Uno de los inconvenientes a la hora de decidirse por el uso de una herramienta de análisis de código estático es cómo evaluarla. El primer acercamiento es siempre el mismo: la que más detecte. Cuando ya te has estrujado los sesos mediante la arcaica técnica de “a prueba y error” te das cuenta de que [...]

En los últimos artículos sobre SQL Injection hemos tratado siempre de dejar claro que uno de los métodos más eficaces para solventar este tipo de vulnerabilidades es realizar consultas parametrizadas. Si bien hemos querido dejar claro que hay que prestar atención a la implementación, puesto que el simple hecho de parametrizar no es efecitvo (no solo es hacerlo, [...]

Hoy repasaremos algunas técnicas de ofuscación de ataques. ¿Para qué es necesario ofuscar los ataques? En caso de filtrado, IDSs o WAFS puede ser la única manera de realizar con éxito una intrusión. Adicionalmente con estas técnicas dificultamos el análisis de las actuaciones a posteriori, ya que los logs serán más trabajosos de seguir. Repasaremos [...]

Si pensamos en la vulnerabilidad Open Redirect, nos viene a la cabeza enseguida la palabra phishing. Esta vulnerabilidad es conceptualmente muy sencilla, si bien como veremos después, la manera de corregirla puede no serlo. Primero definamos formalmente Open Redirect, se trata de una vulnerabilidad que permite al atacante realizar una redirección arbitraria, debido fundamentalmente a [...]

Como ya hemos hablado en alguna ocasión, la Inyección SQL, es una vulnerabilidad importante que hay que considerar a la hora de encarar una auditoría de código. En esta entrada, vamos a hablar de manera breve, de cómo implementar consultas parametrizadas en un entorno típico de servidores Linux: PHP con MySQL. En PHP hay decenas [...]