Blindar URL's en aplicaciones web.
Juan Ignacio Rodríguez de León
jileon en parcan.es
Dom Sep 24 23:31:44 CEST 2006
Pepe Aracil wrote:
> Hola Lista.
>
> Tengo un problema con una aplicación web, y es que las urls de los enlaces
> son tan explicitas que dan ganas de meterles mano para intentar saltarse
> la seguridad de la aplicación.He observado varios intentos de inyección sql
> el los logs del Apache.
>
> Ejemplo de URL:
>
> http://www.miapp.com/index.py?section=eventos_browse&popup=1&header=Eventos%20del%20telefono%20leonlift3&lock=eventos.id_telefono$_eq$_25$_end$_
>
>
> Como podéis observar el parámetro lock es un filtro sql y dan unas ganas
> terribles
> de empezar a jugar con el }:-).
>
> La idea sería añadir un parámetro mas a la url. Una firma del estilo
> urlsum=AB003427C1A122...
> con MD5 o SHA1 de forma que urlsum = MD5/SHA1(url + clave_privada).
>
> ¿Hay alguna forma mejor de proteger la info en las urls?
>
> ¿Alguien tiene ya algo hecho? ;-P
>
¿No sería mejor que pasaras los parámetros (si fuera posible) como POST
y no como GET?
Y aun mejor ¿No sería mejor olvidar completamente la idea de pasar
código SQL (O cualquier otro tipo de código ejecutable)?
Son sólo sugerencias. Un saludo.
Más información sobre la lista de distribución Python-es