Tips de Seguridad, Basicos y avanzados.

Analizando una de las sugerencias de Pedro, pense que deberia hacer un tema dedicado a esto.
debo aclarar que esto es solo un ejemplo y que no afecta la seguridad de las Bases de datos.
pero de igual manera voy a expresar lo que se al respecto y espero que todo el que conozca del tema pueda agregar algo de información que pueda enriquecer este tema.

pedro escribió:

tengan bien claro que como dice pedro: "Con las bases de datos y sus conexiones NO se juega."

asi que los detalles que les voy a dar tendran que mejorarlos a gusto y criterio de cada uno de vosotros.

yo sugiero hacer la conexion a la Base de Datos en el archivo
lib.inc.php que por lo general es el que uso para meter las librerias.
y enfocar la seguridad a este archivo.
a continuación el archivo lib.inc.php

Código :

<?
# Aseguramos que no se pueda acceder al archivo via web.
if(basename($_SERVER['PHP_SELF'])=="lib.inc.php")
exit;
function conex()
{
$conex=@mysql_connect('localhost','user','pass');
@mysql_select_db('database',$conex);
return $conex;
}
#aqui metes el resto de las funciones 
?>

note que en cada una de las funciones de mysql he colocado un @
esto es para que en caso de ocurrir algún error no muestre detalles del error al usuario, estos arrobas "@" hay que retirarlos mientras se configura la conexión hasta que sea satisfactoria, luego de ser satisfactoria la conexión se le vuelven a agregar los arrobas, la razón por la cual no queremos que se muestre el error es la siguiente, en caso de que la conexión sea insatisfactoria, nos mostrara un error muy parecido al siguiente:

Código :

Warning: mysql_query(): Access denied for user: 'user@localhost' (Using password: yes) in /home/google/www/sites/lib.inc.php on line 34

para cualquiera puede ser un simple error. pero para un Cracker que este en busca de un "Bug" (agujero de seguridad), esto puede sser un muy buen comienzo para efectuar un ataque, les explico por que, este error esta mostrando al usuario dos cosas que debemos ocultar, primero el usuario de la Base de datos (en este caso "user" ver + arriba) y el servidor donde se encuentra la Base de datos (en este caso "localhost" ver + arriba)

aparentemente esto no parece muy importante, pero creanme podria acceder a una Base de datos solo con esos dos datos.
lo de localhost ya sabemos que es el servidor local y es hasta por defecto el que usaremos, hay otras maneras de asegurar esa parte, y el nombre de usuario tambien para los casos donde permitimos acceder a todos los servidores a nuestra base de datos.

a continuación la forma de Restringir el acceso y limitarlo a solo acceso del servidor local.
voy primero a citar lo siguiente:

jhony192 escribió:

aqui hacia referencia a el modo de permitir el acceso desde otras maquinas, mientras se esta creando las conexiones desde afuera, como en el caso de conexiones desde Dreamweaver, eso debera ser temporal porque luego de estar terminada nuestra conexión y requerir ponerla a funcionar desde la web no necesitaremos accesos externos, asi que eliminamos % en caso de que haya sido agregado y dejaremos solo localhost o 127.0.0.1 para que solo desde el servidor se pueda acceder, asi limitamos el acceso a solo en el servidor.
mas adelante dare mas detalles sobre seguridad en Mysql, requerden solo permitir acceso a las bases de datos para localhost y 127.0.0.1
esdto aumentara la seguridad en un 13% mas no estara 100% seguro hasta que se hagan ciertos cambios adicionales a otros recursos del servidor.
en el caso del Plesk solo se le permite acceso de este tipo.

