¿A traves de la URL se ve cual es la base de datos que uso?

tirengarfio · #1 (**permalink**) 28/10/2009, 11:31

Hola,

en el manual del framework Symfony esta escrito lo siguiente:

Cita:

Cuando el usuario realiza una acción, las URL se encargan de enviar la información desde el
navegador hasta el servidor. Las URL tradicionales incluyen la ruta hasta el script del servidor y
algunos parámetros necesarios para completar la petición, como se muestra en el siguiente
ejemplo:

http://www.ejemplo.com/web/controlad...o_formato=6532

La URL anterior incluye información sobre la arquitectura de la aplicación y sobre su base de
datos.

Entiendo que la arquitectura se puede ver porque en la URL aparece la palabra controlador: se esta usando el patro MVC.

Pero, ¿¿como se puede saber la base de datos que estoy usando??

¿Que otras cosas se pueden ver a traves de la URL y que den información que pueda hacer mi web más vulnerable?

mpeg · #2 (**permalink**) 28/10/2009, 11:39

incluye informacion porque con esa url sabes que la tabla se llamara articulos y tendra una columna id y otra codigo_formato ... nada mas

y que incluya informacion no quiere decir en absoluto que sea mas vulnerable, la arquitectura REST se basa en dar toda la informacion sobre tu esquema de base de datos desde la URL, es lo normal, pero eso no se puede usar de por si para atacar tu sitio

y aun en el caso de que tu sitio fuera vulnerable por otro lado, solo facilitaria un poco la tarea de enumeracion de la bbdd, nada mas.

tirengarfio · #3 (**permalink**) 28/10/2009, 12:09

Gracias mpeg,

pego la parte que habla sobre seguridad:

Cita:

Los datos técnicos que se muestran en las URL son una fuente potencial de agujeros de
seguridad. En el ejemplo anterior, ¿qué sucede si un usuario malicioso modifica el valor
del parámetro id? ¿Supone este caso que la aplicación ofrece una interfaz directa a la base
de datos? ¿Qué sucedería si otro usuario probara otros nombres de script, como por ejemplo admin.php? En resumen, las URL directas permiten jugar de forma directa y
sencilla con una aplicación y es casi imposible manejar su seguridad.

¿Sigues estando en desacuerdo?

mpeg · #4 (**permalink**) 28/10/2009, 12:32

a ver, pero esque ocultar las urls solo proporciona seguridad a traves de oscuridad, si en tu aplicacion un usuario puede ver la id 20 pero la 21 es privada, la aplicacion debe validar que el usuario tenga los permisos adecuados !

pero la url no tienes por que ocultarla, si se hacen bien las cosas no hace falta. y si no se hacen bien, te acabara pasando factura ocultes las urls o no xD

tirengarfio · #5 (**permalink**) 28/10/2009, 13:14

Es cierto, suena coherente lo que dices..