Rodrigo Fuentealba escribió:
> El 21/09/07, Claudio Salazar <[EMAIL PROTECTED]> escribió:
>> Eso es RFI ( Remote File Inclusion ), no XSS.
>
> AFAIK, RFI == una subclase de XSS. Varias de las idioteces de ese
> estilo las he leido como XSS.
>
No, es una vulnerabilidad completamente diferente.
--
"You don't have to burn books to destroy a culture. Just get people to
stop reading them." --Ray Bradbury
Cristian Rodríguez R.
SUSE LINUX Products GmbH
Research & Development
From [EMAIL PROTECTED] Sat Sep 22 01:40:02 2007
From: [EMAIL PROTECTED] (Cristian Rodriguez)
Date: Sat Sep 22 01:42:30 2007
Subject: Evitar sql injection y xss
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Claudio Salazar escribió:
funciones
> como mail() ya estan siendo foco de inyecciones y asi cada dia nuevas.
ese problema tiene facil solucion..ninguna de las librerias importantes
para enviar email son vulnerables a aquel abuso ( que no es espefico de PHP)
Si utilizas
a) Swiftmailer
b) Pear Mail
c) Zend_Mail
d) ezcomponents-mail
e) lo que venga con tu framework favorito
estas protegido.
--
"You don't have to burn books to destroy a culture. Just get people to
stop reading them." --Ray Bradbury
Cristian Rodríguez R.
SUSE LINUX Products GmbH
Research & Development
From [EMAIL PROTECTED] Sat Sep 22 01:43:53 2007
From: [EMAIL PROTECTED] (Rodrigo Fuentealba)
Date: Sat Sep 22 01:46:17 2007
Subject: Evitar sql injection y xss
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
El 22/09/07, Cristian Rodriguez <[EMAIL PROTECTED]> escribió:
> Rodrigo Fuentealba escribió:
> > El 21/09/07, Claudio Salazar <[EMAIL PROTECTED]> escribió:
> >> Eso es RFI ( Remote File Inclusion ), no XSS.
> >
> > AFAIK, RFI == una subclase de XSS. Varias de las idioteces de ese
> > estilo las he leido como XSS.
>
> No, es una vulnerabilidad completamente diferente.
>
Luego de leer http://es.wikipedia.org/wiki/XSS, tienes razón. Son lo
mismo pero uno abusa al cliente y otro al servidor. Gracias, Cristian.
--
Rodrigo Fuentealba
