Caputo's blog

Informatica, tecnologia, programmazione, fai da te, papercraft e papertoy

Gestire le query per evitare la SQL-injection in PHP

Gennaio 17th, 2011 by Giovanni Caputo

Vediamo come eliminare i caratteri speciali  che potrebbero  causare problemi nell’inserimento del database.

 
function cleanuserinput($dirty){
 if (get_magic_quotes_gpc()) {
  $clean = mysql_real_escape_string(stripslashes($dirty));
 }else{
  $clean = mysql_real_escape_string($dirty);
 }
 return $clean;
}

In questo modo potremo evitare la SQL-injection

Category: Senza categoria | No Comments »

Purificare una stringa in PHP con la sicurezza

Ottobre 18th, 2010 by Giovanni Caputo

Per evitare SQL injection potrebbe esser utile purificare le stringhe ottenute tramite un form:

function str2db($input, $strip_tags=true) {
	if(is_array($input)) {
		foreach($input as $key => $value) {
			$input[$key] = str2db($value);
		}
	} else {
		if(get_magic_quotes_gpc()) {
			if(ini_get('magic_quotes_sybase')){
					$input = str_replace("''", "'", $input);
			}
			else {
				$input = stripslashes($input);
			}
        }
		if($strip_tags) {
			$input = strip_tags($input);
		}
		$input = mysql_real_escape_string($input);
		$input = trim($input);
	}
	return $input;
}

Category: Programmazione, Siti Web, Tecnologia | No Comments »

Tool per rendere sicure le vostre applicazioni Web

Maggio 6th, 2010 by Giovanni Caputo

Volete rendere sicure le vostre applicazioni Web? Ecco alcune applicazioni che vi aiuteranno a farlo.

Netsparker Community Edition (Windows)

Edizione free del potente Nestsparker. Permette di invidivuare SQL Injectione e problemi di scripting cross site. Una volta che lo scan è completo viene mostrata la soluzione.

Mavituna  Security

Websecurify (Windows, Linux, Mac OS X)

Websecurify semplice tool opensource che indetiva le vulnerabilità delle web application attraverso l’uso di tecniche avanzate e tecnolofie fuzzy. Crea un semplice repoter alla fine del test.

Wapiti (Windows, Linux, Mac OS X)

Wapiti è yb toll web-based opensource che effettua la scannerizzazione di applicazioni web in particolare script e form che possono portare a problemi di injection. E’ scritto in Pythone e può individuare: errori di gestione dei file (locali e remoti di include e require, fopen e fread), injection su sorgenti di dati provenienti da dabase, LDAP e individuazione di comenadi esecutivi come eval(), system(), passtru().

skipfish (Windows, Linux, Mac OS X)

skipfish è un tool, completamente automatico per la sicurezza di applicazioni web. Veramente leggeto e molto veloce: 2000 richieste al secondo.

Ha la capacità di apprendere automaticamente, di creare wordlist al volo e completare automaticamente i form.


Scrawlr (Windows)

Scrawlr è un softare gratuito per individuare le vulnerabilià delle proprie applicazioni web del tipo: SQL injection.

Watcher (Windows)

E’ un plugin per Fiddler (proxy debug HTTP ) e lavora come come un tool di analisi passiva per applicazioni web basate su HTTP.

Lavora in background e interagisce con le applicazioni web applicandi oltre 30 tipi di test. E’ possibile personalizzare/ aggiungere i test e individuare, anche, situazioni di switch tra protocolli di HTTP e HTTPs.

x5s (Windows)

x5s è ancora un altro plugin per Fiddler simile a Watcher che è stato progettato per trovare problemi di codifica e trasformazione di caratteri che possono portare a vulnerabilità XSS. E’ un semplice test con carattari com <, >, ‘ .

Exploit-Me (Windows, Linux, Mac OS X)

Exploit-Me

Exploit-Me è dirattamente integrato in Firefox. Comprende l’unione di 3 add-on:

WebScarab (Windows, Linux, Mac OS X)


WebScarab è attualmente uno sniffer Http(s) che permette di manipolare il traffico. Da non molto sono state aggiunte proprietà che permetteono di individuare sql injection, CRLF injection e molto altro.

Category: Siti Web, Tecnologia | No Comments »

Testare SQL Injection nelle Web Application

Marzo 20th, 2010 by Giovanni Caputo

Oggi voglio proporvi un tool molto utile per individuare e quindi evitare attacchi del tipo SQL Injection.

Questo tool può essere molto utile agli sviluppatori di web application oppure a web designer per testare le proprie realizzazioni.

Quello che vi proppongo è una estensione di Firefoz dal nome SQL Inject ME. Dopo averla installata sarà disponibile nel menu contestuale cliccando con il tasto destro del mouse, oppure, tramite Strimenti –> Opzioni.

Potrai, quindi, scegliere test effettuare e con quali valori.

Scoprite i vostri bud di sicurezza e ditemi cosa ne pensate di questo tool..

Category: Programmazione, programmi | No Comments »