Blindar URL's en aplicaciones web.
Pepe Aracil
pepe en diselpro.com
Vie Sep 22 12:22:50 CEST 2006
Hola Lista.
Tengo un problema con una aplicación web, y es que las urls de los enlaces
son tan explicitas que dan ganas de meterles mano para intentar saltarse
la seguridad de la aplicación.He observado varios intentos de inyección sql
el los logs del Apache.
Ejemplo de URL:
http://www.miapp.com/index.py?section=eventos_browse&popup=1&header=Eventos%20del%20telefono%20leonlift3&lock=eventos.id_telefono$_eq$_25$_end$_
Como podéis observar el parámetro lock es un filtro sql y dan unas ganas terribles
de empezar a jugar con el }:-).
La idea sería añadir un parámetro mas a la url. Una firma del estilo urlsum=AB003427C1A122...
con MD5 o SHA1 de forma que urlsum = MD5/SHA1(url + clave_privada).
¿Hay alguna forma mejor de proteger la info en las urls?
¿Alguien tiene ya algo hecho? ;-P
Saludos.
Más información sobre la lista de distribución Python-es