[pyar] Me prueban un sitio?

[Juan Carlos Ojeda]

2011/8/31 DuDe SL <dudesl en gmail.com>

>
> El 31 de agosto de 2011 18:12, Roberto Alsina <ralsina en netmanagers.com.ar>escribió:
>
>>  On 8/31/2011 2:53 PM, Juan Carlos Ojeda wrote:
>>
>> 2011/8/31 Roberto Alsina <ralsina en netmanagers.com.ar>
>>
>>> On 8/31/2011 11:07 AM, DuDe SL wrote:
>>>
>>>>
>>>> Seguridad: en el parametro url podes hacer xss, lo mismo en el campo de
>>>> la url a acortar. Saludos!
>>>>
>>>
>>>  Un xss? Como? para que? :-)
>>>
>>>   Un XSS es como un defaceo on the fly,
>> o sea podes generar un link que altera el contenido de la pagina,
>> algo asi, dicho en chabacano...   :P
>>
>>
>> El contenido de la página es estático. Excepto la parte que depende de con
>> que usuario entraste, con lo que el único que ve la página "rota" sos vos...
>>
>> O sea, no digo que no haya vulnerabilidades en el sitio, es más, sospecho
>> que las hay, pero no tengo idea de cuales son, y me interesa que me
>> expliquen :-)
>>
>> _______________________________________________
>> pyar mailing list pyar en python.org.ar
>> http://listas.python.org.ar/listinfo/pyar
>>
>> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>>
>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>> Argentina - http://www.usla.org.ar
>>
>
> Es conveniente, siempre q tenes un formulario, asi sea de un campo,
> controlar que los datos que se envian en ese campo no tengan cosas
> raras...proba poniendo en le campo url <script>alert("un texto")</script>.
> Es dice Juan Carlos, es on the fly, pero no deja de ser inseguro...no se que
> tendra python para eso, pero casi todos los lenguajes tienen funciones para
> controlar el contenido enviado en los campos, como para hacer validaciones
> de seguridad.
>
> No pude hacer otras pruebas como modificar las cabeceras http, pero habria
> q ver tambien q onda los parametros q viajan en la peiticion...y por lo que
> entiendo, el sitio no hace llamadas a bases de datos, por lo que una
> inyeccion sql no es posible, hay q ver si es posible inyectar codigo, no se
> en python, pero con php uno puede llegar a inyectar codigo php y mandarse
> cualquiera
>
> Tampoco tenes que confiarte de los usuarios logueados o registrados, por
> que es muy facil mentir en eso, yo me puedo hacer un facebook trucho, un
> mail trucho, un twitter trucho, loguearme en tu sistema y hacer cualquiera
> ahi adentro.
>
> Espero te sirvan estos consejos!
>
> -- Santiago Barchetta -- Web Development
> _______________________________________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>

ESTO ES CLIENT-SIDE:

<input type="text" id="chat" placeholder=" Escribe y presiona Enter"
title="No Spamm" autocomplete="off" pattern="^[A-Za-z0-9 _]{2,70}[A-Za-z0-9
_]{2,70}$" required />

Es un CopyPaste de un Chat en HTML5 que hice,
usa una RegEx en "pattern=" para solo permitir numeros y letras,
mayuscula, minuscula, de entre 4 y 140 caracteres,
el campo no puede estar vacio,
deshabilita el Autocompletado del Browser.
Por ejemplo, ahi no podes pasar una URL o un Mail.

Lo Server-side dependera de tu implementacion Python.
Y tambien requiere su debida atencion.
-- 
.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20110831/fe97f755/attachment.html>