PDA

Ver la versión completa : Defiende tus aplicaciones PHP con PHPIDS



LUK
15-07-2008, 15:24
Para cualquiera que siga listas como Bugtraq (http://en.wikipedia.org/wiki/Bugtraq) o se de una vuelta por packetstorm (http://www.packetstormsecurity.org/) le resulta común encontrarse diariamente con cientos -literalmente- de vulnerabilidades asociadas a desarrollos web basados en PHP.

Generalmente el tipo de bug suele estar asociado a un mal filtrado del 'input' que proviene del usuario, ejemplos típicos son construir una sentencia SQL empleando un campo obtenido en algún formulario, o mostrar íntegramente y sin filtrar algún mensaje empleando un dato ofrecido por el usuario, lo que nos daría un bonito SQL Injection (http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL) y un XSS (http://es.wikipedia.org/wiki/Cross_Site_Scripting).

Evidentemente este tipo de ataques son fruto de malas practicas de seguridad a la hora de programar, pero para ser justos no es menester culpar siempre al programador. Todos somos humanos y cometemos fallos.

Incluso proyectos tan robustos como WordPress han sido victimas de este tipo de fallos y por ende, sitios de la talla de Alt1040 han sido hackeados (http://alt1040.com/2008/04/si-alt1040-fue-hackeado/).

Por eso, siempre es bueno que nos echen una mano a la hora de filtrar patrones maliciosos. Un proyecto que tiene como objetivo fortalecer aplicaciones PHP es PHPIDS (http://php-ids.org/).


http://img398.imageshack.us/img398/2302/phpids1ie1.jpg

El funcionamiento de PHPIDS es bastante curioso, no requiere instalar módulos en Apache ya que el proyecto en si es tan solo código PHP. Lo que hace es posicionarse "delante" del código PHP que se va a ejecutar y analizar los parámetros, si todo esta bien, se los envía al script, si encuentra alguna violación de seguridad, lo bloquea y muestra un mensaje de error. El concepto sería análogo a un Firewall pero a nivel aplicaciones-PHP

Existe un how-to bastante completo aquí donde explica paso-a-paso como instalar PHPIDS.

Fuente: http://www.securitybydefault.com/2008/07/defiende-tus-aplicaciones-php-con.html

KaoS
15-07-2008, 18:26
Muy bueno Luk. Muchas gracias!

gondar_f
24-07-2008, 13:53
Habrá que echarle un ojo, porque ciertamente cualquier pequeño descuido y ala a los 2 días un bonito desface...

Un Saludo

alienmaster
04-10-2008, 23:13
Esto estara bien para el tema de cuando quieres programar rapido y tal, pero si es algo serio o es alguna programacion a medida es un poco cutre estar usando estas cosas, das a parecer que no eres capaz de programar seguro. Pero de todas formas esta bastante bien para principiantes o gente que sepa muy poco.

Saludos