Comunidad de diseño web y desarrollo en internet online

¿Que tan peligrosa puede ser una vulnerabilidad XSS? www.cristalab.com

Ir a página 1, 2  Siguiente

Foros de discusión > Charla

Citar            
MensajeEscrito el 10 Abr 2012 10:31 pm



[Enlace XSS]: http://bit.ly/HxS6Io

Por vlycser

Claber

170 de clabLevel

2 tutoriales

 

firefox
Citar            
MensajeEscrito el 11 Abr 2012 12:06 am
Oh, que interesante. Encontraste una inyección a través de una de las redirecciones de logueo, quizás cuando notaste el error del / que tenemos ahora mismo. Muy muy interesante.

Creo que ya está arreglado ¿Has encontrado algun otro error así dentro del sitio?

Por Freddie

BOFH

53 tutoriales
597 articulos
43 ejemplos

Genero:Masculino   Admin

Conserje de Cristalab

chrome
Citar            
MensajeEscrito el 11 Abr 2012 04:33 pm
¿Pero tenías que poner esa música de fondo?
Los duendes de Cristalab han quedado sordos :)

Jorge

Por solisarg

BOFH

13641 de clabLevel

4 tutoriales
5 articulos

Genero:Masculino   Bastard Operators From Hell Premio_Secretos

Argentina

firefox
Citar            
MensajeEscrito el 11 Abr 2012 04:40 pm
Jaajja si es cierto :music:

Por vlycser

Claber

170 de clabLevel

2 tutoriales

 

firefox
Citar            
MensajeEscrito el 12 Abr 2012 01:03 am
más práctico era avisar del problema y no hacer ese video :S ....con esa música....

Por Mariux

BOFH

7758 de clabLevel

28 tutoriales
15 articulos

Genero:Femenino   Héroes Editores

Diseñadora & ilustradora

chrome
Citar            
MensajeEscrito el 12 Abr 2012 03:35 am
No me malentiendas, que bien que se haya solucionado el problema gracias a ti, pero el video es tedioso y pudiste simplemente decir que se podia inyectar código en una URL .-. por lo menos yo pensé que sería algo más serio o más complicado.

Por Lexas

1207 de clabLevel

7 tutoriales

Genero:Femenino   Desarrollador de GAIA Premio_Secretos

Ilustración y desarrollo de software

firefox
Citar            
MensajeEscrito el 12 Abr 2012 01:24 pm
Los entiendo, simplemente intente hacer un poco mas informativa la vulnerabilidad XSS y vieran algunas de las acciones que se pueden realizar con ella.

PD: Cambiare el audio del vídeo, creo que no fue el mas acertado.

Por vlycser

Claber

170 de clabLevel

2 tutoriales

 

firefox
Citar            
MensajeEscrito el 12 Abr 2012 02:06 pm

vlycser escribió:

Los entiendo, simplemente intente hacer un poco mas informativa la vulnerabilidad XSS y vieran algunas de las acciones que se pueden realizar con ella.

PD: Cambiare el audio del vídeo, creo que no fue el mas acertado.


No es el audio, el video no es acertado en si, y really, ese formato de video no es muy in. Si querés hacer un tutorial o videotutorial sobre seguridad: hacelo, pero planificalo y enseña.

Esto no le sirve a nadie, porque no se sabe qué es, si es burla o si solo quisiste demostrar algo, cualquier cosa menos la intención de enseñar.

saludos

Por Mariux

BOFH

7758 de clabLevel

28 tutoriales
15 articulos

Genero:Femenino   Héroes Editores

Diseñadora & ilustradora

chrome
Citar            
MensajeEscrito el 12 Abr 2012 02:13 pm
Gracias por avisar, vlycse y efectivamente no note ninguna mala intencion de tu parte.

Solo que como dice mariux, no quedo ningun aprendizaje tecnico, mas alla de identificar la vulnerabilidad.


