informacion sensible visible a cualquiera!!

edited abril 2010 in Principiantes
<!-- s:? --><img src="{SMILIES_PATH}/icon_confused.gif" alt=":?" title="Confused" /><!-- s:? --> Bueno no se si esto es bug, como dije antes soy novato en este frame el asunto es que me he puesto a estudiar el manual, ya que este frame se ajusta a mis necesidades para crear un proyecto personal, pero veo que tiene muchas cosas para mejorar ... por ejemplo:
¿que sucederia si hacemos print_r de un objecto con relacion a clase db en el view ??
pues nos mostraria toda la informaciona sencible como el password, usuario de la conexion de la base de datos. <!-- s:? --><img src="{SMILIES_PATH}/icon_confused.gif" alt=":?" title="Confused" /><!-- s:? -->

tal vez habria que encasular o pasarla en funciones privadas en la class DB.

Por otra parte no me convence el uso ini para tener datos de la configuracion, ya que con simple fisgoneo(usando scaner) puedo leer en el navegador estos archivos... <!-- s:? --><img src="{SMILIES_PATH}/icon_confused.gif" alt=":?" title="Confused" /><!-- s:? -->

asi que voy a usar kumbia en un modo experimental y ya he cambiado algunas partes del frame para hacerlo a mi entender mas seguro...
pero ahora me estoy cuestionando, si vale la pena hacer un proyecto con el <!-- s:cry: --><img src="{SMILIES_PATH}/icon_cry.gif" alt=":cry:" title="Crying or Very sad" /><!-- s:cry: -->

saludos!!

Comentarios

  • ¿que sucederia si hacemos print_r de un objecto con relacion a clase db en el view ??
    ¿Con que version es esto? porque con las actuales esto nunca pasara, si solo estas "presumiendo" o estas aseverando... explicate mejor..
    tal vez habria que encasular o pasarla en funciones privadas en la class DB.
    Hmmm no es nada q no se sepamos, por eso pregunte antes que version utilizas?
    Por otra parte no me convence el uso ini para tener datos de la configuracion, ya que con simple fisgoneo(usando scaner) puedo leer en el navegador estos archivos...

    Hmmm pues eso no es asi... a menos que hagas mal la instalacion de la aplicacion, ya que el config.ini no debe ser de acceso public, es decir no debe estar en el DocumentRoot de tu servidor web, si lo usas asi imposble que eso pase...
    asi que voy a usar kumbia en un modo experimental y ya he cambiado algunas partes del frame para hacerlo a mi entender mas seguro...

    Creo que deberias pasar por el IRC aclarar tus dudas, nose que tipo de pruebas estas haciendo como tomarlas en cuentas, todo lo que expusiste no son de nada clara y correctas, sobre todo lo de los ini.

    Pero te invito a pasar por IRC y generar un feedback al respecto para hacer correcciones si son necesarias.

    Pero lo que comentas todo ha sido testeado por parte de nosotros como equipo de desarrollo y no hay brechas de seguridad en esa tema.

    Éxitos!
  • edited 2:14
    <!-- s:? --><img src="{SMILIES_PATH}/icon_confused.gif" alt=":?" title="Confused" /><!-- s:? --> evidentemente el problema es por que estoy probando en localhost <!-- s:? --><img src="{SMILIES_PATH}/icon_confused.gif" alt=":?" title="Confused" /><!-- s:? -->

    de todos modos sigo estudiando kumbia, hasta ahora me esta dando buenos resultados <!-- s:mrgreen: --><img src="{SMILIES_PATH}/icon_mrgreen.gif" alt=":mrgreen:" title="Mr. Green" /><!-- s:mrgreen: --> lo que no me queda claro es como instalar los ini, tu dices que fuera del root pero como tengo que cambiar algo <!-- s:shock: --><img src="{SMILIES_PATH}/icon_eek.gif" alt=":shock:" title="Shocked" /><!-- s:shock: --> porque he probado pero ni modo que funcione hay algun post o manual sobre este tema....

