XSS mediante HTML no estándar

ByLuis May 7, 2007

Cuando se quieren evitar ataques XSS, normalmente en PHP se usan las funciones htmlspecialchars o htmlentities.

Ahora veo un ejemplo en el que un ataque puede evitar estas funciones cuando se crea la pÃ¡gina con HTML no estÃ¡ndar. Tenemos el tÃpico ejemplo de un texto que se introduce por un formulario y se presenta como un enlace.

$dato = htmlentities($_GET['dato'], ENT_QUOTES);
echo "<a href=pagina.php?dato=$dato>Enlace</a>";

Si os fijÃ¡is bien verÃ©is que el enlace estÃ¡ mal formado y no tiene las comillas en el href. Si metieramos como dato de entrada lo siguiente: ” onclick=alert(null)” (sin las comillas), nuestra pÃ¡gina sufrirÃa un ataque XSS y mostrarÃa un mensaje alert.

Non-Standard HTML Fuels XSS Attacks

Desarrollo web

Login mediante cookies

ByLuis February 13, 2008

Este post quizás es algo teórico, por lo que serviría para cualquier lenguaje (PHP, Java, ASP…), pero no habrá código para poder utilizar.

Se trata de hacer login en una aplicación mediante una cookie que estará almacenada en el navegador. Esto es lo que se suele hacer cuando queremos recordar al usuario y así que no tenga que logarse cada vez que entra o se pierde la sesión del navegador. Como se trata de una cookie le podemos poner la fecha de caducidad que queramos por lo que el usuario permanecerá logado durante ese tiempo.

Los datos en la cookie no pueden ir en claro, ya que cualquiera podría obtener esos datos si accedieran a nuestro navegador, por lo que hay que encriptarlos.

Supongamos que tenemos una tabla de usuarios que tiene como mínimo 3 datos: alias, contraseña y código. El alias y la contraseña están claro para que se usan y el código lo veremos más adelante. Contraseña y código serán ambos datos encriptados con MD5.

El proceso de login normal (mediante formulario) sería el siguiente: recibimos usuario y contraseña mediante POST y hacemos consulta a la BD para obtener los datos del usuario mediante el alias. Una vez obtenidos los datos del usuario, comprobamos si la contraseña de la BD y la contraseña recibida y encriptada con MD5 son la misma (nunca hay que recuperar los datos igualando el usuario y la contraseña, ya que si no se hace correctamente puede haber problemas de seguridad, por lo que es mejor obtener primero los datos y luego mediante código comparar los datos). Si las contraseñas coinciden daremos acceso a la aplicación, pero antes almacenaremos en el campo código un valor aleatorio y encriptado con MD5 que usaremos después.

Para realizar el login mediante cookies tendremos que guardar en la cookie el alias y la contraseña. Lo único que encriptaremos será la contraseña, el usuario también se podría encriptar, pero obtener los datos del usuario usando el alias encriptado es menos eficiente, tendría que realizar un MD5 por cada registro de la tabla de usuarios. También se podría almacenar en otro campo el alias encriptado, pero serían datos redundantes y tampoco es muy correcto.

La contraseña no se guardaría únicamente encriptada, ya que el MD5 se puede romper mediante fuerza bruta, por lo que lo que almacenaremos será una unión encriptada de una función simple entre la contraseña y el código. El ejemplo más sencillo para la función es la concatenación, por lo que la contraseña almacenada en la cookie quedaría algo así:

md5(contraseña+codigo)

que para ver un ejemplo más claro, si nuestra contraseña fuera ‘password‘, quedaría algo así:

md5( md5('password') + md5( rand() ) )

ya que la contrasñena en la BD se guarda encriptada y el código es un valor aleatorio encriptado.

Supongo que con mucha paciencia también se puede romper este código, pero realmente, si te preocupa que alguien pueda romper un MD5 de una cadena de 64 caracteres (32+32), mejor no hagas el recordar password y usa SSL.

Una vez obtenida la contraseña de la cookie, realizamos la operación con la contraseña obtenida en el consulta a la BD y si coinciden pues damos acceso a la aplicación.

Cada vez que se haga login se renueva el código y actualiza la cookie, y cada vez que se haga logout o se equivoque en el login se actualiza el código y se borra la cookie.

Esta es la forma en que lo haría yo, pero si alguien tiene dudas sobre la eficacia del método, por favor que lo comente.