Cambiando de tema, creo que soy el unico al que si le gusto esa musica. :S XD

Por Dano

BOFH

4273 de clabLevel

14 tutoriales
4 articulos
10 ejemplos

Genero:Masculino   Bastard Operators From Hell Premio_Secretos

Lugar estratégico para vigilarte

chrome
Citar            
MensajeEscrito el 12 Abr 2012 02:53 pm
Yo identifiqué la vulnerabilidad, vi donde era (variables REQUEST_URI no sanitizadas, muerte a PHP) y la arreglé. Por ese lado, fue efectiva.

Aunque sin duda, aparte de mi, la gente queda perdida porque falta un contexto.

Por Freddie

BOFH

53 tutoriales
597 articulos
43 ejemplos

Genero:Masculino   Admin

Conserje de Cristalab

chrome
Citar            
MensajeEscrito el 12 Abr 2012 03:16 pm
Ok, excepto Dano coincidimos en lo de la música :)
Por otra parte es verdad que quienes no saben que es XSS o como se hace, o que es lo que haces cuando encodeas el JS para injectarlo, realmente no entienden demasiado de que va. Quizás si planearas algo así:

- Explicar que es XSS genéricamente
- Usar un ejemplo donde injectas JS directamente por ejemplo en un iframe, algo bien simplito par que se vea el efecto
- Usar algo mas avanzado para injectar, como lo que mostrabas.
- Cerrar contando que la mayoría de los lenguajes tienen herramientas y practicas para evitarlo (y quizás algún ejemplo de como hacerlo)

Si quieres comentar que las auditorías de seguridad lo primero que hacen es correr una batería de ataques XSS, redoblas la apuesta ;)

Jorge

Por solisarg

BOFH

13641 de clabLevel

4 tutoriales
5 articulos

Genero:Masculino   Bastard Operators From Hell Premio_Secretos

Argentina

firefox
Citar            
MensajeEscrito el 14 Abr 2012 04:08 pm

Freddie escribió:

muerte a PHP

¿Por qué? Tu esposa Python también tiene vulnerabilidades.

Por Kinduff

Claber

3563 de clabLevel

21 tutoriales
3 articulos

 

web dev wizzard

chrome
Citar            
MensajeEscrito el 15 Abr 2012 02:29 am
Python sería la amante, ya que por ahora anda arrimado a PHP...

Freddie, recuerda Python que es como Mac, a medida que se vuelve popular, se descubren las vulnerabilidades

Por ElSiniestro

Claber

285 de clabLevel


1 articulo

Genero:Masculino  

Alguien que Ayuda

chrome
Citar            
MensajeEscrito el 15 Abr 2012 06:17 pm
Sigh...

PHP no sanitiza ninguna variable de entorno, porque las considera globales, es un proceso que se toma a mano. PHP es el lenguaje de template y el lenguaje básico en si mismo.

Yo no mencioné a Python, es curioso que ustedes lo hagan, así que mencionaré 4 frameworks:
Java con Struts, Node.js, Python con Django y Ruby con RoR todos sanitizan todas las variables de entorno e introducción de datos por usuario, por defecto. .NET también, ahí está, les puse 5.

¿Eso significa que en el resto de lenguajes es imposible tener XSS? No
¿Eso significa que PHP es más vulnerable y quiere más esfuerzo para evitar huecos de seguridad que el resto de lenguajes? Sí
¿Es inmaduro decir "tu esposa Python"? Definitivamente.
¿Comparar Python con Mac tiene sentido? No, para nada. En Python está hecho Youtube, Instagram, AdWords, Reddit. No tiene que ver con popularidad. Así no funciona.

Por Freddie

BOFH

53 tutoriales
597 articulos
43 ejemplos

Genero:Masculino   Admin

Conserje de Cristalab

chrome
Citar            
MensajeEscrito el 15 Abr 2012 08:19 pm

Freddie escribió:

Sigh...

PHP no sanitiza ninguna variable de entorno, porque las considera globales, es un proceso que se toma a mano. PHP es el lenguaje de template y el lenguaje básico en si mismo.

Yo no mencioné a Python, es curioso que ustedes lo hagan, así que mencionaré 4 frameworks:
Java con Struts, Node.js, Python con Django y Ruby con RoR todos sanitizan todas las variables de entorno e introducción de datos por usuario, por defecto. .NET también, ahí está, les puse 5.

