"MAGIC QUOTES" ISSUES ...Como Resolver el problema de las Comiillas Mágicas Problemas del PHP

De Juan Carlos García -
Bueno, hace ya mucho tiempo que me llevo riendo de los administradores de sistemas pensando que ya tienen resuelto sus problemas de seguridad en PHP cn Las “magic quotes” de PHP, o comillas mágicas, es una desafortunada funcionalidad que se encarga automáticamente de añadir slashes a las comillas dobles y simples de la información que llega a una página vía parámetros GET, POST o a los que se guardan en cookies. Para empezar, ni siquiera el nombre es apropiado, no hay nada de mágico en ello, un nombre mucho más apropiado hubiera sido “Escapado automático de comillas”.

El objetivo inicial de esta funcionalidad era que el desarrollador pudiera utilizar directamente los datos y pasarlos por ejemplo a una consulta SQL, sin tener que hacer un addslashes previamente, sin embargo, lo que de primeras puede parecer una buena idea, se convierte en una pesadiila en cuanto se mira con un poco más de detenimiento, incluso en la propia página oficial de PHP se recomienda desactivar esta funcionalidad.

Es habitual encontrar páginas en las que el texto aparece con slashes precediendo a cualquier comilla, esto suele ser fruto de la utilización de alguna aplicación que no controla correctamente esta funcionalidad. El principal problema es la portabilidad, puedes escribir una aplicación completa utilizando esta funcionalidad, manejando incluso todos los posibles casos correctamente, para encontrarte a la hora de la verdad, cuando tienes que instalar la aplicación en un nuevo servidor, con multitud de fallos debidos a que su configuración no es la misma que tú habías utilizado.

Es por esto que desde hace mucho tiempo se recomienda desactivar la funcionalidad y desarrollar aplicaciones utilizando addslashes, o el método de escapado que corresponda a cada situación. Aún así puede darse el caso de que lleguemos a un servidor que tenga las magic quotes activadas, con lo que al realizar un addslashes, estaríamos haciéndolo dos veces, una ” enviada por el usuario pasaría a ser \\”, y podría guardarse en base de datos por ejemplo como \”.

Para evitar esto utilizo desde hace bastante tiempo en todos los desarrollos que hago, una función a la que llamo al comienzo de cada petición y que se encarga de revisar, en los casos en los que las magic quotes están activadas, las matrices $_GET, $_POST y $_COOKIE haciendo un stripslashes de sus contenidos.
function& fixMagicQuotes($data)
{
   if (get_magic_quotes_gpc() == 1){
      if (is_array($data))
         return array_map('fixMagicQuotes', $data);
      else
         return stripslashes($data);
   }
   else return $data;
}
Esta función hace un stripslashes sobre el parámetro de la entrada, chequeando antes si es un array, en cuyo caso se llama de forma recursiva con cada uno de los elementos de la matriz.

 El siguiente fragmento de código muestra un ejemplo de utilización:

$_GET =& fixMagicQuotes($_GET);
$_POST =& fixMagicQuotes($_POST);
$_COOKIE =& fixMagicQuotes($_COOKIE);

Si no utilizas las variables de sistema $_GET, $_POST y $_COOKIE, sino que tienes activado el register_globals, deberías pasar esta función por los parámetros que utilices, lo cual puede ser un poco lioso y una buena fuente de errores, o sea, otra buena razón por la que no tener activadas las register_globals, pero eso es ya otra historia....

Que ocurre con esto ? pufff pues tirando de Google me encuentro miles de páginas en .php sin que esté desactivadas las opciones que los propios creadores de php recomiendan ... esto hace que el ataque sea directo, concreto y efectivo . Como todo seguirá siendo un jodido Bug mientras los que desarrollan en php no sean verdaderos expertos en este lenguaje de programación.

Juan Carlos García -Duk3-
Pentester

Entradas populares de este blog

Proteger ASP.NET de inyecciones SQL How T0? BEST PRACTICES

De Juan Carlos García -
Cómo: Proteger ASP.NET de inyecciones SQL Publicado: 21 de Diciembre de 2005 Post:eado:19 de  MARZO 2012 Motivo:   Aumento de Hacking en Aplicaciones Web de manera Brutal desde el 2005 y aumentando Este artículo se aplica a y a como securizar para evitar ser hackeado, si, o si !!! ASP.NET versión 1.1 ASP.NET versión 2.0 y para lo que habeís hecho desde el 2005, estudiarlo bien majetes porque seguís sin securizar el puto código de la parte servidor ... !!! Por dios, ya está bien de poner a los usuarios y trabajadores en peligro .. !! Es tan difícil poner un poquito de atención. Resumen: En este artículo se describen una serie de métodos que ayudan a proteger la aplicación ASP.NET de inyecciones SQL. Entre las distintas técnicas se incluyen la restricción de entradas, el uso de parámetros SQL con tipos seguros para el acceso a datos y el uso de una cuenta con menos privilegios que tenga permisos restringidos en la base de datos. La inyección SQL puede producirse cuando una apl
Leer más

CERTIFICACIONES DE SEGURIDAD

De Juan Carlos García -
Imagen
CERTIFICACIONES DE SEGURIDAD For Fun and Profit Nuevo curso, toca mirar todo lo que tenemos y más … Eso si, caro caro caro(..) Seguridad General—Nivel Basico Brainbench Basic Security Certifications : Ofrece varias certificaciones, un examen por certificación ·          Brainbench Firewall Administration Concepts ·          Brainbench Internet Security ·          Information Technology Security Fundamentals ·          ITAA Information Security Awareness ·          Brainbench Microsoft Security ·          Brainbench Network Authentication ·          Brainbench Network Security ·          Security Industry Knowledge (U.S.) Fuente: Brainbench CDRE -- Certified Disaster Recovery Engineer Conocimientos básicos de recuperación de desastres (DR) y continuidad de negocio (BC) metodologías de planificación. A CDRE reconoce los riesgos y vulnerabilidades de la vida real a una infraestructura de TI, sabe cómo proteger los activos contra las a
Leer más

HACKING MADRID_"EASY" XSS and Cross Site Tracing XST

De Juan Carlos García -
Imagen
XSS-XST COMENZANDO DESDE 0 Y..Cross Site Tracing !!!  A MI ABUELA ... DESCANSE EN PAZ .. El primer ordenador lo recibí en tu casa con 11 años, en reyes, te acuerdas ?  .. Yo jamás olvidaré nada de nada !!! GRACIAS !!!  Al referirnos al Cross-Site-Scripting podemos encontrar bastante material didáctico acerca del tema, algunos de ellos describen los modos de ataques como directos e indirectos, pero realmente creo que podemos simplificar y enfocar de una forma mas directa en dos simples componentes que son: 1. Ataque al usuario. 2. Ataque a la aplicación   Por otro lado tendríamos "persistentes" y "No persistentes" .. es decir, entre wikipedia y OWASP , madre mía la de toería que teneís .. pero lo que quiero directamente es que comenceís a buscar objetivos y a "practicar" "éticamente" . Bien, si no sabes HTML ni JavaScript directamente ya sabes lo que tienes que hacer para poder realizar estos ataques tan singulares que e
Leer más