tag:blogger.com,1999:blog-5399811056563385935.post318638612098889400..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: Bypasseando mod_security mediante HPPYago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger6125tag:blogger.com,1999:blog-5399811056563385935.post-40288310071271281142009-06-18T09:41:48.203+02:002009-06-18T09:41:48.203+02:00@Zerial y @Eduardo -> Efectivamente ambos decís...@Zerial y @Eduardo -> Efectivamente ambos decís que si dejamos en manos de mod_security la seguridad de la aplicación ante un posible problema en el propio mod_security, la puerta está abierta. Estoy de acuerdo con ambos, pero sin embargo, el problema al que nos enfrentamos aquí es un tipo de ataque nuevo. Un ataque para en el que entra en juego la implementación de cada servidor web a la hora de interpretar una variable repetida. Evidentemente que la programación segura es la mejor de las soluciones, pero es que dados los tiempos que corremos en que todo ha de estar hecho para ayer, sub-sub-sub-sub-contratando el trabajo a empresas mediante un montón de intermediarios, al final quien desarrolla no siempre está bien cualificado en las artes de la programación segura.<br />En cuanto a mod_security, no he sido capaz de encontrar una interfaz gráfica más allá de la utilización de ficheros, de manera hace que la configuración efectiva de la herramienta esté destinada a unos pocos que son capaces de entender claramente qué hace cada directiva.<br />Por otro lado, los ficheros de lista negra con los que viene, dada la publicación diaria de vulnerabilidades web encontradas, no te permite estar "al día" a no ser mediante suscripciones de pago (como muy bien apuntaba Eduardo).<br /><br />En conclusión, la programación segura está bien, pero creo que añadir una segunda capa de protección previa como puede ser un WAF nunca está de más y determinados sitios que protegen información extremadamente sensible (bancos, servicios de salud, seguros, administración pública) deberían contar con cuantas más medidas puedan para proteger los datos y el dinero de sus clientes.Lorenzo Martínezhttps://www.blogger.com/profile/01754634415587750581noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-4494535398435244142009-06-18T09:11:44.021+02:002009-06-18T09:11:44.021+02:00Mod_security no es la panacea. Lo ideal (risas de ...Mod_security no es la panacea. Lo ideal (risas de fondo xD) sería que los desarrolladores web tuvieran cuidado de validar que cada campo de entrada salida contiene lo que tiene que contener (básicamente, limitar la longitud y el tipo de dato sería un buen principio)<br /><br />Sin embargo, la gente deja mod_security "por defecto" y se olvida del asunto. Luego sale un exploit para el propio mod_security y fin ... <br /><br />Aparte, mod_security no es exactamente "free". La versión gratis tiene limitaciones, a no ser que haya cambiado, en su consola de administración, sino recuerdo mal. Eso sí, sigue siendo más barato que los productos comerciales. <br /><br />Los IDS/IPS llevan MUCHO tiempo de seleccionar + instalar actualizaciones y estar al tanto de las alertas. Configurar mod_security lleva un ratito ... <br /><br />Muy bueno el artículo!<br /><br />Saludos,<br />Eduardo.eduardohttps://www.blogger.com/profile/04910242392966620647noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-26197555698731092062009-06-17T13:38:41.540+02:002009-06-17T13:38:41.540+02:00Suelen suceder cosas asi cuando se usan configura...Suelen suceder cosas asi cuando se usan configuraciones por defecto, mas aun cuando de esa configuracion depende la seguridad de la aplicacion.Zerialhttp://zerial.orgnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-38394998392802241342009-06-17T10:36:37.313+02:002009-06-17T10:36:37.313+02:00Buena información!
NewlogBuena información!<br /><br />NewlogAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-22039723875659061502009-06-17T07:42:04.067+02:002009-06-17T07:42:04.067+02:00@Chencho -> Tienes toda la razón... me he liado...@Chencho -> Tienes toda la razón... me he liado al rehacerlo yo, ya está corregido. Muchas gracias por el apunte :DLorenzo Martínezhttps://www.blogger.com/profile/01754634415587750581noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-79885190714008344502009-06-17T06:57:26.745+02:002009-06-17T06:57:26.745+02:00Esto
http://www.miweb.com/index.aspx?a=select/*&a...Esto <br />http://www.miweb.com/index.aspx?a=select/*&a=*/name&a=password/*&a=*/from/*&*/a=users<br /><br />no sería esto?<br />http://www.miweb.com/index.aspx?a=select/*&a=*/name&a=password/*&a=*/from/*&a=*/userschenchohttps://www.blogger.com/profile/01746213912995761098noreply@blogger.com