PHP

Captura pantallas con PHP y GD

ByLuis April 18, 2007

El tema de los screenshots de pÃ¡ginas web es algo que ahora estÃ¡ bastante de moda. Existen servicios que nos muestran miniaturas de pÃ¡ginas web a las que enlazamos (algo que a mucha gente desespera), pero en algunos casos somos nosotros quienes queremos obtener esas capturas.
En este caso se van a realizar mediante PHP y la librerÃa GD, aunque para ello haya que modificar la librerÃa GD por esta otra, la cual aÃ±ade las funciones imagegrabscreen y imagegrabwindow, permitiendo grabar pantallas completas y ventanas (usando su manejador) respectivamente.
Los ejemplos que nos muestran funcionan bajo Windows y ejecutando PHP en modo lÃnea de comandos, nos abre una ventana de IE y captura su contenido. Â¿Pegas? no tengo claro si se puede redimensionar la ventana y nos muestra tambiÃ©n el IE, no el contenido HTML Ãºnicamente.
Screen capture with PHP and GD
VÃa / Planet PHP

PHP

Paypal NVP API con Codeigniter

ByLuis October 6, 2010

Las tiendas online son uno de los productos más usados en desarrollo web, pero suele ser lo que más dolores de cabeza da debido al pago por tarjeta de crédito. Afortunadamente, Paypal ofrece la posibilidad de pagar mediante tarjeta de crédito. Para ello, Paypal dispone de una API NVP muy cómoda de usar.

Para los usuarios de Codeigniter existe una librería que nos facilita toda la tarea. En el controlador primero debemos indicar el SetExpressCheckout que prepara la transacción. Cuando aceptemos el OK de la llamada se redireccionará a Paypal para que el usuario pueda realizar la compra, que devolverá la llamada a una URL nuestra y en ese caso, cogiendo los datos devueltos por Paypal podremos confirmar la transacción:

define('PAYPAL_URL', 'https://www.sandbox.paypal.com/webscr&cmd=_express-checkout&token=');

class Demo extends Controller {

    function Demo()
    {
        parent::Controller();
    }

    function index() {
    $this->paypal_api_lib->add_nvp('RETURNURL', 'http://servidor/demo/ok');
    $this->paypal_api_lib->add_nvp('CANCELURL', 'http://servidor/demo/cancel');
    $this->paypal_api_lib->add_nvp('NOSHIPPING', '0');
    $this->paypal_api_lib->add_nvp('ALLOWNOTE', '1');
    $this->paypal_api_lib->add_nvp('SOLUTIONTYPE', 'Sole'); // esto es lo que no obliga a que se tenga que tener cuenta Paypal
    $this->paypal_api_lib->add_nvp('LANDINGPAGE', 'Billing');
    $this->paypal_api_lib->add_nvp('AMT', '69.00');
    $this->paypal_api_lib->add_nvp('NOSHIPPING', '2');
    $this->paypal_api_lib->add_nvp('HDRIMG', 'http://servidor/logo.gif');
    $this->paypal_api_lib->add_nvp('CURRENCYCODE', 'EUR');
    $this->paypal_api_lib->add_nvp('L_NAME0', 'Librito');
    $this->paypal_api_lib->add_nvp('L_AMT0', '59.00');
    
    $this->load->library('session');
    $sesion = array('paypalAmount'=>'69.00');
    $this->session->set_userdata($sesion);

    if($this->paypal_api_lib->send_api_call('SetExpressCheckout')){
      if (strtoupper($this->paypal_api_lib->nvp_data["ACK"]) =="SUCCESS") {
                    $token = urldecode($this->paypal_api_lib->nvp_data["TOKEN"]);
                    $payPalURL = PAYPAL_URL.$token;
                    header("Location: ".$payPalURL);
          exit();
      }
    }
    paypal_errors(); 
  }
    
  function ok() {
    $this->load->library('session');

    $this->paypal_api_lib->add_nvp('TOKEN', $_REQUEST['token']);
    $this->paypal_api_lib->add_nvp('PAYERID', $_REQUEST['PayerID']);
    $this->paypal_api_lib->add_nvp('PAYMENTACTION', 'Sale');
    $this->paypal_api_lib->add_nvp('AMT', $this->session->userdata('paypalAmount'));
    $this->paypal_api_lib->add_nvp('CURRENCYCODE', 'EUR');
    $this->paypal_api_lib->add_nvp('IPADDRESS', $_SERVER['SERVER_NAME']);

    if($this->paypal_api_lib->send_api_call('DoExpressCheckoutPayment')) {
      var_dump($this->paypal_api_lib->nvp_data);
    } else {
      paypal_errors();
    }
  }

}

CI PayPal NVP Library

PHP

5 consejos para crear código compatible con PHP6

ByLuis December 11, 2007

Aunque a algunos puedan parecerle consejos obvios, no hay que olvidar que no todo el mundo que programa en PHP controla el lenguaje.

