[pyar] Me prueban un sitio?

[Roberto Alsina]

On 8/31/2011 3:37 PM, DuDe SL wrote:
>
> El 31 de agosto de 2011 18:12, Roberto Alsina 
> <ralsina en netmanagers.com.ar <mailto:ralsina en netmanagers.com.ar>> escribió:
>
>     On 8/31/2011 2:53 PM, Juan Carlos Ojeda wrote:
>>     2011/8/31 Roberto Alsina <ralsina en netmanagers.com.ar
>>     <mailto:ralsina en netmanagers.com.ar>>
>>
>>         On 8/31/2011 11:07 AM, DuDe SL wrote:
>>
>>
>>             Seguridad: en el parametro url podes hacer xss, lo mismo
>>             en el campo de la url a acortar. Saludos!
>>
>>
>>         Un xss? Como? para que? :-)
>>
>>     Un XSS es como un defaceo on the fly,
>>     o sea podes generar un link que altera el contenido de la pagina,
>>     algo asi, dicho en chabacano...   :P
>
>     El contenido de la página es estático. Excepto la parte que
>     depende de con que usuario entraste, con lo que el único que ve la
>     página "rota" sos vos...
>
>     O sea, no digo que no haya vulnerabilidades en el sitio, es más,
>     sospecho que las hay, pero no tengo idea de cuales son, y me
>     interesa que me expliquen :-)
>
> Es conveniente, siempre q tenes un formulario, asi sea de un campo, 
> controlar que los datos que se envian en ese campo no tengan cosas 
> raras...proba poniendo en le campo url <script>alert("un 
> texto")</script>. Es dice Juan Carlos, es on the fly, pero no deja de 
> ser inseguro...

Lo probé. No hace nada. Bah, da un error, porque trata de acceder al 
sitio y tira una excepción.
Idem con javascript:alert("un texto")

Le puse un try/except, da que el sitio falla el test, y la redirección 
te manda medio a cualquier lado.

Una que creo que sí provocaría un problema es ponerle una URL que apunta 
a un archivo enorme (o sea, colgás la app rapidito ;-)

> no se que tendra python para eso, pero casi todos los lenguajes tienen 
> funciones para controlar el contenido enviado en los campos, como para 
> hacer validaciones de seguridad.
> No pude hacer otras pruebas como modificar las cabeceras http, pero 
> habria q ver tambien q onda los parametros q viajan en la 
> peiticion...y por lo que entiendo, el sitio no hace llamadas a bases 
> de datos, por lo que una inyeccion sql no es posible, hay q ver si es 
> posible inyectar codigo, no se en python, pero con php uno puede 
> llegar a inyectar codigo php y mandarse cualquiera

Si, tiene una base de datos. No creo que puedas inyectar código porque 
no se evalúan los datos, pero bueno, son cosas para probar. Peor de los 
casos, me hacen percha el server de U$S 5 y lo tengo que reformatear, 
que demora 5 minutos ;-)

> Tampoco tenes que confiarte de los usuarios logueados o registrados, 
> por que es muy facil mentir en eso, yo me puedo hacer un facebook 
> trucho, un mail trucho, un twitter trucho, loguearme en tu sistema y 
> hacer cualquiera ahi adentro. 

Sigo sin entender bien que es "cualquiera" en este contexto :-)
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20110831/a6f4c583/attachment.html>