Archivo de la etiqueta: seguridad

Configurar XAMPP para proyectos en desarrollo en local

Logo de XAMPP con Apache, PHP y MySQLDespués de una instalación limpia de XAMPP, uno de los primeros pasos que pueden interesar es ejecutar el chequeo de seguridad (localizado en la URI http://localhost/security/). Por la configuración inicial, habrá unos cuantos puntos que marcará como inseguros; son fáciles de solucionar con el solucionador que trae XAMPP (lozalizado en la URI http://localhost/security/).

Sigue leyendo Configurar XAMPP para proyectos en desarrollo en local

Validar y filtrar en PHP

Filtro de bolas de cristalUna de las principales fuentes de ataques en las aplicaciones, provienen de los datos que se reciben. Para mayor seguridad, estos deben ser tratados: validando y saneando cualquier byte que proviene del exterior, ya sean variables como ficheros subidos.

Hay que diferenciar la validación del filtrado:

  • La validación determinará si el parámetro es correcto y cumple los requisitos deseados, o no.
  • El filtrado, o saneamiento, intentará convertir el parámetro para que cumpla la validación, modificando el original.

Sigue leyendo Validar y filtrar en PHP

Proteger los directorios .svn

Portada del libro de Subversion de OReillyCuando se pasa un proyecto que se encuentra en un repositorio de Subversion, hay dos opciones: copiar todo el contenido de la Workcopy (incluyendo las carpetas .svn) o exportar el proyecto para solamente tener el contenido del repositorio. En el caso de hacer la primera opción, hay el peligro de que las carpetas .svn, que contienen información del repositorio, sean visibles desde el sitio web.

Pero con una línea en el .htaccess, se pueden evitar miradas indeseadas en las carpetas .svn de nuestros proyectos:

RewriteRule ^(.*/)?\.svn/ - [F,L]

Herramientas para detectar redes WIFI en Windows

Radar de redes WifiCualquier usuario de Windows en un portátil, conoce la aplicación que trae para detectar redes Wifi al alcance. Este programa tiene una serie de limitaciones, y podría tener más funcionalidades interesantes. De cara a una auditoria de seguridad Wifi, hay aplicaciones que pueden ser muy prácticas para empezar a recopilar datos públicos de las redes wireless.

Sigue leyendo Herramientas para detectar redes WIFI en Windows

Instalar WifiWay en un pendrive persistente para Atheros AR2985

Logo de la distribución WifiWayDespués de varios intentos, he conseguido arrancar en el portátil ASUS EEEPC 1101HA una distribución de Linux destinada a la auditoría de redes inalámbricas, y he podido testear la seguridad de redes inalámbricas hasta el punto de acceder a ellas, descubriendo la contraseña de acceso.

De las distribuciones más conocidas (WifiSlax, WifiWay y BackTrack), he utilizado WifiWay, ya que es la continuación de WifiSlax, añadiéndole nuevos drivers para las tarjetas gráficas. Aunque no venía el driver necesario para la Atheros AR2985, no ha sido difícil la instalación de este.

Sigue leyendo Instalar WifiWay en un pendrive persistente para Atheros AR2985

Como detectar intrusos en tu WIFI

Wifi HackedHoy en día, hay muchas ofertas de internet que conllevan un router con WIFI. Por desconocimiento, la mayoría de usuario no tienen adecuadamente configuradas sus redes inalámbricas, y la seguridad es bastante pobre en estas redes. Así, alguien con ciertos conocimientos y herramientas, detectará muchas redes inalámbricas, y bastantes de ellas serán de fácil acceso para él.

Para los propietarios de las redes WIFI que quieran mejorar su seguridad, una primera necesidad es saber si hay alguien ya ha conseguido  acceder a nuestra red, si alguien ha sido capaz de saltarse nuestra seguridad. ZamZom Wireless Network Tool es una herramienta para Windows, que nos mostrará todos los equipos conectados a nuestra red. Con esta aplicación, veremos la IP y la MAC de cada ordenador que esta conectado con nuestro router, incluidos nosotros.

Sigue leyendo Como detectar intrusos en tu WIFI

Vulnerabilidad grave de WordPress que satura el servidor

Wordpress SeguridadLa noticia esta en todos los blogs de informática que abarcan WordPress mínimamente.  La noticia, que proviene del blog Desvaríos informáticos, narra como el autor descubrió la vulnerabilidad, la notificó a los responsables de WordPress, y estos no le han dado la importancia que se merece. En los comentarios se puede leer la diferencia de opiniones sobre si José debía publicar o no toda la información del bug.

En resumen, hay un agujero de seguridad por el cual, haciendo unas 20 peticiones, se puede saturar un servidor donde tiene alojado un WordPress. En la entrada se muestra las líneas de código que dan el fallo, se muestra el código en PHP de un exploit que consigue el objetivo mencionado, y un par de soluciones para resolver este fallo.

Sigue leyendo Vulnerabilidad grave de WordPress que satura el servidor

Zend_Auth: Identificación y autentificación en Zend Framework

Zend FrameworkÚltimamente en el trabajo estoy aprendiendo Zend Framework, y he tenido que estudiar el componente Zend_Auth de la librería. En pocas palabras, se encarga de la autentificación, es decir, la parte de identificar al usuario. Hay que marcar que la autenticación no es lo mismo que la autorización, que se encarga de los privilegios y permisos (de esto miraré de hablar en otra entrada, sobre Zend_Acl).

Primero, necesito explicar que estamos creando un plugin que se encarga de comprobar cada petición, que el usuario este autentificado. Como plugin, estará en la carpeta application/plugin. Se llamará CheckAccess, extiende la clase Zend_Controller_Plugin_Abstract, y la he convertido en una clase singleton, para utilizarla desde los controladores sin necesidad de volverla a instanciar.

Sigue leyendo Zend_Auth: Identificación y autentificación en Zend Framework