¿Eso significa que en el resto de lenguajes es imposible tener XSS? No
¿Eso significa que PHP es más vulnerable y quiere más esfuerzo para evitar huecos de seguridad que el resto de lenguajes? Sí
¿Es inmaduro decir "tu esposa Python"? Definitivamente.
¿Comparar Python con Mac tiene sentido? No, para nada. En Python está hecho Youtube, Instagram, AdWords, Reddit. No tiene que ver con popularidad. Así no funciona.


ohh, que respuesta casi lloro xD

Por o5c4r93

6 de clabLevel



Genero:Masculino  

Desarrollador web, Geek

chrome
Citar            
MensajeEscrito el 16 Abr 2012 05:05 am
Interesante muestra gracias por el vídeo, me fue muy ilustrativo.

Por Inside

1 de clabLevel



Genero:Masculino  

Diseño Web

chrome
Citar            
MensajeEscrito el 16 Abr 2012 05:30 am

Freddie escribió:

Yo identifiqué la vulnerabilidad, vi donde era (variables REQUEST_URI no sanitizadas, muerte a PHP) y la arreglé.


La vulnerabilidad no fue de PHP, fue del desarrollador al no usar alguna de las varias maneras que tiene PHP -de forma nativa- de sanitizar variables, una muy práctica por ejemplo es: http://php.net/manual/en/function.filter-var.php

Y si, no mencionas Python ahora pero cada vez que puedes criticas a PHP ... hace algun tiempo hubo una discusión en Reedit donde al final se demuestra que las criticas a PHP son mucho menores de lo que se trata de hacer creer.

¿Eso significa que en el resto de lenguajes es imposible tener XSS? No -- Agreed
¿Eso significa que PHP es más vulnerable y quiere más esfuerzo para evitar huecos de seguridad que el resto de lenguajes? Sí -- NO, depende de como sea implementado.

He tenido alguna experiencia con Python y me parece super cool, usarlo depende de tu propia desición o de la circunstancias laborales que estes pasando.

La discusión puede ser eterna, pero tenía que decirlo :D

Por Max

Claber

267 de clabLevel



Genero:Masculino  

Lima - Peru

firefox
Citar            
MensajeEscrito el 16 Abr 2012 05:39 am

Max escribió:

Y si, no mencionas Python ahora pero cada vez que puedes criticas a PHP ... hace algun tiempo hubo una discusión en Reedit donde al final se demuestra que las criticas a PHP son mucho menores de lo que se trata de hacer creer.
Ah, reddit. Y obvio en el reddit de PHPeros, no en otro. OK, ¿Qué tal Hacker News que es más neutral? El artículo "PHP, A fractal of bad design" entra en DOLOROSO detalle de cerca de 1000 cosas que están mal con PHP como lenguaje y la discusión en Hacker News confirman básicamente todo. Hasta el reddit de PHPeros admite que la gran mayoría de los puntos son reales y PHP es un lenguaje mal diseñado.

PHP es un buen lenguaje de principiante, que al llegar a nivel profesional no escala. Si estás haciendo CodeIgniter en PHP bien podrías estar haciendo RoR y ser más feliz y veloz. Cosas como "filter_var" no deberían ser necesarias (ni aplican a este caso al 100%, realmente).

Por Freddie

BOFH

53 tutoriales
597 articulos
43 ejemplos

Genero:Masculino   Admin

Conserje de Cristalab

chrome
Citar            
MensajeEscrito el 16 Abr 2012 07:09 pm

Freddie escribió:


PHP no sanitiza ninguna variable de entorno, porque las considera globales, es un proceso que se toma a mano. PHP es el lenguaje de template y el lenguaje básico en si mismo.

http://www.php.net/manual/es/function.addslashes.php

Manual de PHP escribió:


La directiva de PHP magic_quotes_gpc estaba activada (on) por defecto antes de PHP 5.4, y básicamente ejecutaba la función addslashes() en todos los datos GET, POST y COOKIE. No utilizar addslashes() en las cadenas que ya se han escapado con magic_quotes_gpc ya que se hará un doble escape. La función get_magic_quotes_gpc() puede ser práctico para comprobar esto.

