Lo acaban de publicar en la Last 25 papers added to the Reading Room. Se trata del documento: Protecting Your Web Apps: Two Big Mistakes and 12 Practical Tips to Avoid Them (pdf).
No me queda claro cuáles son las que consideran los autores (Frank Kim y Ed
Skoudis) los grandes errores, pero los consejos están claros:
- Utilizar código de validación conocido y controlado
- Especificar el tipo de datos de las varialbes
- No definir los caracteres malos, aceptar los buenos
- Limitar el tamaño de la entrada
- Canonicalizar antes de filtrar
- Filtrar todas las entradas
- Filtrar en el servidor
- No preocuparse porque existan varios niveles de validación
- Codificar adecuadamente la salida
- Elegir la codificación de salida adecuada
- Hacer una auditoría de código
- Hacer una prueba de penetración
Para algunos de los temas hablan del proyecto OWASP Enterprise Security API (ESAPI), que propone algunos módulos y funciones relativas a algunas cuestiones como la validación, canonicalización, …
Pingback: Bibliotecas para evitar problemas en PHP « Mbpfernand0's Blog
Pingback: Algunas ideas sobre ESAPI « Mbpfernand0's Blog