¿Que tan peligrosa puede ser una vulnerabilidad XSS? www.cristalab.com

[Enlace XSS]: http://bit.ly/HxS6Io

Oh, que interesante. Encontraste una inyección a través de una de las redirecciones de logueo, quizás cuando notaste el error del / que tenemos ahora mismo. Muy muy interesante.

Creo que ya está arreglado ¿Has encontrado algun otro error así dentro del sitio?

¿Pero tenías que poner esa música de fondo?
Los duendes de Cristalab han quedado sordos

Jorge

Jaajja si es cierto

más práctico era avisar del problema y no hacer ese video ....con esa música....

No me malentiendas, que bien que se haya solucionado el problema gracias a ti, pero el video es tedioso y pudiste simplemente decir que se podia inyectar código en una URL .-. por lo menos yo pensé que sería algo más serio o más complicado.

Los entiendo, simplemente intente hacer un poco mas informativa la vulnerabilidad XSS y vieran algunas de las acciones que se pueden realizar con ella.

PD: Cambiare el audio del vídeo, creo que no fue el mas acertado.

vlycser escribió:

No es el audio, el video no es acertado en si, y really, ese formato de video no es muy in. Si querés hacer un tutorial o videotutorial sobre seguridad: hacelo, pero planificalo y enseña.

Esto no le sirve a nadie, porque no se sabe qué es, si es burla o si solo quisiste demostrar algo, cualquier cosa menos la intención de enseñar.

saludos

Gracias por avisar, vlycse y efectivamente no note ninguna mala intencion de tu parte.

Solo que como dice mariux, no quedo ningun aprendizaje tecnico, mas alla de identificar la vulnerabilidad.


Cambiando de tema, creo que soy el unico al que si le gusto esa musica.

Yo identifiqué la vulnerabilidad, vi donde era (variables REQUEST_URI no sanitizadas, muerte a PHP) y la arreglé. Por ese lado, fue efectiva.

Aunque sin duda, aparte de mi, la gente queda perdida porque falta un contexto.

Ok, excepto Dano coincidimos en lo de la música
Por otra parte es verdad que quienes no saben que es XSS o como se hace, o que es lo que haces cuando encodeas el JS para injectarlo, realmente no entienden demasiado de que va. Quizás si planearas algo así:

- Explicar que es XSS genéricamente
- Usar un ejemplo donde injectas JS directamente por ejemplo en un iframe, algo bien simplito par que se vea el efecto
- Usar algo mas avanzado para injectar, como lo que mostrabas.
- Cerrar contando que la mayoría de los lenguajes tienen herramientas y practicas para evitarlo (y quizás algún ejemplo de como hacerlo)

Si quieres comentar que las auditorías de seguridad lo primero que hacen es correr una batería de ataques XSS, redoblas la apuesta

Jorge

Freddie escribió:

¿Por qué? Tu esposa Python también tiene vulnerabilidades.

Python sería la amante, ya que por ahora anda arrimado a PHP...

Freddie, recuerda Python que es como Mac, a medida que se vuelve popular, se descubren las vulnerabilidades

Sigh...

PHP no sanitiza ninguna variable de entorno, porque las considera globales, es un proceso que se toma a mano. PHP es el lenguaje de template y el lenguaje básico en si mismo.

Yo no mencioné a Python, es curioso que ustedes lo hagan, así que mencionaré 4 frameworks:
Java con Struts, Node.js, Python con Django y Ruby con RoR todos sanitizan todas las variables de entorno e introducción de datos por usuario, por defecto. .NET también, ahí está, les puse 5.

¿Eso significa que en el resto de lenguajes es imposible tener XSS? No
¿Eso significa que PHP es más vulnerable y quiere más esfuerzo para evitar huecos de seguridad que el resto de lenguajes? Sí
¿Es inmaduro decir "tu esposa Python"? Definitivamente.
¿Comparar Python con Mac tiene sentido? No, para nada. En Python está hecho Youtube, Instagram, AdWords, Reddit. No tiene que ver con popularidad. Así no funciona.

Freddie escribió:

ohh, que respuesta casi lloro

Interesante muestra gracias por el vídeo, me fue muy ilustrativo.