Por Inyaka

Claber

3175 de clabLevel

9 tutoriales
2 articulos

Genero:Masculino   Desarrollador de GAIA

Programador y fotógrafo

chrome
Citar            
MensajeEscrito el 16 Abr 2012 07:27 pm

Inyaka escribió:

Freddie escribió:


PHP no sanitiza ninguna variable de entorno, porque las considera globales, es un proceso que se toma a mano. PHP es el lenguaje de template y el lenguaje básico en si mismo.

http://www.php.net/manual/es/function.addslashes.php

Manual de PHP escribió:


La directiva de PHP magic_quotes_gpc estaba activada (on) por defecto antes de PHP 5.4, y básicamente ejecutaba la función addslashes() en todos los datos GET, POST y COOKIE. No utilizar addslashes() en las cadenas que ya se han escapado con magic_quotes_gpc ya que se hará un doble escape. La función get_magic_quotes_gpc() puede ser práctico para comprobar esto.
Exacto, en PHP hay que hacer un paso adicional que en el resto de plataformas web viene solucionado.

Por Freddie

BOFH

53 tutoriales
597 articulos
43 ejemplos

Genero:Masculino   Admin

Conserje de Cristalab

chrome
Citar            
MensajeEscrito el 16 Abr 2012 07:53 pm

Freddie escribió:

Inyaka escribió:

Freddie escribió:


PHP no sanitiza ninguna variable de entorno, porque las considera globales, es un proceso que se toma a mano. PHP es el lenguaje de template y el lenguaje básico en si mismo.

http://www.php.net/manual/es/function.addslashes.php

Manual de PHP escribió:


La directiva de PHP magic_quotes_gpc estaba activada (on) por defecto antes de PHP 5.4, y básicamente ejecutaba la función addslashes() en todos los datos GET, POST y COOKIE. No utilizar addslashes() en las cadenas que ya se han escapado con magic_quotes_gpc ya que se hará un doble escape. La función get_magic_quotes_gpc() puede ser práctico para comprobar esto.
Exacto, en PHP hay que hacer un paso adicional que en el resto de plataformas web viene solucionado.


La directiva de PHP magic_quotes_gpc estaba activada (on) por defecto antes de PHP 5.4

NO, no requiere un paso adicional, esto significa que actualmente basta con configurar el servidor y cuando se use la versión 5.4 de php (que ya fue lanzada) el servidor estará configurado por defecto

Por Inyaka

Claber

3175 de clabLevel

9 tutoriales
2 articulos

Genero:Masculino   Desarrollador de GAIA

Programador y fotógrafo

chrome
Citar            
MensajeEscrito el 16 Abr 2012 08:00 pm

Inyaka escribió:

La directiva de PHP magic_quotes_gpc estaba activada (on) por defecto antes de PHP 5.4

NO, no requiere un paso adicional, esto significa que actualmente basta con configurar el servidor y cuando se use la versión 5.4 de php (que ya fue lanzada) el servidor estará configurado por defecto
magic_quotes_gpc protege especificamente SQL Injection. No XSS ¿Viste el video? Este tipo de XSS no son protegidos por el "on por defecto" de 5.4.

Por Freddie

BOFH

53 tutoriales
597 articulos
43 ejemplos

Genero:Masculino   Admin

Conserje de Cristalab

chrome
Citar            
MensajeEscrito el 16 Abr 2012 10:12 pm
Freddie... veo que tienes una posición tan clara al respecto, que debieras hacer un artículo exponiendo (no atacando) la conveniencia o no de usar PHP para cierto tipo de proyectos, abordando el tema de sus fortalezas y debilidades y tratando de dejar clara la posición.

