Blindar URL's en aplicaciones web.

Juan Ignacio Rodríguez de León jileon en parcan.es
Dom Sep 24 23:31:44 CEST 2006


Pepe Aracil wrote:
> Hola Lista.
> 
> Tengo un problema con una aplicación web, y es que las urls de los enlaces
> son tan explicitas que dan ganas de meterles mano para intentar saltarse
> la seguridad de la aplicación.He observado varios intentos de inyección sql
> el los logs del Apache.
> 
> Ejemplo de URL:
> 
> http://www.miapp.com/index.py?section=eventos_browse&popup=1&header=Eventos%20del%20telefono%20leonlift3&lock=eventos.id_telefono$_eq$_25$_end$_ 
> 
> 
> Como podéis observar el parámetro lock es un filtro sql y dan unas ganas 
> terribles
> de empezar a jugar con el }:-).
> 
> La idea sería añadir un parámetro mas a la url. Una firma del estilo 
> urlsum=AB003427C1A122...
> con MD5 o SHA1 de forma que   urlsum = MD5/SHA1(url + clave_privada).
> 
> ¿Hay alguna forma mejor de proteger la info en las urls?
> 
> ¿Alguien tiene ya algo hecho? ;-P
> 

¿No sería mejor que pasaras los parámetros (si fuera posible) como POST 
y no como GET?

Y aun mejor ¿No sería mejor olvidar completamente la idea de pasar 
código SQL (O cualquier otro tipo de código ejecutable)?

Son sólo sugerencias. Un saludo.




Más información sobre la lista de distribución Python-es