Freddie escribió:

La vulnerabilidad no fue de PHP, fue del desarrollador al no usar alguna de las varias maneras que tiene PHP -de forma nativa- de sanitizar variables, una muy práctica por ejemplo es: http://php.net/manual/en/function.filter-var.php

Y si, no mencionas Python ahora pero cada vez que puedes criticas a PHP ... hace algun tiempo hubo una discusión en Reedit donde al final se demuestra que las criticas a PHP son mucho menores de lo que se trata de hacer creer.

¿Eso significa que en el resto de lenguajes es imposible tener XSS? No -- Agreed
¿Eso significa que PHP es más vulnerable y quiere más esfuerzo para evitar huecos de seguridad que el resto de lenguajes? Sí -- NO, depende de como sea implementado.

He tenido alguna experiencia con Python y me parece super cool, usarlo depende de tu propia desición o de la circunstancias laborales que estes pasando.

La discusión puede ser eterna, pero tenía que decirlo

Max escribió:

Ah, reddit. Y obvio en el reddit de PHPeros, no en otro. OK, ¿Qué tal Hacker News que es más neutral? El artículo "PHP, A fractal of bad design" entra en DOLOROSO detalle de cerca de 1000 cosas que están mal con PHP como lenguaje y la discusión en Hacker News confirman básicamente todo. Hasta el reddit de PHPeros admite que la gran mayoría de los puntos son reales y PHP es un lenguaje mal diseñado.

PHP es un buen lenguaje de principiante, que al llegar a nivel profesional no escala. Si estás haciendo CodeIgniter en PHP bien podrías estar haciendo RoR y ser más feliz y veloz. Cosas como "filter_var" no deberían ser necesarias (ni aplican a este caso al 100%, realmente).

Freddie escribió:

http://www.php.net/manual/es/function.addslashes.php

Manual de PHP escribió:

Inyaka escribió:

Exacto, en PHP hay que hacer un paso adicional que en el resto de plataformas web viene solucionado.

Freddie escribió:

La directiva de PHP magic_quotes_gpc estaba activada (on) por defecto antes de PHP 5.4

NO, no requiere un paso adicional, esto significa que actualmente basta con configurar el servidor y cuando se use la versión 5.4 de php (que ya fue lanzada) el servidor estará configurado por defecto

Inyaka escribió:

magic_quotes_gpc protege especificamente SQL Injection. No XSS ¿Viste el video? Este tipo de XSS no son protegidos por el "on por defecto" de 5.4.

Freddie... veo que tienes una posición tan clara al respecto, que debieras hacer un artículo exponiendo (no atacando) la conveniencia o no de usar PHP para cierto tipo de proyectos, abordando el tema de sus fortalezas y debilidades y tratando de dejar clara la posición.

Volviendo al tema de XSS, el error fue sencillamente no prevenir... algo que debías hacer al conocer las características de PHP

*No Maikel, nooooo

Para lo de la musica soy muy malo. Pero viendo que hablan de lenguages creo que aqui si puedo opinar un poco, lo que opino de PHP vs otros:

En el trabajo mi proyecto esta corriendo con Node.js + Backbone.js + jQuery + mongodb. Un proyecto grande soportado(hablamos de un facebook corporativo), y pues en general encontramos cosas buenas y malas en Node.js

He hecho algunos proyectos en RoR, ASP .net y por supuesto PHP. Tambien conozco como trabajan y he visto code real usado en produccion de proyectos en Python y JAVA servlets.

Explicando el contexto, lo que yo opine es esto:

PHP es un excelente lenguage, flexible, bien soportado por la comunidad. No es el que mejor arquitectura y disenho tiene, y hoy en dia eso le empieza a cobrar factura. Pero de eso a demeritarlo, no lo hare. Lo que si, es que esa flexibilidad permite que malos programadores puedan hacer puerqueros, pero eso ya no es culpa del lenguaje.