PD:La seguridad de tu web solo depende de ti, los cracker solo tienen acceso a las puertas que puedas dejarle abiertas.
usa la logica y encargate de ser tu quien asegure el servidor.

emmm....lo de dejar la conexion en un archivo aparte se debe mas a practicidad que a seguridad...es por si cambias la base de datos o los passwords sea mas facil de actualizar en todos los archivos. Si quieres hacerlo un poco mas seguro, seria mejor que el archivo lo metas dentro de un folder no publico que no sea accesible mediante ftp (lo subes con ssh) e incluirlo mediante include "/folder/archivo.php" (fijate que pongo el / para indicar que es la raiz principal del servidor)...aunque le veo poco caso...

por otro lado, lo de las IP....es una medida facil de saltar...a final de cuentas si instalas un firewall me parece que puedes cambiar tu IP e identificarte como otra....en ese sentido es mucho mejor manejar sesiones.

Saludos!

lo de las IP´s es Facíl de Saltar? primero que nada mi estimado amigo,
no se si no lo habras notado, pero mi especialidad es seguridad, si quieres te creo una Base de datos con tablas, que puedas echarle una probadita a ver si lo saltas.

1º puedes cambiar la IP de tu maquina, como sabes cual es la IP que el servidor admite?
tendras que hacer 4 294 967 296 intentos de cambios de IP para encontrarla.

2º si el servidor esta configurado para solo conexiones locales no habra manera de conectar a base de datos sin tener el script en el mismo servidor. (mas adelante explicare como montar un firewall interno que nos de estadisticas de las conexiones realizadas a bases de datos y que identifique intentos de bruteforce)

3º dime un promedio en porcentajes de usuarios comunes que tienen una base de datos y acceso a SSH al mismo tiempo?
estos son detalles para usuarios basicos, si tienes tu propio server bien por ti, sera bueno en ese caso que expliques como le das permiso a el directorio www para acceder a dicho archivo.

4º un servidor poco seguro puede ser accedido por ftp con fuerza bruta (bruteforce).
sin embargo es nuestra responsabilidad garantizar la seguridad de nuestro servidor.

si tienes alguna pregunta, replica o sugerencia posteala abajo, si tienes quejas insultos o desacuerdos de opinión puedes enviarmelo como mensaje personal(mp) ok...?

Bueno ahra que estamos en el tema de seguridad....

La verdad es que quizas monte un sistema de administracion para un club deportivo de unso 3000 socios, quieren una web para informar a sus clientes de actividades [de hecho no pueden coger a mas gente, y tienen lista de espera] Lo que les interesa es ofrecer unos servicios de calidad -gente de dinero- a sus clientes, entre ellos es el desarrollo de un site web de forma escalonada, envio de SMS masivos,... etc etc

La cosa es que quieren pasarlo todo a web, - como ya dije de forma escalonada- aqui en españa tienen que cumplir la ley de proteccion de datos, lo que significa tener un servidor seguro la app tambien.... etc etc, estaria desarrollado con el front-end en flash, por atras en remoting y no se si mySQL o posgrestSQL ...

Que medidas de seguridad tengo que tomar?
En un futuro proximo solo serian avisos, en la web, despues mas cosas, como reservar pistas, apuntarse a cursos... y quizas pasar toda la aplicacion al nuevo sistema... Entonces... para hacerlo bien desde el principio... que hace falta?

Encriptación de Contraseñas con MD5

si vas a usar Flashremoting te recomiendo que en las funciones del servidor midas authenticación de la aplicación, en el servidor mete todas las claves encriptadas con MD5 y asignale una cifra de criptación al md5, ejemplo:

Código :

$query=sprintf("INSERT INTO users (user, pass) VALUES ('%s','%s');",addslashes($user),addslashes(md5($pass."1058")));

al identificarse los usuarios lo pides asi:

Código :

$query=sprintf("SELECT * FROM users WHERE user='%s' AND pass='%s' LIMIT 0,1;",addslashes($user),addslashes(md5($pass."1058")));

recuerda que las claves encriptadas con md5 no se pueden desencriptar asi que tendras que usar un modo de identificación de usuarios para cuando pierdan la clave poder mandarlos a cambiarla.
1058 lo cambias por el numero que mejor te parezca, pero no olvides no botarlo, si es posible guardalo como variable en el archivo lib.inc.php
de manera que no pueda verse de ningún modo.
otro detalle muy importante son los "identificadores de procedimiento", son utiles para asegurar que el formulario no este siendo abierto por un script o aplicacion de bruteforce.