Volviendo al tema de XSS, el error fue sencillamente no prevenir... algo que debías hacer al conocer las características de PHP

*No Maikel, nooooo :ownz:

Por ElSiniestro

Claber

285 de clabLevel


1 articulo

Genero:Masculino  

Alguien que Ayuda

chrome
Citar            
MensajeEscrito el 16 Abr 2012 11:46 pm
Para lo de la musica soy muy malo. XD Pero viendo que hablan de lenguages creo que aqui si puedo opinar un poco, lo que opino de PHP vs otros:

En el trabajo mi proyecto esta corriendo con Node.js + Backbone.js + jQuery + mongodb. Un proyecto grande soportado(hablamos de un facebook corporativo), y pues en general encontramos cosas buenas y malas en Node.js

He hecho algunos proyectos en RoR, ASP .net y por supuesto PHP. Tambien conozco como trabajan y he visto code real usado en produccion de proyectos en Python y JAVA servlets.

Explicando el contexto, lo que yo opine es esto:

PHP es un excelente lenguage, flexible, bien soportado por la comunidad. No es el que mejor arquitectura y disenho tiene, y hoy en dia eso le empieza a cobrar factura. Pero de eso a demeritarlo, no lo hare. Lo que si, es que esa flexibilidad permite que malos programadores puedan hacer puerqueros, pero eso ya no es culpa del lenguaje.

Node.js es lenguaje fresa, en mi proyecto trabajamos de la mano con agencias de NY lo fresa de fresa de disenho, y todos hablaban de Node.js y si no querias ser visto como un bicho raro tenias que conocerlo. Por supuesto a mi siempre las modas me han tocado las O.O asi que yo tuve que analizarlo antes de usarlo tambien, encontre cosas buenas, como el procesamiento paralelo y que se supone permite un optimo rendimiento en sitios masivos. Tiene cosas malas, como que en un lenguage "nuevo" no tenga datatype estricto :S (cada que les restrego esto intentan explicarme, "es que se basa en V8" como si no lo supiera)

Al punto importante realice benchmark entre una aplicacion web con Node.js y otra con Apache + PHP y en escala menor el rendimiento era similar, pero hablando de multiples(miles y miles) de usuarios concurrentes si tiene ventajas Node.js. Noten algo importante que Node.js no corre sobre apache, Node.js suele correr su propio webserver el que creo es mas popular es http://expressjs.com/

En Python no tengo mucha experiencia, pero se que esta mejor estructurado y planeado que PHP. Eso no convierte a PHP en una porqueria, es simplemente como hablar de carros, hay carros que pueden ser buenos, pero que sean buenos no quiere decir que sean los mejores, PHP es un buen carro, hay otro carros mejores que el.

Esa es mi opinion del tema.


Saludos y a tomarse las cosas con mas calma que para guerras hay otros temas. XD

Por Dano

BOFH

4273 de clabLevel

14 tutoriales
4 articulos
10 ejemplos

Genero:Masculino   Bastard Operators From Hell Premio_Secretos

Lugar estratégico para vigilarte

chrome
Citar            
MensajeEscrito el 16 Abr 2012 11:52 pm

Freddie escribió:

Inyaka escribió:

La directiva de PHP magic_quotes_gpc estaba activada (on) por defecto antes de PHP 5.4

NO, no requiere un paso adicional, esto significa que actualmente basta con configurar el servidor y cuando se use la versión 5.4 de php (que ya fue lanzada) el servidor estará configurado por defecto
magic_quotes_gpc protege especificamente SQL Injection. No XSS ¿Viste el video? Este tipo de XSS no son protegidos por el "on por defecto" de 5.4.



de echo addslashes si ayuda bastante contra ataques del tipo xss

Por Inyaka

Claber

3175 de clabLevel

9 tutoriales
2 articulos

Genero:Masculino   Desarrollador de GAIA

Programador y fotógrafo

chrome
Citar            
MensajeEscrito el 17 Abr 2012 12:06 am
A mi me gusto el video y la canción. Además si hacer un video con canción y toda la wea es la manera de Vlycser de avisar que hay un error pues dejenlo el es complicado para decir las cosas xD

Por DaHouseCat

Claber

1011 de clabLevel

2 tutoriales

Genero:Masculino  

Smarphones Fan Boy

chrome
Citar            
MensajeEscrito el 17 Abr 2012 05:43 pm

Dano escribió:

PHP es un excelente lenguage, flexible, bien soportado por la comunidad.
Esto es quizás mi problema #1, las mentiras que nos decimos para justificar nuestras decisiones. PHP es flexible, tiene mucha comunidad, pero no ex un excelente lenguaje, todo lo contrario, es un pesimo lenguaje. Si juzgamos un lenguaje por su diseño, PHP es terrible. PHP es fácil de aprender, muy rápido de distribuir y servers hay en todos lados. Pero NO es un excelente lenguaje, ni de lejos. Y decirlo es perpetuar un muy mal diseño en el mundo.

