Ver por etiquetas

Todas las etiquetas » Seguridad (RSS)

[ASP.NET] Cuidado con los archivos que subes a tu servidor web.

Hace tiempo que me ronda este post en la cabeza y nunca me he decidido a escribirlo. Hoy he sacado un poco de tiempo y he montado un ejemplo sobre lo peligroso que puede ser el no tratar con mucho cuidado la subida de archivos al servidor desde una aplicación web, en este caso ASP.NET WebForms, pero esto aplica también a MVC. Código fuente: https://github.com/lurumad/upload-files-vulnerability La aplicación que he montado es supersencilla. Un página Default.aspx...
Publicado por Luis Ruiz Pavón | 1 comment(s)
Archivado en: ,,

[ASP.NET ScreenCast] Securizando aplicaciones ASP.NET eliminando cabeceras http

Aquí os dejo un video que he grabado sobre como securizar nuestras aplicaciones ASP.NET eliminando algunas cabeceras http. Espero que os guste!!!
Publicado por Luis Ruiz Pavón | 2 comment(s)
Archivado en: ,,

[ASP.NET] Recuerdalo siempre: En producción customErrors=On

Ya se que puede parecer un poco cansino y repetitivo este tipo de post. ¿Quién no sabe a día de hoy el significado de este atributo en el web.config de una aplicación web verdad? Pues parece ser que mucha gente lo desconoce y desconoce también las implicaciones que conlleva dejarlo en producción con el valor Off , que ha sido posiblemente heredado de el entorno de desarrollo o pre-producción. Hace tiempo que escribí unos artículo para...
Publicado por Luis Ruiz Pavón | con no comments

Tramitación online para administraciones públicas

Ahora que llevo un tiempo trabajando sobre este terreno, me gusta de vez en cuando, darme una vuelta por las diversas instituciones para ver que soluciones ofrecen al ciudadano: Portales, accesibilidad, tecnologías, seguridad, LOPD… Hoy voy a hablar de un caso concreto (aunque no voy a mencionar el nombre de la institución ni la página web, al fin y al cabo es la competencia) en el que he realizado unos trámites para ver como se comporta la paltaforma y del cual...

Microsoft Code Analysis Tool .NET (CAT.NET) v1 CTP

CAT.NET es un Add-in para Visual Studio, qué también podemos utilizar a través de la línea de comandos, para analizar el código de nuestras aplicaciones y detectar vulnerabilidades ya conocidas como Cross Site Scripting, SQL Injection, Process Command Injection, File Canonicalization, Exception Information, LDAP Injection, XPATH Injection y Redirection to User Controlled Site. Lo he instalado y he decido probarlo con un mini-cutre web site: La página UserInfo...