[pyar] Me prueban un sitio?

[Juan Carlos Ojeda]

2011/8/31 Roberto Alsina <ralsina en netmanagers.com.ar>

> On 8/31/2011 4:15 PM, Mariano Garcia Berrotarán wrote:
>
>> 2011/8/31 Roberto Alsina<ralsina en netmanagers.**com.ar<ralsina en netmanagers.com.ar>
>> >:
>>
>>> El contenido de la página es estático. Excepto la parte que depende de
>>> con
>>> que usuario entraste, con lo que el único que ve la página "rota" sos
>>> vos...
>>>
>>> O sea, no digo que no haya vulnerabilidades en el sitio, es más, sospecho
>>> que las hay, pero no tengo idea de cuales son, y me interesa que me
>>> expliquen :-)
>>>
>> Hola Roberto,
>>
>> Hablo principalmente desde el desconocimiento (como normalmente) y no
>> me dedico a la seguridad informatica ni a pen-test ni nada:
>>
>> XSS es una forma indirecta de ejecutar código en tu browser (y
>> potencialmente en el browser de otros, lo cual si es jodido).
>>
>> Por ejemplo si tu parametro url va por get, y es vulnerable a XSS,
>> podria hacer algo como :
>> http://pyurl.sytes.net?url=<**script>alert("blah")</script>  lo cual me
>> está dejando ejecutar código en tu sitio. En este caso en particular,
>> tu sitio no me deja hacer eso asi tan directo porque toma como que la
>> ultima barra, para cerrar el tag script es el ultimo tag de la url,
>> por lo que no muestra lo que quiero, pero estoy seguro que hay formas
>> de que muestre una barra sin que yo se la pase (por ejemplo usando el
>> html encodeado para la barra)
>>
>
> Ok. Ponele entonces que me asegure que sea una URL válida. No problem...
> hay algo de validación de URLs en la stdlib? Fuera de la misma?
>
>
>  Ahora, supongamos que en vez de hacer un alert, por ejemplo hago un
>> script que te robe las cookies de tu browser (mandando por ajax, o
>> alguna cosa así) y me encargo de repartir el link de tu sitio.
>>
>
> Eso es más interesante.
>
>
>  Normalmente recomiendan que todo parametro lo pases por un filtro para
>> sacar esas cosas.
>>
>> en OWASP hay mucha información muy interesante:
>> https://www.owasp.org/index.**php/Cross-site_Scripting_(XSS)<https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)>
>>
>
> Y eso es todavía MÁS interesante :-)
>
> Por ejemplo, sugiere que más importante que la validación es hacer buen
> "escaping" de los datos, para que aún datos "malos" funcionen de manera
> "inofensiva".
>
>
> ______________________________**_________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/**listinfo/pyar<http://listas.python.org.ar/listinfo/pyar>
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>

Fijarse que la URL introducida no sea ya una URL acortada,
supongo..., o no ...?

-- 
.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20110831/c97172d2/attachment.html>