No usar register_globals: da igual que sea PHP6 o anterior, no se deberÃa usar, de todas formas, a partir de PHP6 no serÃ¡ posible usarlas.
No usar magic_quotes: al igual que en el punto anterior, en PHP6 desaparecerÃ¡ esta opciÃ³n, ademÃ¡s de aÃ±adir de que se permita o no su uso, no se deberÃan utilizar.
No usar variables predefinidas largas: Si usas $HTTP_POST_VARS o $HTTP_GET_VAR deberÃ¡s cambiarlas por las respectivas $_SERVER, $_COOKIE, $_GET, $_POST, $_FILES…
Usar preg en lugar de ereg: en el uso de expresiones regulares deberemos usar las funciones preg (compatibles con Perl).
No inicializar variables con el operador referencia: cuando hagas algo del estilo $var =& new objeto(); deberÃ¡ asignarlo sin el operador referencia porque te darÃ¡ un error E_STRICT.

Becoming PHP 6 Compatible

VÃa / PHPDeveloper.org

Laboratorio | PHP

Internacionalización mediante PHP

ByLuis October 20, 2006

Yo creo que el hecho de usar multilenguaje en un sitio web puede ser algo muy importante, sobre todo si deseas que tenga bastante repercusiÃ³n. En Sentido Web ya hay entradas que trata el tema del multi-idioma ya sea mediante Apache o aportando recursos.

Esta vez vamos a hablar sobre un mÃ©todo que nos muestran en PHPBuilder. Se trata de tener varios ficheros para almacenar los textos traducidos, un fichero para cada idioma admitido (en.php, es.php, fr.php, de.php …) en el cual tendremos un array que contendrÃ¡ cÃ³digo-traducciÃ³n. En este caso, tambiÃ©n hay un array para las imÃ¡genes, por si hay botones con texto que son realmente imÃ¡genes:

<?php
// Textos a traducir
$dicc['text'] = array (
'welcome' => 'Bienvenidos',
'thanks' => 'Gracias por participar',
...
);
// ImÃ¡genes especificas para idiomas
$dicc['imgsrc'] = array (
'title' => 'graphics/title.es.png',
'footer' => 'graphics/footer.es.jpg',
..
);
?>

Ahora solo falta obtener el idioma o asignar uno por defecto, importar el script especÃfico del idioma seleccionado y usarlo.

// Buscamos si el idioma estÃ¡ especificado en la URL
if (isset($_GET['lang'])) {
// Si lo estÃ¡, lo introducimos en una coockie para tenerlo la prÃ³xima vez
$lang = $_GET['lang'];
setcookie('lang', $lang, time()+(3600*24*365));
} else if (isset($_COOKIE['lang'])) {
// Miramos si lo estÃ¡ en una cookie
$lang = $_COOKIE['lang'];
} else {
// Por defecto en inglÃ©s
$lang = 'en';
}
// Obtenemos las traducciones
require_once "{$lang}.php"
echo $dicc['text']['welcome'];

Claro, que a parte de un diccionario/traductor se puede usar un directorio especÃfico para cada idioma que contenga el contenido en ese idioma. Por ejemplo en un sitio de noticias no puedes tener un diccionario para introducir todo el texto de la noticia.

Afortunadamente los frameworks actuales como Seagull ya nos ofrencen mÃ³dulos que nos facilitan esta labor.

Localizing a Web Page for Different Languages

VÃa / dzone

Bases de datos | PHP

phpCodeGenerator: código para tu BD automático

ByLuis July 12, 2007

phpCodeGenerator es una librerÃa para generar sitios web desde una base de datos. Permite leer la base de datos y generar una web que permita crear, listar, editar, modificar, eliminar y buscar registros.
Funciona con cualquier base de datos compatible con ADODB, como MySQL, Microsoft Access o PostgreSQL. La informaciÃ³n que contiene una BD: el esquema de la BD, las tablas, campos y propiedades, es suficiente para poder realizar unas clases que permita crear, editar, actualizar y eliminar registros, una base para que el desarrollador luego pueda realizar su aplicaciÃ³n web mÃ¡s facilmente.
El framework phpCG permite construir aplicaciones PHP orientadas a objetos que sean extensibles, portables y escalables.
phpCodeGenerator
VÃa / International PHP Magazine

Similar Posts