Archivo de artículos :: Geoestrategia

VULNERABILIDADES DE APLICACIONES WEB: INYECCIÓN DE CÓDIGO PHP EVALUADO DINÁMICAMENTE (II)

30.12.2017 15:43

Ya vimos la inyección de código evaluado dinámicamente y la inyección estática de código. Antes de seguir adelante, sin embargo, queremos insistir en que el uso de "eval()" no es el único punto posible de de inyección de código evaluado dinámicamente. Vimos, por ejemplo, que PHP permite...

VULNERABILIDADES DE APLICACIONES WEB: INYECCIÓN ESTÁTICA DE CÓDIGO.

30.12.2017 06:18

En el lenguaje PHP la sentencia "include" incluye y evalúa el archivo especificado. En el manual de PHP leemos "Cuando un archivo es incluido, el intérprete abandona el modo PHP e ingresa al modo HTML al comienzo del archivo objetivo y se reanuda de nuevo al final. Por esta...

EMPRESAS POCO SERVICIALES IV - UN FINAL (MÁS O MENOS) ACEPTABLE

29.12.2017 16:12

Ayer Iberia cumplió con lo manifestado y por fin abonaron en la cuenta que aperturé el reembolso por un ticket de viaje que mi madre no utilizó porque no se presentó en el aeropuerto debido a que enfermó y tuvo que ser internada en el hospital; este trámite duró seis meses y al...

VULNERABILIDADES DE APLICACIONES WEB: INYECCIÓN DE CÓDIGO PHP EVALUADO DINÁMICAMENTE

29.12.2017 08:56

Si bien la inyección de código evaluado dinámicamente no es exclusiva del lenguaje PHP, usaremos el mismo para explicarla y ejemplificarla. En otro artículo sobre el tema veremos una vulnerabilidad asociada a la presente, la INYECCIÓN ESTÁTICA DE CÓDIGO. Damos un ejemplo de inyección...

VULNERABILIDADES DE APLICACIONES WEB: ¿CUÁL ES EL ERROR EN ESTA APLICACIÓN? (II)

29.12.2017 07:17

Para los lectores que no se percataron de cuál es el error publicamos el archivo atras.php tal cual estaba: <?php $usuario = $_POST['usuario']; $clave = $_POST['clave']; if (($usuario = 'administrador') && ($clave = 'quieroentrar123')){ ...

VULNERABILIDADES DE APLICACIONES WEB: ¿CUÁL ES EL ERROR EN ESTA APLICACIÓN?

28.12.2017 08:34

Veamos un ejemplo de otra vulnerabilidad web poco conocida: <html> <h1>Aplicación con un error</h1> <form action="atras.php" method="post"> Usuario: <input type="text" name="usuario" value=""> Clave: <input...

VULNERABILIDADES DE APLICACIONES WEB: MANIPULACIÓN DE PARÁMETROS

28.12.2017 07:26

El ataque de manipulación de parámetros se basa en la alteración de parámetros intercambiados entre el cliente y el servidor para modificar datos de la aplicación como credenciales de usuario y permisos, precio y cantidad de productos y otros. Por lo general, esta información se almacena en...

VULNERABILIDADES DE APLICACIONES WEB: ABUSO DE REDIRECTOR DE URL (II)

27.12.2017 10:45

Veremos otra forma de prevenir esta vulnerabilidad. Si no se puede evitar el ingreso de parámetros por parte del usuario se recomienda asignar a esa entrada un valor, en lugar de la URL real o parte de la URL. Del lado del servidor dicho valor se traducirá a la URL a la que se desea...

EMPRESAS POCO SERVICIALES III

27.12.2017 09:01

Después de innumerables emails de ida y vuelta con el afán de obtener un resultado positivo por parte de Iberia para que me reconociera el valor de un boleto aéreo (el importe es más de US$ 2000) que no se llegó a utilizar debido a que la usuaria enfermó, estuvo hospitalizada y en la...

VULNERABILIDADES DE APLICACIONES WEB: ABUSO DE REDIRECTOR DE URL

27.12.2017 08:34

Romperemos con el esquema clásico de la taxonomía de las vulnerabilidades de las aplicaciones web porque, en caso contrario, queda la impresión que hay un pequeño grupo de vulnerabilidades extremadamente importantes y que el resto no existe o no tiene ninguna importancia. El Abuso de...