Sentido Web

XSS Rays es un script que permite detectar vectores XSS en cualquier página web. Debemos instalar en un servidor web (puede ser en local) y añadir a nuestros marcadores o favoritos para poder ejecutarlo sobre cualquier página que visitemos. Funciona para IE y FF, aunque puede funcionar en otros navegadores, además se pueden personalizar los vectores [...]

Algo a tener en cuenta cuando realizamos una aplicación web son los ataques que podemos recibir, para así estar preparados contra ellos y tomar soluciones al respecto. En Web Application Security Consortium han realizado un documento que pretende “desarrollar y promover una terminología estándar para la industria que describa estos aspectos. Desarrolladores de aplicaciones, profesionales de [...]

Os presento una lista que he encontrado de 20 cosas que se pueden hacer para volver más segura tu configuración de Apache: Antes de nada, asegurate de que tienes instalados todos los parches de seguridad. Oculta la versión de Apache y otra información sensible. Asegúrate de que Apache se ejecuta con su usuario propio y su grupo de [...]

Interesantísimo artículo que nos guía a proteger nuestra aplicación web para evitar posibles ataques. Haciendo un corto resumen, separamos las distintas acciones que debemos seguir en: Validar todas nuestras entradas (variables de sesión y formularios). Los datos deben ser lo que se esperan, y si se esperan desde POST, que no vengan desde GET. Evitar el cross-site [...]

Interesante lista de puntos que pueden evidenciar que nuestra aplicación web tiene problemas de seguridad: Estadísticas expuestas: está bien saber quienes nos visitan, aunque lo que no es correcto es que esta información este disponible. Algunos programas de estadísticas tiene problemas de vulnerabilidad, a parte de que esa información debería ser confidencial.“Generated by Webalizer” intitle:”Usage Statistics”inurl:awstats [...]

PHP viene por defecto configurado para desarrollo, pero en producción hay opciones que no son recomendables sobre todo por temas de seguridad. Cambiad en el php.ini las siguientes opciones para mejorar la seguridad en tu entorno de producción: Desactiva el acceso a ficheros remotos: las funciones fopen, file_get_contents, y include permiten el acceso a ficheros remotos [...]

Mozilla pretende que las próximas versiones y funcionalidades que se incorporen a Firefox sean más seguras, para ello ha contratado a la anterior jefa de seguridad de Microsoft y ex-hacker. Según la nueva “Chief Security Something”. Deseamos reducir el riesgo general de Firefox evaluando constantemente donde hay funcionalidad no aprovechada, desechando luego el código antiguo. Mientras que [...]

Siempre que hagamos una aplicación web, tenemos que tener muy encuenta las cuestiones de seguridad, sobre todo las formas más conocidas de ataque. Una de estas formas es Cross-Site Request Forgeries, que más o menos viene a decir Falsificación de Petición desde Otro Sitio (quizás la traducción no es exacta, pero creo que lo explica [...]

Está claro que AJAX está de moda y que todo el mundo intenta hacer las aplicaciones usando esta técnica. El problema nos puede venir al no hacer una aplicación suficientemente segura. Aunque pensemos que caemos en todo lo necesario para que no le echen mano a nuestra aplicación, siempre nos podemos encontrar con desagradables sorpresas. [...]