los identificadores de procedimiento son esas imagenes que traen una cifra aleatoria y un campo para ingresar la misma, una aplicación no puede ver una imagen (al menos no por ahora) pero un usuario si.
suerte

Seguridad mientras se Desarrolla

generalmente cuando se esta desarrollando un site, se presentan muchos agujeros de seguridad, debido a la constante edición de archivos, pruebas, locuras etc... para evitar que alguien pueda conocer este tipo de errores hay que bloquearlos mientras se edita.
en primer lugar colocar un login y un pass para que identificarte es muy tedioso, cuando tienes que entrar a diario, a demás si usas otra authenticación en las paginas internas te enredaras con las variables HTTP
asi que la forma que yo recomiendo es bloquear a todos los visitantes y permitir solo tu maquina.
primero entras en la carpeta que estas trabajando, editas el archivo .htaccess en caso de que no exista lo creas.
ingresas estas lineas de codigo.

Código :

Order deny,allow
Deny from all
Allow from  xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
ErrorDocument 403 "Fuera de Aqui que estoy trabajando"

si ya esta creado te recomiendo que le cambies el nombre y crees este como nuevo.
reemplazas esto: xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
por las IPs a las que quieras permitir el acceso.
si quieres ver un demo haz click aqui: http://demos.icad.com.ve/
luego de terminado tu trabajo cambias todo a como estaba.

Seguridad en Nuestros Archivos de Configuración y librerias.
Cuando queramos que nuestras Librerias no puedan ser accedidas desde la web debemos seguir cualquiera de los siguientes pasos.

1º Meter las librerias en una carpeta y limitarle el acceso a la misma desde WWW, creandole un archivo .htaccess dentro de dicha carpeta he incluyendo las siguientes lineas.

Código :

Order Allow,Deny
Deny from any

en este caso cualquier archivo que este en dicha carpeta no podra ser accedido via Web.
Tambien puedes limitar los accesos según el nombre de archivo
de la siguiente manera:

Código :

<Files ~ "^lib\.">
Order Allow,Deny
Deny from any
</Files>

en esta caso cualquier archivo que comienze por lib. no podra ser accedido desde via web.
espero que os sea de utilidad cualquier sugerencia o algún tip que pueda enriquecer este tema puedes postearlo aqui.

Muy importante es estar pendiente de los agujeros de seguridad que hoy en dia se presentan en muchos programas, mantener las aplicaciones del servidor debidamente actualizadas y sobre todo estar bien actualizado con las noticias y reportes de agujeros encontrados en las aplicaciones.
ser un poco paranoico, te evitara muchos dolores de cabeza.
Inyección de SQL
una de las vulnerabilidades que se ven hoy dia en las conexiones a
bases de datos son las de sql-insections que son codigos que insertan mediante las conexiones a DB una sentencia para extraer, modificar o eliminar datos de nuestras tablas he incluso las del servidor mismo.




la información a sido extraida de el siguiente enlace:
http://www.cristalab.com/weblog/viewtopic.php?t=12505

a continuación un enlace donde hay mucha información referente
y muy importante, a demás esta en español asi que no te vendria mal
chequearla.

http://www.php.net/manual/es/security.database.sql-injection.php

les dejo aqui un enlace muy interesante :

http://phpsec.org/projects/guide/


Especificamente hay una parte muy interesante donde se habla de Sesiones y donde pueden haber ataques a un usuario para obtener su SID de la sesion, y utilizarla para acceder a sitios restringidos.

Cuando encriptas algun dato con md5 NO hay necesidad de hacer ningun tipo de escape de caracteres para evitar la inyeccion de sql, ya sea addslashes, str_replace, etc; pues la encriptacion de md5 no genera ninguno de los caracteres "problemas".

saludos

Hola !!!! soy diseñadora estaba en internet bajando unas imagenes y de repente salio un virus se llama :

vx1game.
zgame1.
vx1.game.

