Defendiendo tus aplicaciones PHP con PHPIDS


En el sitio securitybydefault.com encontre un intersante artículo donde sugieren usar PHPIDS (curiosa aplicación) como un escudo ante tus código PHP. A continuación el texto:





Para cualquiera que siga listas como Bugtraq o se de una vuelta por packetstorm le resulta común encontrarse diariamente con cientos -literalmente- de vulnerabilidades asociadas a desarrollos web basados en PHP.

Generalmente el tipo de bug suele estar asociado a un mal filtrado del 'input' que proviene del usuario, ejemplos típicos son construir una sentencia SQL empleando un campo obtenido en algún formulario, o mostrar íntegramente y sin filtrar algún mensaje empleando un dato ofrecido por el usuario, lo que nos daría un bonito SQL Injection y un XSS.

Evidentemente este tipo de ataques son fruto de malas practicas de seguridad a la hora de programar, pero para ser justos no es menester culpar siempre al programador. Todos somos humanos y cometemos fallos.

Incluso proyectos tan robustos como WordPress han sido victimas de este tipo de fallos y por ende, sitios de la talla de Alt1040 han sido hackeados

Por eso, siempre es bueno que nos echen una mano a la hora de filtrar patrones maliciosos. Un proyecto que tiene como objetivo fortalecer aplicaciones PHP es PHPIDS.

El funcionamiento de PHPIDS es bastante curioso, no requiere instalar módulos en Apache ya que el proyecto en si es tan solo código PHP. Lo que hace es posicionarse "delante" del código PHP que se va a ejecutar y analizar los parámetros, si todo esta bien, se los envía al script, si encuentra alguna violación de seguridad, lo bloquea y muestra un mensaje de error. El concepto sería análogo a un Firewall pero a nivel aplicaciones-PHP

Existe un how-to bastante completo donde explica paso-a-paso como instalar PHPIDS

Fuente:
por Yago Jesus
http://www.securitybydefault.com/

 



Otras noticias de interés:

Reciente parche de Microsoft es incompatible
Microsoft reconoció un problema de compatibilidad con uno de sus últimos parches. Uno de los últimos parches publicados por Microsoft, provoca el mal funcionamiento de programas, pantallas azules y bloqueos de todo el sistema. Solo afecta a usuar...
AVG + Opera 10.60 Seguridad+Velocidad
Finalizada la fase beta, Opera 10.60 es más rápido y más seguro que las versiones anteriores del navegador. Actualmente es el navegador más rápido!...
Google resuelve una vulnerabilidad severa en su navegador Chrome
Google ha lanzado una nueva versión de su navegador Chrome para resolver un problema de seguridad muy severo....
¿QUE HACER?
Caracas, 13 de octubre de 2004 Lenin hizo célebre la pregunta en uno de sus más difundidos trabajos teóricos. Cuando las crisis se generalizan y condensan, pensar políticamente con claridad se di...
Google actualiza su navegador a la versión 0.3.154.9 Beta.
Un navegador de aspecto sobrio, pero bajo el que pretende Google que se puedan correr las mas exigentes y complejas aplicaciones de hoy en día....
Atacar la Wifi es más rápido que beberse un café
Un informático especialista en seguridad ha descubierto una sencilla técnica para flanquear la encriptación WEP y registrarse en redes inalámbricas protegidas....
¿Gustavo Narea? ¿Y este quién rayos se cree?
Al amigo "Gustavo Narea", de la ciudad de Valencia, Estado Carabobo, Venezuela; se le subieron los humos. ...
Nuevo fraude en Facebook roba datos de acceso
Un nuevo fraude está comenzando a extenderse por Facebook. Utiliza como cebo una falsa petición de los responsables de la red social de Palo Alto para que los usuarios verifiquen que sus datos de cuenta son correctos....
¿Por qué Apple, Google y Microsoft rastrean a los usuarios?
Luego que una investigación denunciara que Apple rastrea la ubicación geográfica a través del iPhone y iPad, la privacidad volvió a protagonizar el debate. Así se descubrió que Google y Windows también recogen la ubicación de sus usuarios. L...
Un joven es acusado de estafar a internautas mediante una web falsa de AOL
Un adolescente de 17 años ha sido detenido por utilizar emails ?spam? y una página web falsa de AOL con el fin de engañar a los internautas y sustraerles información sobre tarjetas crédito y robar miles de dólares. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • aplicaciones
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • defendiendo
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • phpids
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra