Seguridad

Me gustaria saber si existen scanners o algo que verifique la seguridad de un script. Se que los hay de "webs" pero no les veo tampoco mucha chicha. Ya me he leido varias veces los tipicos tutoriales y he comprobado en muchas webs fallos tipicos. Lo ultimo que he aprendido es sobre que las sesiones no me parecen seguras porque se puede hacer un cute&paste y meterse en la cuenta de otro...

¿algo mas profesional? ¿algun servicio gratuito? ¿alguna empresa de seguridad que no sea una estafadora? ¿algun consejo?

Yo pretendo hacerlo todo sin posibilidad de entrada arbitraria por parte del usuario pero hay cosas que es imposible... yo tampoco se como bloquear todo lo que sea peligroso... ¿como protegerme de lo que no conozco?

¿Sugerencias?

bueno si manejas bien las sesiones pues tu sistema sera in-vulnerable pues garantizas que los datos del usuario van a ser protegidos, ademas hay muchas tecnicas lee sobre md5 encriptacion de contraseñas, pues hasta los bancos utilizan estas tecnicas en sus paginas hay algunas que utilizan cgi para ello o lee sobre php-nuke que proporcionan mucha seguridad, por alli hay un autentificador que ha creado cluster que es muy bueno.

bueno si quieres puedes brindarle seguridad a traves de escaner o algo asi, pero bueno busca sobre esta interaccion y como se hace con php, es muy bueno utlizar esta tecnica cuando se quiere entrar a un lugar privado donde hay cosas de mucha importancia, estilo bancos,bobedas, etc.

bueno eso es todo.

bye.

Muchas gracias, como comente, ya me conozco los manuales tipicos, programo hace muchos años. El tema trata de aprender mas, no usar scripts prehechos, que suelen tener publicados sus bugs ademas de ser bastante poco profesionales muchos de los que me he descargado de hotscripts.

Haré un cutepaste de mi post en es.comp.hackers que es mas completo que lo anterior:

¿Alguien sabe como podria mejorar la seguridad de una web? en la parte de
programacion, todo lo que leo es lo de siempre, y no veo ni si quiera ideas
que tengo sobre, por ejemplo, como mejorar las sesiones php ya que son
vulnerables a un simple cute&paste. Basicamente lo que haré será no dejar
nada con entrada arbitraria por parte del usuario.

Estoy informandome sobre certificados ssl para garantizar el bloqueo de
espias y troyanos. He visto alguno que no tiene un precio abusivo, pero
tambien he leido que IE7 dictamina que no son fiables a ciertos servicios,
(como el que hay gratuito) asi que no se si saltaria con esa empresa...

¿Que seria lo mejor? ¿Contratar a algun tipo de empresa para que me revisen
la web y el servidor? ¿Como diferenciarlas de empresuchas? Porque hay miles
de patanes por ahi... No tengo pelas para pagarle una millonada porque hagan el chufla... prefiero ser yo el que aprenda mas

No quiero tener que hacer las cosas 40 veces y mucho menos que exista algun fallo brutal y quede en evidencia...

He visto algun scanner de vulnerabilidades web pero en cuanto pones una
pagina de error personalizada se va al carajo el scanner...

¿Algo barato (gratis) y eficaz?

Supongo que la mejor manera de protegerse es poner lo menos posible y no
tener nada que le interese a nadie, asi que estaba pensando en eliminar el
correo electronico o como encriptar las direcciones para que aun teniendo la
base de datos no les sea facil sacarlas, aun asi el correo electronico me
parece tan mala opcion de comunicacion que prefiero no enviar ni un correo,
total para que no llegue...

Asi que no tengo muy claro como voy a hacer el tema de atencion al cliente,
ya que por voz no puede ser todo (seria repetir lo mismo 50mil veces) y por
correo no es fiable pero si pongo algun sistema de estos de faq con "foro"
ya tendrian posibilidad de joderme en el buscador o con algun fallo de la
propia aplicacion....

¿Sugerencias?

sessiones?
como eso de la vulnerabilidad en una session?
no se supone que trabajan del lado del servidor?

una cookie si sabia pero como es el tema de las sessiones en cuanto a vulnerabilidades digo

Saludos

Cada sesion tiene un id de sesion, los id de sesion pueden ser enviados por cookies o url, si copias ese id de sesion y lo utilizas desde otro pc entra directamente en la cuenta del otro usuario.

un ejemplo: un tio tiene un correo, le envian una foto, le parece graciosa y le pasa la direccion a su colega por msn, este pincha en la direccion y al tener el id de sesion en la url (en el caso de que esté) ve la imagen y de camino puede acceder al correo de su amigo ;) ¿a que es cutre? ajjaja Hay maneras de solucionarlo, hay tutoriales por ahi, yo creo que ademas de eso voy a controlar la ip en la sesion (no se porque no lo hace automaticamente)

Habiendo cosas como esta, tan exageradamente peligrosas ¿que habra que yo no sepa? De eso trata mi preocupacion.

para el que le interese... acunetix vulnerability scanner

Propaga el SID en cookies, ajusta la vida de la sesión más corta .. No uses el sistema clásico de sesiones (con el pésimo control de tiempo de vida o expiración de sesiones) .. En fin . .hay muchas soluciones a ese problema.

Parecerá obvia el comentario que te voy hacer .. pero es la pura realiadad: documentandose más.

En mi vida de programador en PHP he llegado como todo el mundo al tema sesiones, he ido implementandolas en mis aplicaicones conforme leía sobre el tema y he pasado también por problemas de "uso" e incluso "seguridad" cuando no las conocía en profundidad. Por eso una de mis recomendaciones anteriores iva por el lado de "no usar" el soporte nativo de sesiones de PHP para un ajuste más fino de las sesiones creadas (no tanto como que sean "inseguras" que no lo son si las usas bien) sino por funcionalidades como por ejemplo la del control del tiempo de expiración de cada sesión en forma individual (y no en forma global como lo hace PHP para toda sesión creada).

Me parece que hay estás liandote y no aplicacndo lo que es SSL ni un certificado como tal. El SSL principalmente te sirve para encriptar la comunicación entre cliente y servidor. Para que esto funcione .. instalas un módulo en tu servidor HTTP (en Apache es el "mod_ssl") .. El "SSL" en sí (modulo) en un servicio de hosting no sé si tendrá costo adicional .. pero una "comunicación encriptada" en sí .. sin un "certificado" que autentifique que quien emite esos datos "encriptados" es quien dice ser y de donde dice ser no lo tuvieras .. no presta ninguna confianza a tus usuarios.


No sé como funciona IE7 ni como trata ese tema concreto .. pero bueno . . en parte tiene lógica que sólo acepte certificados emitidos por entidades acreditadas (otra cosa será la gente que los emite para taréas concretas como Intranets .. ).

NO esperes un servicio de ese estilo "gratuito". En consecuencia tampoco esperes algo "barato" .. Lo otro que deberías hacer es "confiar" en tu proveedor de servicio de hosting .. el ya debe velar por la seguridad en general del servidor .. por supuesto no lo va hacer por tu -trabajo-: tu aplicación .. Pero es cierto que hay proveedores que si detectan algún -mal uso- de sus recursos por un problema de tu programación .. te avisan.

Con respecto a como diferenciar al "bueno" y al "malo" ... Pide opinión en foros especializados, usa google .. no te creas nada de lo que leas en sus "web's". En fin .. compara (esto es como todo .. no irse con el primero que se te cruce).

Un saludo,

Insisto que si leyeses más sobre sesiones y sobre cookies no verias esos problemas o los mitigarías.

Si propagas el SID en cookies (session.use_only_cookies = ON) y NO aceptas el SID propagado en el URL (session.use_trans_sid = OFF) ya no te sirve ese "truco" para "suplantar" una sesión abierta en ese instante en otro cliente.

En la creación de la cookie que PHP genera .. también puedes incluir el "dominio" al que pertenece .. así que no sirve tampoco "re-crear" una cookie similar con ese ID (SID) en otro cliente (domino) e intentar usarla ..

También hay otras directivas para "asegurar" una sesión .. por ejemplo:
session.referer_check que revisa de donde viene creada la sesión (o quien la piede mejor dicho: cliente).

Por otro lado .. muchos sistemas (sobre todo bancos por ejemplo) para acciones "delicadas" bajo una sesión X abierta suelen pedir la contraseña nuevamente para continuar con algún proceso delicado: una transferencia, un cambio de contraseñas .. cambios en el perfil del usuario .. etc.

Un saludo,