Browse by Tags

• .NET
• AJAX
• ASP.NET
• CSRF
• Firefox
• Internet Explorer
• Miniposts
• PHP
• Sql Injection
• videos
• Web
• XSS

• Cifrado de información en los archivos de configuración de ASP.NET

  Una pregunta muy típica con la que me suelo encontrar es la de: "¿Cómo puedo hacer para proteger la información de mi cadena de conexión a la base de datos si ésta la pongo en mi web.config ?". Bueno, lo primero que he de decir es que siempre conviene usar mejor la seguridad integrada de Windows (cadena de conexión con "Integrated Security=SSPI;") que las cuentas propias de SQL Sever, por lo que en ese caso no sería necesario encriptar nada. Por otro lado existe un manejador de peticiones de IIS que impide que el contenido de los archivos web.config sea accedido mediante HTTP, por lo que sólo debería preocuparnos que alguien viera nuestra configuración en caso de tener un agujero de seguridad en el servidor o bien en nuestro... Posted Apr 28 2008, 11:35 AM by JASoft.org - ASP.NET Filed under: ASP.NET, SEGURIDAD

• Videos sobre seguridad en ASP.NET

  Videos sobre seguridad en ASP.NET: Canonicalization, Cookies, Cross-Site Scripting, Regular Expressions, SQL Injection, Validation Controls. Read More... Posted Dec 09 2007, 11:48 PM by Buayacorp » ASP.NET Filed under: ASP.NET, SEGURIDAD, Sql Injection, videos, XSS

• Vulnerabilidades en .NET Framework

  Vulnerabilidades en .NET Framework: .NET PE Loader Vulnerability, .NET JIT Compiler Vulnerability, ASP.NET Null Byte Termination Vulnerability Read More... Posted Jul 11 2007, 03:08 PM by Buayacorp » ASP.NET Filed under: .NET, ASP.NET, Miniposts, SEGURIDAD

• Eliminar la cabecera X-AspNet-Version

  Eliminar la cabecera X-AspNet-Version desde Web.config Read More... Posted Jul 02 2007, 07:18 PM by Buayacorp Filed under: ASP.NET, SEGURIDAD

• Versión estable de PHPIDS (Intrusion Detection System)

  Versión estable de PHPIDS y .NETIDS, sistemas de detección de intrusos (Intrusion Detection System) desarrollados en PHP y .NET Read More... Posted Jun 11 2007, 05:36 PM by Buayacorp Filed under: .NET, ASP.NET, Miniposts, PHP, SEGURIDAD, Sql Injection, Web, XSS

• 10 errores más comunes que pueden causar problemas de seguridad en ASP.NET

  Brian Sullivan, comenta los 10 errores más comunes que se cometen al configurar aplicaciones ASP.NET, estas configuraciones mal hechas podrían ayudar a los atacantes a vulnerar nuestras aplicaciones Web. Read More... Posted May 24 2007, 10:44 AM by Buayacorp Filed under: .NET, ASP.NET, SEGURIDAD, Web

• Bug XSS en ASP.NET 2.0 y video sobre XSS, CSRF, Ajax Hacking

  Bug XSS en ASP.NET 2.0 que explota la nula validación de ValidateRequest. Enlace a un Webcast sobre XSS, CSRF y Ajax Hacking presentado por Joe Stagner Read More... Posted Apr 16 2007, 01:00 PM by Buayacorp Filed under: .NET, AJAX, ASP.NET, CSRF, Miniposts, SEGURIDAD, XSS

• ValidateRequest no es suficiente para protegernos de ataques XSS

  En una entrada anterior ya había advertido que la validación que ofrece la propiedad ValidateRequest es muy básica como para sólo confiar sólo en ésta. Para probar esta afirmación tomaremos como ejemplo el siguiente código que seguramente muchos escribimos alguna vez y que otros todavía lo siguen haciendo html:<%@ Page Language="C#" AutoEventWireup="true" %>   <!DOCTYPE html [...] Read More... Posted Mar 20 2007, 02:30 AM by Buayacorp Filed under: .NET, ASP.NET, SEGURIDAD, Web, XSS

• Mitigar el robo de cookies a través del atributo HttpOnly

  El Service Pack 1 y las versiones posteriores de Microsoft Internet Explorer 6 admiten la propiedad HttpOnly para las cookies, que puede ayudar a mitigar las amenazas a las secuencias de comandos entre sitios que originan cookies robadas. Las cookies robadas pueden contener información confidencial que identifique al usuario en el sitio, como el id. [...] Read More... Posted Feb 13 2007, 08:19 AM by Buayacorp Filed under: .NET, ASP.NET, Firefox, Internet Explorer, SEGURIDAD, Web, XSS

• Problema con los filtros genéricos

  Hoy, acabo de encontrar en un foro la siguiente porción de código, que según su autor protege de ataques SQL Injection y XSS: php:# Función para evitar ataques SQL injection y XSS function limpiar_sql($value){ $value = trim(htmlentities($value)); // Evita introducción código HTML if (get_magic_quotes_gpc()) $value = stripslashes($value); $value [...] Read More... Posted Dec 26 2006, 02:30 PM by Buayacorp Filed under: .NET, ASP.NET, PHP, SEGURIDAD, XSS