
El 31 de agosto de 2011 18:12, Roberto Alsina
<ralsina en netmanagers.com.ar>escribió:
> On 8/31/2011 2:53 PM, Juan Carlos Ojeda wrote:
>
> 2011/8/31 Roberto Alsina <ralsina en netmanagers.com.ar>
>
>> On 8/31/2011 11:07 AM, DuDe SL wrote:
>>
>>>
>>> Seguridad: en el parametro url podes hacer xss, lo mismo en el campo de
>>> la url a acortar. Saludos!
>>>
>>
>> Un xss? Como? para que? :-)
>>
>> Un XSS es como un defaceo on the fly,
> o sea podes generar un link que altera el contenido de la pagina,
> algo asi, dicho en chabacano... :P
>
>
> El contenido de la página es estático. Excepto la parte que depende de con
> que usuario entraste, con lo que el único que ve la página "rota" sos vos...
>
> O sea, no digo que no haya vulnerabilidades en el sitio, es más, sospecho
> que las hay, pero no tengo idea de cuales son, y me interesa que me
> expliquen :-)
>
> _______________________________________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
Es conveniente, siempre q tenes un formulario, asi sea de un campo,
controlar que los datos que se envian en ese campo no tengan cosas
raras...proba poniendo en le campo url <script>alert("un texto")</script>.
Es dice Juan Carlos, es on the fly, pero no deja de ser inseguro...no se que
tendra python para eso, pero casi todos los lenguajes tienen funciones para
controlar el contenido enviado en los campos, como para hacer validaciones
de seguridad.
No pude hacer otras pruebas como modificar las cabeceras http, pero habria q
ver tambien q onda los parametros q viajan en la peiticion...y por lo que
entiendo, el sitio no hace llamadas a bases de datos, por lo que una
inyeccion sql no es posible, hay q ver si es posible inyectar codigo, no se
en python, pero con php uno puede llegar a inyectar codigo php y mandarse
cualquiera
Tampoco tenes que confiarte de los usuarios logueados o registrados, por que
es muy facil mentir en eso, yo me puedo hacer un facebook trucho, un mail
trucho, un twitter trucho, loguearme en tu sistema y hacer cualquiera ahi
adentro.
Espero te sirvan estos consejos!
-- Santiago Barchetta -- Web Development
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20110831/e2ee1d7e/attachment.html>
More information about the pyar
mailing list