Ver por etiquetas

Todas las etiquetas » Seguridad (RSS)

[ASP.NET] Revisa la configuración de ELMAH en producción

Uno de los mayores problemas que tenemos los desarrolladores cuando usamos alguna librería o plugin de terceros es no documentarnos correctamente antes de usar dicho componente. Posteriormente, una vez “probado todo” subimos nuestra aplicación a producción y sin darnos cuenta podemos tener una brecha de seguridad bastante importante, concretamente en el caso de usar mal   ELMAH , bastante “gorda” . Esto se acentua con el el uso de Nuget , que es un pedazo de herramienta ojo! , pero a veces nos...
Publicado por Luis Ruiz Pavón | con no comments
Archivado en: ,,

[SignalR] Autenticación JSON Web Token (JWT) en hubs de SignalR

A lo mejor el título no te dice mucho y quizás nunca te hayas encontrado con este caso desarrollando aplicaciones que usan Signalr, así pues voy a tratar de explicar lo mejor posible mi experiencia personal en un caso real con ASP.NET Web Api y Signalr y autenticación JWT. Si quieres saber que es JWT (JSONWeb Token) te recomiendo este artículo de Atlassian Understanding JWT El escenario La imagen que a continuación os pongo resume un poco el escenario que...
Publicado por Luis Ruiz Pavón | 1 comment(s)
Archivado en: ,,,

[ASP.NET] Cuidado con los archivos que subes a tu servidor web.

Hace tiempo que me ronda este post en la cabeza y nunca me he decidido a escribirlo. Hoy he sacado un poco de tiempo y he montado un ejemplo sobre lo peligroso que puede ser el no tratar con mucho cuidado la subida de archivos al servidor desde una aplicación web, en este caso ASP.NET WebForms, pero esto aplica también a MVC. Código fuente: https://github.com/lurumad/upload-files-vulnerability La aplicación que he montado es supersencilla. Un página Default.aspx...
Publicado por Luis Ruiz Pavón | 1 comment(s)
Archivado en: ,,

[ASP.NET ScreenCast] Securizando aplicaciones ASP.NET eliminando cabeceras http

Aquí os dejo un video que he grabado sobre como securizar nuestras aplicaciones ASP.NET eliminando algunas cabeceras http. Espero que os guste!!!
Publicado por Luis Ruiz Pavón | 2 comment(s)
Archivado en: ,,

[ASP.NET] Recuerdalo siempre: En producción customErrors=On

Ya se que puede parecer un poco cansino y repetitivo este tipo de post. ¿Quién no sabe a día de hoy el significado de este atributo en el web.config de una aplicación web verdad? Pues parece ser que mucha gente lo desconoce y desconoce también las implicaciones que conlleva dejarlo en producción con el valor Off , que ha sido posiblemente heredado de el entorno de desarrollo o pre-producción. Hace tiempo que escribí unos artículo para...
Publicado por Luis Ruiz Pavón | con no comments

Tramitación online para administraciones públicas

Ahora que llevo un tiempo trabajando sobre este terreno, me gusta de vez en cuando, darme una vuelta por las diversas instituciones para ver que soluciones ofrecen al ciudadano: Portales, accesibilidad, tecnologías, seguridad, LOPD… Hoy voy a hablar de un caso concreto (aunque no voy a mencionar el nombre de la institución ni la página web, al fin y al cabo es la competencia) en el que he realizado unos trámites para ver como se comporta la paltaforma y del cual...

Microsoft Code Analysis Tool .NET (CAT.NET) v1 CTP

CAT.NET es un Add-in para Visual Studio, qué también podemos utilizar a través de la línea de comandos, para analizar el código de nuestras aplicaciones y detectar vulnerabilidades ya conocidas como Cross Site Scripting, SQL Injection, Process Command Injection, File Canonicalization, Exception Information, LDAP Injection, XPATH Injection y Redirection to User Controlled Site. Lo he instalado y he decido probarlo con un mini-cutre web site: La página UserInfo...