{"id":2577,"date":"2020-08-06T02:53:41","date_gmt":"2020-08-06T02:53:41","guid":{"rendered":"https:\/\/www.eaprende.com\/blog\/?p=2577"},"modified":"2020-08-07T01:01:21","modified_gmt":"2020-08-07T01:01:21","slug":"seguridad-en-scriptcase","status":"publish","type":"post","link":"https:\/\/www.eaprende.com\/blog\/2020\/08\/06\/seguridad-en-scriptcase\/","title":{"rendered":"Seguridad en ScriptCase"},"content":{"rendered":"

Aqu\u00ed hablaremos sobre el \u00abdescuido de seguridad\u00bb en un desarrollo realizado con ScriptCase en un caso real.<\/em><\/p>\n

Un producto (ll\u00e1mese sitio web, sistema web, servicios web, etc.) es seguro o inseguro dependiendo del nivel de atenci\u00f3n que le pongamos a la hora de la construcci\u00f3n.<\/p>\n

Utilicemos o no un framework para el desarrollo, o estemos usando un paquete cerrado como lo son WordPress, Joomla, Moodle, etc, cada uno tiene su l\u00edmite entre lo seguro e inseguro, en algunos casos basta con mantener actualizados los parches de seguridad o desinstalar ciertos m\u00f3dulos, pero \u00a1hay que hacerlos!<\/em> En otros casos hay que programar correctamente la recepci\u00f3n y la limpieza de cada variable para protegerse de cualquier tipo de inyecci\u00f3n de c\u00f3digo malicioso (especialmente de SQL)<\/p>\n

En definitiva, no es algo m\u00e1gico, no hay un bot\u00f3n que se active para hacer seguro o no un sitio, hay que trabajarlo, hay que cuidar, hay que informarse, hay que conocer los ataques o vulnerabilidades en el entorno en el que estemos, no es para alarmarnos sino para tomar enserio la seguridad. \"\"<\/em>Muchos ya se conforman con el SSL y los certificados digitales, creen err\u00f3neamente que con la leyenda de \u00absitio con conexi\u00f3n segura\u00bb<\/em> ya es suficiente, y obviamente est\u00e1n totalmente equivocados, en el HTTPS la seguridad es en la transmisi\u00f3n de un punto a otro punto mediante la encriptaci\u00f3n de la informaci\u00f3n, no tiene nada que ver con la seguridad real de la programaci\u00f3n que se haya hecho en el sitio.<\/p>\n

En este art\u00edculo quiero expresar algunos puntos sobre la seguridad en el entorno de desarrollo del ScriptCase, el mismo trae sus m\u00f3dulos de seguridad correctamente, est\u00e1 totalmente preparado para \u201cenchufar y usarlo\u201d pero para muchos ese m\u00f3dulo no es prioridad, entonces mi recomendaci\u00f3n es tomarse el tiempo para aplicar las pol\u00edticas de seguridad correspondiente. Adem\u00e1s, las variables globales<\/strong>, sean estas de sesi\u00f3n, get o post, en forma predeterminada est\u00e1n marcadas las 3 maneras de recepci\u00f3n, cuando en realidad algunas veces solo necesitamos el de sesi\u00f3n.<\/p>\n

\"\"
En la imagen anterior podemos ver la configuraci\u00f3n de variables globales, solo se deben tildar las opciones necesarias, y no dejar tildadas las 3 opciones, a no ser que sean necesarias.<\/figcaption><\/figure>\n
\"\"
En la imagen anterior podemos ver la configuraci\u00f3n del m\u00f3dulo de seguridad para un formulario.<\/figcaption><\/figure>\n

 <\/p>\n

\"\"
En la imagen anterior podemos ver la configuraci\u00f3n del m\u00f3dulo de seguridad para una grilla.<\/figcaption><\/figure>\n

 <\/p>\n

SOBRE UN CASO REAL<\/strong><\/h5>\n

D\u00edas pasados me top\u00e9 con el sitio de una entidad gubernamental paraguaya y constat\u00e9 que su usuario admin por defecto estaba recibiendo par\u00e1metros por get, posiblemente solo deb\u00eda ser una variable de sesi\u00f3n.<\/p>\n

La vulnerabilidad por desatenci\u00f3n de la empresa desarrolladora es la siguiente, se accede al siguiente link:<\/p>\n

http:\/\/www.zzzzzz.gov.py\/admin\/form_noticias\/?usr_login=admin<\/strong> (por privacidad se omite el nombre real del sitio)<\/p>\n

Cualquiera que ejecutare el link anterior tomar\u00eda el control total de su contenido, pudiendo: alterar, borrar, o insertar nuevos contenidos.<\/p>\n

A partir de ah\u00ed ya es sencillo ingresar a los siguientes administradores, por ejemplo:<\/p>\n

http:\/\/www. zzzzzz.gov.py\/admin\/grid_noticias\/<\/strong><\/p>\n

Se ha enviado el aviso correspondiente a los emails que aparecen en dicho sitio, ya hace m\u00e1s de 2 meses del mismo y los responsables ni siquiera se dignaron a responder el aviso, ya se imaginan la importancia que le dan a la seguridad<\/em>.<\/p>\n

Entonces resumiendo todo, la seguridad es responsabilidad directa del desarrollador y no de ninguna herramienta que se use.<\/p><\/blockquote>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

La seguridad es responsabilidad directa del desarrollador y no de ninguna herramienta que se use.<\/p>\n","protected":false},"author":1,"featured_media":2587,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0},"categories":[1,54,46,53],"tags":[],"_links":{"self":[{"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/posts\/2577"}],"collection":[{"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/comments?post=2577"}],"version-history":[{"count":25,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/posts\/2577\/revisions"}],"predecessor-version":[{"id":2608,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/posts\/2577\/revisions\/2608"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/media\/2587"}],"wp:attachment":[{"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/media?parent=2577"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/categories?post=2577"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/tags?post=2577"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}