este informe es de muchos caracteres si quieren puedo poner los capitulos en distintos mensajes ," a ver si nos dejan"

son como 14 pag...

saludos.......

pondria el vinculo de donde lo saque , pero formatee el disco(por ende lo perdi) , pero si alguien se lo sabe ..podria ponerlo




1. Introducci¢n
2. Caveats y Alcance
3. Variables Globales
4. Archivos Remotos
5. Upload de Archivo
6. Librer¡as
7. Sesiones
8. Array asociativos y otros
9. Funciones que hay que utilizar con cuidado
10. Protegi‚ndose
11. Responsabilidad - Lenaguaje vs Programador
12. Otros

"I could imagine his giving a friend a little pinch of the latest vegetable
alkaloid, not out of malevolence, you understand, but simply out of a spirit
of inquiry in order to have an accurate idea of the effects." - Stamford

--- < 1. Introducci¢n > ----------------------------------------------------

Este investigaci¢n fue basada en la charla realizada durante BlackHat briefings
en Singapur y Hong Kong en abril del a¤o 2001. Esta charla fue titulada
"Breaking In Through the Front Door - The impact of Web Applications and
Application Service Provision on Traditional Security Models". Aqu¡ se invirti¢
un gran tiempo comentando acerca de PHP. Para lo que no sepan que es PHP, PHP
significa "PHP Hipertext Preprocessor". Es un lenguaje de programaci¢n (
dise¤ado especificamente para Internet ) en el cual PHP se embebe en las paginas
web. Cuando un Cliente hace un pedido a una pagina, el servidor web primero pasa
la pagina a un interprete de lenguaje que ejecuta el codigo, luego la pagina
resultado es enviada al cliente.

Obviamente esta aproximaci¢n esta mas relacionada con la naturaleza del paso de
una pagina a otra de una aplicaci¢n web que de un lenguaje CGI como C y Perl.
PHP ( y otros lenguaje para internet ) tienen la siguientes caracteristicas:
+ Interpretados
+ Ejecuci¢n R pida - El interprete esta dentro del servidor web, no fork() o
setup overhead.
+ Muchas Utilidades - Cientos de funciones no triviales incluidas.
+ Sintaxis simple - no se declaran variables y variable poco tipeadas.

Durante el transcurso de este escrito voy a tratar de explicar porque yo siento
estas ultimas dos caracteristicas las que hacen a las aplicaciones escritas en
PHP f cil de atacar y dificil para defender. Despu‚s voy a terminar con un
planteo acerca de la distribucion de culpas cuando se habla de seguridad del
software.

"You must study him, then ... you'll find him a knotty problem, though. I'll
wager he learns more about you than you about him." - Stamford

--- < 2. Caveats y Alcance > -----------------------------------------------ail]josx@intero
[emrganic.com[/email]