Blindar URL's en aplicaciones web.
Julio Canto
jcanto en hispasec.com
Vie Sep 22 13:30:10 CEST 2006
Pepe Aracil escribió:
> Hola Lista.
>
> Tengo un problema con una aplicación web, y es que las urls de los
> enlaces
> son tan explicitas que dan ganas de meterles mano para intentar saltarse
> la seguridad de la aplicación.He observado varios intentos de
> inyección sql
> el los logs del Apache.
>
> Ejemplo de URL:
>
> http://www.miapp.com/index.py?section=eventos_browse&popup=1&header=Eventos%20del%20telefono%20leonlift3&lock=eventos.id_telefono$_eq$_25$_end$_
O bien cifra la url, o bien 'modeliza' lo que vas a mandar para que no
sean literales que usas directamente contra la base de datos. Que el
propio script de recepción se encargue de comprobar esos parametros
recibidos. Lo de meterle un hash de comprobacion al final no seria de
gran ayuda.
Un saludo,
JC
Más información sobre la lista de distribución Python-es