Browse by Tags
All Tags »
SEGURIDAD (
RSS)
Hace unos días MicrosofT publicó un boletín de seguridad anunciando que se iba a publicar una actualización de seguridad para una vulnerabilidad de ASP.NET. La actualización MS11-100 está disponible a través de Windows Update, del Windows Server Update Service y como descarga en el centro de descargas de Microsoft. La actualización resuelve un problema que [...] Read More...
Como todo programador de ASP.NET sabe, la mayor parte de las API de esta plataforma de desarrollo web están basadas en el modelo de proveedores. Para explicarlo de manera rápida, básicamente esto significa que entre la funcionalidad que el programador utiliza y el almacenamiento relacionado con ésta, existe un elemento intermedio llamado "proveedor" que desacopla ambas partes. De esta manera, si queremos utilizar otro tipo de almacenamiento basta con cambiar el proveedor en la configuración y listo. no es necesario tocar el código en absoluto, por lo que resulta muy cómodo y útil. El siguiente esquema (sacado de MSDN) ilustra la arquitectura de este modelo: Como vemos muchos servicios como los de seguridad ( Membership y Roles ), la...
Este pasado martes impartí una charla en el grupo de usuarios de ASP.NET de España ( AUGES ) titulada como este post: “Seguridad de aplicaciones Web: las técnicas más interesantes para que no hackeen tu aplicación” El resumen de la misma es el siguiente: Programar es mucho más que la simple creación de aplicaciones que cumplen con la funcionalidad para la que fueron diseñadas. Existen otras muchas consideraciones que hacer y multitud de características tan importantes como la propia funcionalidad que se deben tener en cuenta: rendimiento, extensibilidad, facilidad de mantenimiento, etc... entre las que destaca especialmente la seguridad del código que se escribe. De poco o de nada sirve una aplicación que lleva a cabo su cometido principal pero...
Igual de sorprendido me he quedado yo al leerlo en Alt1040. Parece que se ha roto el cifrado SSL/TLS debido a una vulnerabilidad presente en un applet de Java que puede ser explotado a través de inyección de Javascript. Si, bueno, vale, algo amarillo cuando uno lee el hilo del foro de bugs de Mozilla: [...] Read More...
Aquí os dejo un video que he grabado sobre como securizar nuestras aplicaciones ASP.NET eliminando algunas cabeceras http. Espero que os guste!!!...( read more ) Read More...
Ya se que puede parecer un poco cansino y repetitivo este tipo de post. ¿Quién no sabe a día de hoy el significado de este atributo en el web.config de una aplicación web verdad? Pues parece ser que mucha gente lo desconoce y desconoce también las implicaciones que conlleva dejarlo en producción con el valor Off , que ha sido posiblemente heredado de el entorno de desarrollo o pre-producción. Hace tiempo que escribí unos artículo para...( read more ) Read More...
Vamos a listar las noticias en orden cronológico, para intentar entender la vulnerabilidad: Miercoles 15-Sep, Juliano Rizzo anunciaba a Clarín se iba a presentar una vulnerabilidad de ASP.NET durante la conferencia de seguridad Ekoparty . Nota: Uno de cada cuatro sitios web está expuesto a ciberataques . Jueves 16-Sep, El equipo de investigación, Thai Duong and Juliano Rizzo , de la vulnerabilidad pública un video en youtube de como atacar y tomar el control total de un famoso CSM: DotNetNuke. Video: POET vs ASP.NET: DotNetNuke . Viernes 17-Sep, El equipo presenta su investigación: Padding Oracles Everywhere , en la conferencia de seguridad Ekoparty . Viernes 17-Sep, Microsoft lanza un boletín...
Si disponemos de un servicio Web en nuestro servidor que está destinado a ser utilizado por nuestras aplicaciones pero no queremos facilitar que otros programadores le puedan sacar partido: ¿para qué queremos dejar publicado su archivo de descripción WSDL? El WSDL ( Web Services Description Language ) describe cómo es un servicio Web: qué tipos usa, qué métodos expone, etc… y es lo que usan Visual Studio y otras herramientas para crear un proxy que nos permita usar un determinado servicio. Se puede visualizar para cualquier servicio de .NET añadiendo ?wsdl al final de su URL, por ejemplo: http://www.miservidor.com/Servicios/miServicio.asmx?wsdl Cuando añadimos una nueva referencia Web a nuestro proyecto, en el diálogo que aparece podemos inspeccionar...
Esta es una cuestión bastante habitual y es que es muy útil, siendo administrador de una aplicación, poder entrar como cualquier otro usuario para ver lo mismo que éste ve y poder hacer cosas en su nombre. Sobre todo a la hora de dar soporte técnico, poder atender mejor a los usuarios, ayudarles o detectar posibles problemas en sus cuentas. La idea es la de poder entrar haciéndonos pasar por otros usuarios , como si fuésemos ellos, pero sin conocer sus credenciales . El otro día un alumno de mi curso de Desarrollo Web con ASP.NET me preguntó precisamente esto, por lo que me he decidido a grabar un vídeo práctico explicando como hacerlo. Como verás es muy fácil, pero interesante. Dejo el vídeo a continuación y te recomiendo que, antes, te leas...
En los últimos posts he estado hablando sobre la seguridad de ASP.NET basada en Forms. Esto ha traído algunas preguntas por parte de los visitantes. Una de ellas, bastante común, es la de cómo almacenar información adicional atada a los usuarios que hemos autenticado. La API de Membership que viene con ASP.NET, y en concreto el proveedor de Membership para trabajo contra SQL Server ( SqlMembershipProvider ) nos provee de los medios suficientes para almacenar la información básica sobre los usuarios, esto es, el nombre, su login y su clave, que es lo mínimo necesario para trabajar. En este gráfico puedes ver la estructura completa creada por ASP.NET (más bien por aspnet_regsql.exe) en nuestra base de datos para dar soporte a SqlMembershipProvider...
More Posts
Next page »