11 de noviembre de 2013

Como evitar un Full Path Disclosure en PHP


Hace un tiempo vimos de que se trataba una vulnerabilidad de tipo Full Path Disclosure, hoy les quería dejar tres alternativas para poder mitigar este tipo de fallo, que como vimos, puede llegar a revelar información sobre la disposición de nuestros directorios, nombres de archivos, etc.

Evitar un FPD es tan simple como desactivar la visualización de los mensajes de errores. Claro está que este tipo de configuraciones son imprescindibles en los servidores de producción, ya que se supone que en una etapa previa de desarrollo fueron depuradas todas las funciones.

Si tenemos la posibilidad de configurar el archivo php.ini podemos utilizar la directiva display_errors

display_errors = 'off'

Si tenemos la posibilidad de editar nuestro archivo .htaccess podemos escribir la siguiente directiva

php_flag display_errors off

Finalmente, podemos setear no visualizar los mensajes de error en tiempo de ejecución desde el mismo script escrito en PHP haciendo uso de la función init_set()

init_set('display_errors', false);

De esta manera, la idea es limitar por los diferentes medio la exposición de información por un simple error en tiempo de ejecución que revela información de nuestra estructura de directorios y archivos.

A poner en práctica estos consejos y espero todos sus comentarios y consultas.

Saludos!
Publicadas por a la/s No hay comentarios.:
Etiquetas: , ,

7 de noviembre de 2013

Recta final para los premios Bitacoras

Este es el primer año que participo en estos premios Bitacoras.com 2013 ya verdad estoy muy feliz de todos y cada uno de los votos obtenidos, les puedo asegurar que es un privilegio estar en esa lista acompañando a tantos colegas y profesionales de la Seguridad Informática como es el caso de los chicos de Security By Default, HackPlayer, el blog de Angelucho, Chema Alonso, Flu Project, Blackploit, Inseguros, Seguridad a lo Jabalí, etc.

Todos excelentes profesionales y con un reconocimiento extraordinario en los blogs, es por ello que mi objetivo para este año es estar entre los 50 mejores, como les comentaba, estar en esa lista para mi es realmente reconfortante, pero siempre hay que ir un poco más adelante y me idea es estar presente entre los 50.

Votar en los Premios Bitacoras.com

Nuevamente gracias a todos los que están votando, a seguir apoyando a los blogs que más les gusta de todas las categorías y les pido un par de votos más para cumplir mi objetivo.

Muchas Gracias!
Publicadas por a la/s No hay comentarios.:
Etiquetas: , ,

5 de noviembre de 2013

The Original Hacker - jugando con la inteligencia

Hoy es el lanzamiento de la revista digital The Original Hacker creada por mi amiga Eugenia Bahit con el objetivo de lograr un compilado de información para profesionales a los que realmente les apasiona su carrera; para quienes verdaderamente disfruten jugando con la inteligencia, más allá de la tecnología.


La propuesta es abarcar, al menos, los siguientes 5 temas en cada una de las ediciones mensuales:

  • Shell Scripting: con mayor énfasis en Python y en Bash, pero experimentando también con otros lenguajes;
  • Seguridad informática: basada no solo en seguridad de aplicaciones en capas a nivel de código, sino también, en protección a nivel sistema;
  • Ingeniería tradicional de Software: abarcando las técnicas y prácticas más avanzadas de la ingeniería de Software, aplicadas en Python y PHP;
  • Ingeniería Inversa: haciendo hincapié más que nada en los procesos de razonamiento implementados en la Ingeniería Inversa aplicada al desarrollo de Software;
  • Taller de desarrollo y laboratorio con Europio Engine;

Saludos!

Enlace | OriginalHacker.org
Descarga | The Original hacker Nº 1
Publicadas por a la/s No hay comentarios.:
Etiquetas: , , , ,

4 de noviembre de 2013

#GitHub Hacking: conexiones MySQL

Volviendo a jugar con la caja de sorpresas de GitHub, les quería dejar una nueva cadena de búsqueda para GitHub que les va a sorprender.

Antes de comenzar a utilizar los framework de PHP, en particular Symfony fue el que siempre me gustó de la cantidad de alternativas conocidas, uno como programador buscaba la forma de programar lo más escalable posible, con el afán de establecer una conexión con MySQL, díganme quién no utilizó alguna vez la función mysql_connect();

Bueno, eso es justamente lo que vamos a buscar en GitHub.

mysql_connect('localhost', *)

y nos damos con que hay más de 40.000 códigos de proyectos que publican la forma en como se conectan con su servidor de base de datos, tampoco hay que ser muy adivino para saber cuáles son los argumentos de la función mysql_connect() que son server, username y password.

Para sorpresa mía, en la documentación oficial de PHP, nos dice que esta función está obsoleta a partir de PHP 5.5.0 y se eliminará en un futuro. Las nuevas alternativas son mysqli_connect() y PDO::__construct() 

Leer artículo completo
Publicadas por a la/s No hay comentarios.:
Etiquetas: , , ,
Suscribirse a: Entradas (Atom)

Entradas populares