He insatalado Ad-Aware ademas de Maccafe y no se quitan del escritorio , pone que hay 155 infectados, eliminados 31, y Migrados 76, que no se que quiere decir, no se que mas hacer..... ayudenme , si alguien sabe como puedo borrar estos virus , lo agradeceria muchoo.
att: loreta

loreta escribió:

\nadie quiere ayudarme!!!!!! .

Hola, si nadie te contesta es porque ninguno de los que leyo tu post por ahora sabe la respuesta por ahora, de todas formas tu pregunta lleva una hora publicada, no creo que sea tanto esperar......

Si te quieren ayudar, espera a que descubran tu problema y de todas formas recuerda que nadie te está cobrando por esta ayuda asi que tampoco puedes exigir tanto, los que te van a ayudar son personas que estan trabajando o en su tiempo de ocio y no ganan nada aqui es pura generosidad asi que tu tambien debes ser generosa con ellos (con nosotros)

si te queremos ayudar, instala Norton antivirus, si con eso no se soluciona, respalda los datos y formatea la maquina, lo que quería comentar es lo siguiente, que tiene que ver eso con seguridad?

jhony192 esta exelente este foro gracias por tus consejos.

Excelente informe!. Estoy hace tiempo preocupado por la seguridad de mi sitio. La verdad es que no he generado ningun tipo de traba para el login ni sabia nada sobre como cuidar el archivo de coneccion.
Gracias. Voy a tratar de implementar las ideas.

Hola.... pues a mi en lo particular también me parece un poco apropiado el uso de stored procedures para eso de la seguridad, puesto que igual al poner el query puede que haya errores, en cambio con el stored procedure pues puedes hacer una doble validaciòn... aunque eso implicaría el aprender PL/SQL... pero es otra opción... y por ejemplo de la captura de datos de los usuarios se tienen que poner como mil validaciones por que no sabes con lo que pueden salir y no necesitan tener conocimientos muy avanzados de computo, pueden ser algo como animalitos salvajes y hacer que truene un sistema .

Saludos.

Creo que este tema tiene siglos por acá, pero, una pregunta, mis phps de clases, configuracion, etc tienen todos algunos sufijos que los otros php no usan, seria suficiente, para proteger mis clases incluyo mi archivo de configuracion a la base de datos, simplemente colocar un htaccess para bloquearlo o tambien debo sacarlos del directorio root ?

esto es un PostIt que algún moderador simplemente elimine esos mensajes que con buena o mala voluntad no vienen al caso

en relacion a la inyección de sql lo que yo hago es que todo dato que pueda ingresar un usuario antes lo filtro con htmlEntities()

¿esta bien eso ?

por cierto ahora mismo voy a ocultar los errores de la conexion

Inyaka escribió:

Eso es una muy buena opción, yo te recomiendo que solo uses htmlentities() cuando se trate de solo textos, y no requieras de los carácteres especiales, pero nunca si los datos procesados vienen de un editor wysiwyg, si usas addslashes() para filtrar los datos muy probablemente tengas que limpiarlos luego con la función stripslashes() para remover el carácter de escape nuevamente.

ah por cierto perdona la demora, estaba en un crucero interestelar, recién acabo de llegar.

----------------
Escuchando ahora: Fito Paez - [EMG] - Cerca de la revolución
posted with FoxyTunes

solo fue un año y 10 dias terrestres

Creo que cabe destacar que privar imágenes de que otros accedan a ellas por .htaccess es algo realmente tedioso y molesto para nosotros como visitantes. Por eso, limitémonos a solo privar el acceso a librerías de inclusión

Yo no tengo mucho conocimiento de php y mysql, pero yo lo hago de la siguiente forma, tengo una carpeta de clases en la cual tengo la clase mysql.php, la cual tiene todas las funciones:
function conectar que utiliza mysql_connect()
function consulta mysql_query()
y asi todas la funciones al momento que hago una consulta, lo hago con la instancia de la clase y si se quiere evitar la inyeccion de codigo sql pueden leer este articulo aqui esta explicado como evitar la inyeccion de una forma facil, me e basado de este articulo para mejorar mi web.
http://www.webtaller.com/construccion/lenguajes/php/lessons/creando_webs_modulares.php, espero les sirva

Hola veo que son todos unos eruditos en esto de las webs....

