Tema: Seguridad | Sentido Web

Clasificación de amenazas Web

Tue, 13 Nov 2007 18:45:00 +0000

Algo a tener en cuenta cuando realizamos una aplicación web son los ataques que podemos recibir, para así estar preparados contra ellos y tomar soluciones al respecto.

En Web Application Security Consortium han realizado un documento que pretende "desarrollar y promover una terminología estándar para la industria que describa estos aspectos. Desarrolladores de aplicaciones, profesionales de la seguridad, fabricantes de software y auditores, tendrán la capacidad de disponer de un lenguaje consistente para tratar los aspectos relacionados con la seguridad web".

El documento, disponible en español, nos muestra los distintos tipos de ataques que nos podemos encontrar (autenticación, autorización, por parte del cliente, ejecución de comandos, revelación de información y ataques lógicos), y nos explica posibles soluciones y referencias para obtener más información.

Web Security Threat Classification (español) - PDF

PHPIDS: seguridad en tus aplicaciones

Wed, 20 Jun 2007 08:45:00 +0000

PHPIDS (PHP-Intrusion Detection System) es una librería que podemos añadir a nuestras aplicaciones realizadas en PHP, que nos ofrece capa de seguridad de forma sencilla. No evita ni filtra ataques contra nuestra aplicación, tan solo detecta cuando se produce un ataque y actúa como nosotros queremos que lo haga.

Basado en un conjunto de filtros aprobados y testeados, cada ataque tiene asignado un número que valora su impacto en nuestra aplicación, lo cual hace sencillo decidir que acción tomar contra el intento de ataque, lo cual puede ser un mensaje de aviso por correo a los desarrolladores, mostrar un aviso al atacante o finalizar la aplicación.

La integración con nuestra aplicación es sencilla.

PHPIDS

Vía / PHPDeveloper.org

PhpSecInfo: información sobre la seguridad de tu PHP

Tue, 03 Apr 2007 10:00:00 +0000

PhpSecInfo es un equivalente a phpinfo() que nos muestra información similar a este pero indicando los puntos negros en nuestra instalación, mediante una serie de test realizados miediante una única llamada en el entorno de PHP, identifica posibles problemas de seguridad y ofrece soluciones.

Eso sí, hay que tener en cuenta que PhpSecInfo no sustituye métodos de programación para evitar problemas de seguridad y no hace comprobaciones de nuestro código PHP, tan solo detecta posibles fallos de seguridad.

PhpSecInfo

Descubierto troyano en Google Pages

Mon, 26 Jun 2006 08:58:48 +0000

El servicio de alojamiento de páginas de Google está siendo aparentemente usado por hackers para robar dinero mediante el uso de un troyano, el cual está alojado en una página que tiene la misma IP que el Google Pages.

El troyano se presenta como un programa legítimo, pero realmente oculta código malicioso y propaga información del ordenador mediante emails no solicitados o enlaces de mensajería instantánea.

El programa, que se encuentra comprimido mediante ASPack, se trata de un keylogger, el cual está diseñado para obtener información de cuentas sobre ciertas entidades financieras. Al menos, no se tiene constancia de que se haya producido ningún envio de información obtenida ilegalmente de algún ordenador.

Vía / DiarioTI

Parche no oficial para IE

Thu, 30 Mar 2006 18:30:17 +0000

A la espera de que Microsoft saque un parche para IE, dos empresas han desarrollado un parche extra-oficial para solucionar el problema de la función createTextRange() encontrado en IE 6 e IE7.

Parches

eEye: parche
Determina: parche

Vía / Downloadsquad