Ser un mal lenguaje, mal diseñado es culpa del lenguaje. En cualquier lenguaje se pueden hacer cosas inmundas con un mal programador. Ese no es el punto de discusión, el punto es que PHP tiene una librería estandar pesima, malas prácticas de OOP y una serie de comportamientos por defecto que dan tristeza desde un punto de vista objetivo de diseño de lenguaje.

PHP no es un excelente lenguaje.

Por Freddie

BOFH

53 tutoriales
597 articulos
43 ejemplos

Genero:Masculino   Admin

Conserje de Cristalab

chrome
Citar            
MensajeEscrito el 17 Abr 2012 06:09 pm
Te centras en una palabra en lugar de entender todo el contexto de lo que expongo.

Crei que era clara esta parte:
"No es el que mejor arquitectura y disenho tiene, y hoy en dia eso le empieza a cobrar factura. "

Y esta otra:
"Eso no convierte a PHP en una porqueria, es simplemente como hablar de carros, hay carros que pueden ser buenos, pero que sean buenos no quiere decir que sean los mejores, PHP es un buen carro, hay otro carros mejores que el."

"Excelente", tiene varias definiciones y una es que sobresale. PHP estuvo sobresaliendo muchos anhos(flexibilidad, lo que permitiio la rapida expacion de proyectos opensource) y por eso su popularidad. Insisto eso no quiere decir que sea el mejor, ni que no se deban intentar otros lenguages, ni tampoco quiere decir que se olviden lo malo que puede tener.(y esta hablando un phpero que no toca PHP hace anho y medio! :P )

Simplemente vuelvo a reiterar que no hay porque satanizarlo.

Insisitire que si solo de satanizar se trata que porqueria seria Node.js por ser un lenguage "nuevo" sin tener tipeado estricto de datos. (no es mi postura estar satanizando, yo ya expuse lo que pienso, PHP no es el mejor carro, hay otros carros mejores, pero tampoco significa que PHP sea tan malo, simplemente que hoy no es la mejor opcion)

Por Dano

BOFH

4273 de clabLevel

14 tutoriales
4 articulos
10 ejemplos

Genero:Masculino   Bastard Operators From Hell Premio_Secretos

Lugar estratégico para vigilarte

chrome
Citar            
MensajeEscrito el 17 Abr 2012 06:15 pm
Dano, PHP no es un excelente lenguaje. PHP es un lenguaje fácil y de rápido deployment, pero no es un excelente lenguaje.

¿Podemos estar de acuerdo en eso?

Por Freddie

BOFH

53 tutoriales
597 articulos
43 ejemplos

Genero:Masculino   Admin

Conserje de Cristalab

chrome
Citar            
MensajeEscrito el 17 Abr 2012 06:25 pm
Si, estamos de acuerdo, no me quiero centrar en una palabra F.

Si enfocamos la "excelencia" del lenguage en arquitectura y disenho del mismo, en efecto, PHP no lo es.

(y quitando esa palabra ya en los posts anteriores expuse lo que pienso, PHP, no es el mejor lenguage, y "hoy" sus bondades lo estan matando, "ayer" fueron utiles para crear muchas aplicaciones)

Por Dano

BOFH

4273 de clabLevel

14 tutoriales
4 articulos
10 ejemplos

Genero:Masculino   Bastard Operators From Hell Premio_Secretos

Lugar estratégico para vigilarte

chrome
Ir a página 1, 2  Siguiente
Foros de discusión > Charla

   Página 1 de 2

 

Cristalab BabyBlue v4 + V4 © 2011 Cristalab
Powered by ClabEngines v4, HTML5, love and ponies.