Bueno el caso es que segun veo la mayoria son tips de quien cuenta con servidor propio o quien es admin de uno.. en mi caso solo contraté un dominio y hosting, por lo que solo tengo acceso al plesk y mediante ftp con un user y pass, mi pregunta es.. que DEBO tener en cuenta para proteger mi pagina web si solo eh comprado un hosting?
Me gustaria poder proteger la carpeta donde tengo los sources (archivos .php, archivos .css, etc)
en cuanto a las DB pues esas las creo desde el plesk y en el directorio raiz de mi hosting (viendolo con ftp) no veo donde esta la base de datos asi que....¿Que precausiones debo tomar yo en mi caso?

jhony192

primero muy bueno tu post lo otro es que lamento informarles que la encriptacion md5 no es como se cree 100% segura
demen N claves sifradas con md5 y les aseguro retornarles un 90% de las respuestas.


Saludos

Les dejo algo de mi saber

por medio de sangoogle pueden buscar mucha informacion de tu sitio web


1) robot.txt
User-agent: * /*********************aplica para todos los robots de los buscadores*************************/
Disallow: /un_directorio_protegido/
Disallow: /otro/
Disallow: /uno_mas/

2) crea directorios y protegelos por medio de cpanel o ssh con contraseña
3)ofusca las paginas como por ejemplo

conexio.php /***********************donde esta el acceso a la base de datos con usuario y claves*****************/

4) crea contraseñas seguras usando caracteres alpha numericos

5) no accedas a tu whm, cpanel, ssh, desde cafes internet o maquinas prestadas a menos que tengan un programa congelador y una vez termines la reinicias ( te pueden capturar tus claves y te jodes )
6)siempre cierra tu sesion de lo que estes usando en un cerrar de ojos te pueden copiar toda la base de datos desde el cpanel, si vas al baño bloquea windows con tu usuario.
7) si en tus desarrollos creas Upload filtra los archivos que pueden subir y te recomiendo que uses zip, rar, tar, ya que te pueden subir un archivo .php con algun exploid y te joden


bueno hay mas.............

por motivos de tiempo los dejo hasta aqui pero ya saben

SANGOOGLE

saludos desde Cali - Colombia

locohuesos, estan muy interesantes tus aportes.

me gustaria saber mas acerca de seguridad estoy tomando unos cursos de php y mysql en el sena y quisiera hacer aplicaciones seguras.

gracias.


un post muy interesante jhony192

Hola gente, lamento informarles que están algo desactualizados en cuanto a seguridad.

1) Por más @ que se agregen, los errores están de todas maneras, y la vulnerabilidad está y a pesar de ser más complicada de efectuar, es vulnerable, y con todo esto me refiero a una inyeccion Blind SQL.

2) El metodo de protección mediante addslashes() es vulnerable utilizando una inyección Javascript, me lo comprobo un socio mio mientras realizabamos una auditoría al sitio taringa.net, luego le pregunto como lo realizó, y les comento como asegurarse sin utilizar addslashes()

Suerte

Una pregunta a patolin si dices que no es seguro el método que están proponiendo cual sería el:shock: má s seguro o no existe solo cambiar contraseñas a menudo ????????

Haz un tema nuevo con tu pregunta. No olvides de poner el mensaje de error exacto (copia y pega el mensaje).

Por otro lado te diré que estás atrasado. PHP4 está obsoleto, mejor usa la versión 5 (5.3 es la última), a menos que tengas alguna necesidad especial de usar esa versión. La versión de Apache es vieja, la última es 2.2. también deberías cambiarla.

Sobre tu problema, como dije, abre un tema nuevo.