Node.js es lenguaje fresa, en mi proyecto trabajamos de la mano con agencias de NY lo fresa de fresa de disenho, y todos hablaban de Node.js y si no querias ser visto como un bicho raro tenias que conocerlo. Por supuesto a mi siempre las modas me han tocado las O.O asi que yo tuve que analizarlo antes de usarlo tambien, encontre cosas buenas, como el procesamiento paralelo y que se supone permite un optimo rendimiento en sitios masivos. Tiene cosas malas, como que en un lenguage "nuevo" no tenga datatype estricto (cada que les restrego esto intentan explicarme, "es que se basa en V8" como si no lo supiera)

Al punto importante realice benchmark entre una aplicacion web con Node.js y otra con Apache + PHP y en escala menor el rendimiento era similar, pero hablando de multiples(miles y miles) de usuarios concurrentes si tiene ventajas Node.js. Noten algo importante que Node.js no corre sobre apache, Node.js suele correr su propio webserver el que creo es mas popular es http://expressjs.com/

En Python no tengo mucha experiencia, pero se que esta mejor estructurado y planeado que PHP. Eso no convierte a PHP en una porqueria, es simplemente como hablar de carros, hay carros que pueden ser buenos, pero que sean buenos no quiere decir que sean los mejores, PHP es un buen carro, hay otro carros mejores que el.

Esa es mi opinion del tema.


Saludos y a tomarse las cosas con mas calma que para guerras hay otros temas.

Freddie escribió:

de echo addslashes si ayuda bastante contra ataques del tipo xss

A mi me gusto el video y la canción. Además si hacer un video con canción y toda la wea es la manera de Vlycser de avisar que hay un error pues dejenlo el es complicado para decir las cosas

Dano escribió:

Esto es quizás mi problema #1, las mentiras que nos decimos para justificar nuestras decisiones. PHP es flexible, tiene mucha comunidad, pero no ex un excelente lenguaje, todo lo contrario, es un pesimo lenguaje. Si juzgamos un lenguaje por su diseño, PHP es terrible. PHP es fácil de aprender, muy rápido de distribuir y servers hay en todos lados. Pero NO es un excelente lenguaje, ni de lejos. Y decirlo es perpetuar un muy mal diseño en el mundo.

Ser un mal lenguaje, mal diseñado es culpa del lenguaje. En cualquier lenguaje se pueden hacer cosas inmundas con un mal programador. Ese no es el punto de discusión, el punto es que PHP tiene una librería estandar pesima, malas prácticas de OOP y una serie de comportamientos por defecto que dan tristeza desde un punto de vista objetivo de diseño de lenguaje.

PHP no es un excelente lenguaje.

Te centras en una palabra en lugar de entender todo el contexto de lo que expongo.

Crei que era clara esta parte:
"No es el que mejor arquitectura y disenho tiene, y hoy en dia eso le empieza a cobrar factura. "

Y esta otra:
"Eso no convierte a PHP en una porqueria, es simplemente como hablar de carros, hay carros que pueden ser buenos, pero que sean buenos no quiere decir que sean los mejores, PHP es un buen carro, hay otro carros mejores que el."

"Excelente", tiene varias definiciones y una es que sobresale. PHP estuvo sobresaliendo muchos anhos(flexibilidad, lo que permitiio la rapida expacion de proyectos opensource) y por eso su popularidad. Insisto eso no quiere decir que sea el mejor, ni que no se deban intentar otros lenguages, ni tampoco quiere decir que se olviden lo malo que puede tener.(y esta hablando un phpero que no toca PHP hace anho y medio! )

Simplemente vuelvo a reiterar que no hay porque satanizarlo.

Insisitire que si solo de satanizar se trata que porqueria seria Node.js por ser un lenguage "nuevo" sin tener tipeado estricto de datos. (no es mi postura estar satanizando, yo ya expuse lo que pienso, PHP no es el mejor carro, hay otros carros mejores, pero tampoco significa que PHP sea tan malo, simplemente que hoy no es la mejor opcion)

Dano, PHP no es un excelente lenguaje. PHP es un lenguaje fácil y de rápido deployment, pero no es un excelente lenguaje.

¿Podemos estar de acuerdo en eso?

Si, estamos de acuerdo, no me quiero centrar en una palabra F.

Si enfocamos la "excelencia" del lenguage en arquitectura y disenho del mismo, en efecto, PHP no lo es.

(y quitando esa palabra ya en los posts anteriores expuse lo que pienso, PHP, no es el mejor lenguage, y "hoy" sus bondades lo estan matando, "ayer" fueron utiles para crear muchas aplicaciones)