Días anteriores el equipo de HYPERNETHOST & SECURITY-PENTEST estuvo testeando la seguridad, o mejor dicho; Testeando la mejor protección que usted podría usar para proteger su sitio web.
Hemos comenzado con XSS(cross site scripting), ya que es una de las fallas mas comunes utilizadas por “hackers” para invadir o modificar su sitio web. Si usted no lo sabía, una de las mejores formas para protejerse de XSS es poner a su Joomla SEF en modo “ON”.
Pero el problema es que no todos usan sus instalaciones como lo deberían. Por eso es nuestro deber protejerlo antes de que usted piense en descargar o comprar nuestros productos.
Generalmente el problema ocurre en los métodos $_GET y $_POST, los cuáles no están correctamente filtrados.
Durante mucho tiempo se dijo que usando strip_tags(), htmlentities(), htmlspecialchars() usted podría protegerse de XSS. Esa afirmación es correcta, el problema está en que cuando aplicamos dicha “medicina”, estamos generando una nueva falla en nuestra aplicación (Buffer Overflow o Desbordamiento de Buffers).
Bien, a continuación le enseñaremos una forma rápida, sensilla y muy eficaz para protegerse tanto de XSS como de SQL Injection. El código lo hemos desarrollado en conjunto con el equipo de YouJoomla!, los cuáles son uno de nuestros principales clientes y partners en materia de seguridad.
Aquí está; dos líneas que lo salvarán de muchos dolores de cabeza:
$_GET = preg_replace(“|([^\w\s\'])|i”,”,$_GET);
$_POST = preg_replace(“|([^\w\s\'])|i”,”,$_POST);
Ingréselas en las dos primeras líneas del index.php o header.php de su joomla.
Andrés Gómez