[pyar] Me prueban un sitio?
Roberto Alsina
ralsina en netmanagers.com.ar
Mie Ago 31 16:28:08 ART 2011
On 8/31/2011 4:15 PM, Mariano Garcia Berrotarán wrote:
> 2011/8/31 Roberto Alsina<ralsina en netmanagers.com.ar>:
>> El contenido de la página es estático. Excepto la parte que depende de con
>> que usuario entraste, con lo que el único que ve la página "rota" sos vos...
>>
>> O sea, no digo que no haya vulnerabilidades en el sitio, es más, sospecho
>> que las hay, pero no tengo idea de cuales son, y me interesa que me
>> expliquen :-)
> Hola Roberto,
>
> Hablo principalmente desde el desconocimiento (como normalmente) y no
> me dedico a la seguridad informatica ni a pen-test ni nada:
>
> XSS es una forma indirecta de ejecutar código en tu browser (y
> potencialmente en el browser de otros, lo cual si es jodido).
>
> Por ejemplo si tu parametro url va por get, y es vulnerable a XSS,
> podria hacer algo como :
> http://pyurl.sytes.net?url=<script>alert("blah")</script> lo cual me
> está dejando ejecutar código en tu sitio. En este caso en particular,
> tu sitio no me deja hacer eso asi tan directo porque toma como que la
> ultima barra, para cerrar el tag script es el ultimo tag de la url,
> por lo que no muestra lo que quiero, pero estoy seguro que hay formas
> de que muestre una barra sin que yo se la pase (por ejemplo usando el
> html encodeado para la barra)
Ok. Ponele entonces que me asegure que sea una URL válida. No problem...
hay algo de validación de URLs en la stdlib? Fuera de la misma?
> Ahora, supongamos que en vez de hacer un alert, por ejemplo hago un
> script que te robe las cookies de tu browser (mandando por ajax, o
> alguna cosa así) y me encargo de repartir el link de tu sitio.
Eso es más interesante.
> Normalmente recomiendan que todo parametro lo pases por un filtro para
> sacar esas cosas.
>
> en OWASP hay mucha información muy interesante:
> https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
Y eso es todavía MÁS interesante :-)
Por ejemplo, sugiere que más importante que la validación es hacer buen
"escaping" de los datos, para que aún datos "malos" funcionen de manera
"inofensiva".
More information about the pyar
mailing list