    por otra parte he scaneado con acunetix, y da una cola de errores como esto:
    A possible sensitive directory has been found&#46; This directory is not directly linked from the website&#46;This check looks for known sensitive directories like&#58; backup directories, database dumps, administration pages, temporary directories&#46; Each of those directories may help an attacker to learn more about his target&#46;
    This directory may expose sensitive information that may help an malicious user to prepare more advanced attacks&#46;
    
    y la lista de directorios son unos 24 el que mas me preocupa es kumbia/app/files. y kumbia/app/config.

    y tambien da estos errores :
    The description for this alert is contributed by the GHDB community, it may contain inappropriate language.

    Category : Files containing juicy info

    This is a very basic string found on directory listing pages which show the version of the Apache web server. Hackers can use this information to find vulnerable targets without querying the servers.

    The Google Hacking Database (GHDB) appears courtesy of the Google Hacking community.
    This vulnerability affects /kumbia/app/css (GET C=S;O=A).

    /kumbia/app/css/style-calendar (GET C=D;O=A).
    /kumbia/app/css/style-calendar (GET C=D;O=D).
    etc etc etc
    <!-- s:| --><img src="{SMILIES_PATH}/icon_neutral.gif" alt=":|" title="Neutral" /><!-- s:| --> pero sigo pensando que tal vez es por que estoy aprendiendo seguro que algo no estoy haciendo bien, de todos modos voy a realizar mi proyecto en kumbia, ya que es el mas se adapta a mis necesidades, el asunto es que tengo el proyecto terminado hecho totalmente in house, pero el cliente me ha pedido que sea montado en un framew... por que le han dicho que mas seguro <!-- s:cry: --><img src="{SMILIES_PATH}/icon_cry.gif" alt=":cry:" title="Crying or Very sad" /><!-- s:cry: --> no puede convenerlo de que no es asi, asi que para cobrar mi lana tengo que mudar todo lo programado a kumbia...

    bueno espero terminar antes de dos meses ya que me ha llevado 8 meses terminar el anterior trabajo <!-- s:cry: --><img src="{SMILIES_PATH}/icon_cry.gif" alt=":cry:" title="Crying or Very sad" /><!-- s:cry: -->

    saludos!!!

    PD: Disculpen mi ignorancia si he preguntado cosas incuerentes, pero asi aprendo....
  • ...lo que no me queda claro es como instalar los ini...
    Bueno en los archivos .ini solo se setea informacion por defecto del framework, como coneccion a la BD y otras cosillas pero en general todo es Configuración...

    No me queda claro a que te refieres con instalar...
    por otra parte he scaneado con acunetix, y da una cola de errores como esto:
    Bueno para correr esos test de seguridad tu aplicacion debe "simular" que esta en production, es decir debes activarlo en el config.ini porque esos directorios seguramente los ve ese escaner es porque el framework lanza exceptiones que son visibles estando en modo de desarrollo... La exception de KumbiaPHP es una ayuda para el desarrollo identificar donde esta falla dando "rutas" (path) del S.O. como te dije antes seguramente el escaner en sus "ataque" intenta acceder a URL y KumbiaPHP lanza exception que es alimento para el escaner determinar la seguridad, pero si cambias el modo desarrollo los errores deben cambiar...

    Recuerda que toda la seguridad no recae sobre el fw, tambien vale la configuracion a nivel de webserver y como configures la aplicacion en production, el dir esta protegido por el archivo .htaccess que lleva KumbiaPHP...

    <!-- m --><a class="postlink" href="http://wiki.kumbiaphp.com/KumbiaPHP_Framework_Versi">http://wiki.kumbiaphp.com/KumbiaPHP_Framework_Versi</a><!-- m -->ón_1.0_Spirit
Sign In or Register to comment.