Spertegaz http://blog.spertegaz.com Blogueando sobre programación Thu, 29 Jan 2009 18:53:20 +0000 http://wordpress.org/?v=2.6.5 en Seguridad en PHP al subir un archivo http://blog.spertegaz.com/2009/01/28/seguridad-en-php-al-subir-un-archivo/ http://blog.spertegaz.com/2009/01/28/seguridad-en-php-al-subir-un-archivo/#comments Wed, 28 Jan 2009 20:21:46 +0000 admin http://blog.spertegaz.com/?p=23 Si en tu aplicación web desarrollada en php permites subir archivos al servidor, te puedes encontrar con algún problemilla de seguridad. A continuación describiré algunos agujeros de seguridad que se producen al subir un archivo y como implementar una solución segura.

Implementación básica

upload1.php

PLAIN TEXT
PHP:
  1. <?php
  2. $uploaddir = 'uploads/'; // Directorio relativo al raiz web
  3. $uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
  4. if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
  5. echo "Fichero subido correctamente.\n";
  6. } else {
  7. echo "Error al subir el archivo.\n";
  8. }
  9. ?>

Los usuarios podrán ver los archivos subidos navegando en http://www.midominio.com/uploads/filename.jpg

Y para subir los archivos les mostraremos un formulario como el siguiente:

PLAIN TEXT
PHP:
  1. <form name="upload" action="upload1.php" method="POST" ENCTYPE="multipart/formdata">
  2. Select the file to upload: <input type="file" name="userfile">
  3. <input type="submit" name="upload" value="upload">
  4. </form>

Un ataque no tiene porque usar el formulario anterior. Se puede escribir un script en Perl y subir archivos o usar un proxy para interceptar y modificar los datos subidos. El código anterior sufre un de un agujero mayor de seguridad. Permite a los usuarios subir ficheros arbitrariamente al directorio uploads/ a partir del raiz. Por lo tanto, se podria subir un fichero PHP y ejecutar comandos en el servidor. El siguiente script en PHP permite al usuario ejecutar comdandos de shell en el servidor.

PLAIN TEXT
PHP:
  1. <?php
  2. system($_GET['command']);
  3. ?>

Si éste fichero se encuentra en nuestro servidor, cualquiera podría ejecutar comandos de shell navegando por ésta dirección http://midominio.com/shell.php?command=Unix_shell_command.

Puedes encontrar en internet muchos más scripts de PHP Shells más sofisticados que permiten incluso ejecutar sentencias SQL.

Por lo tanto debemos controlar que tipo de ficheros se pueden subir al servidor
Comprobar el Content-type

upload2.php

PLAIN TEXT
PHP:
  1. <?php
  2. if($_FILES['userfile']['type'] != "image/gif") {
  3. echo "Sorry, we only allow uploading GIF images";
  5. }
  6. $uploaddir = 'uploads/';
  7. $uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
  8. if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
  9. echo "File is valid, and was successfully uploaded.\n";
  10. } else {
  11. echo "File uploading failed.\n";
  12. }
  13. ?>

En éste caso, si un usuario intenta subir shell.php, se comprobará el MIME type en la petición de subida del archivo y se rechazará.

Hemos solucionado un problema, pero la comprobación del MIME type se puede saltar fácilmente, como muestra el siguiente script en PERL.

PLAIN TEXT
PERL:
  1. #!/usr/bin/perl
  2. #
  3. use LWP;
  4. use HTTP::Request::Common;
  5. $ua = $ua = LWP::UserAgent->new;;
  6. $res = $ua->request(POST 'http://localhost/upload2.php',
  7. Content_Type => 'form-data',
  8. Content => [
  9. userfile => ["shell.php", "shell.php", "Content-Type" =>
  10. "image/gif"],
  11. ],
  12. );
  13. print $res->as_string();

El script en Perl anterior cambia el valor de la cabecera Content-type a image/gif, lo que permite que upload2.php acepte la subida del fichero, aunque sigue trantandose de un PHP shell script.

Validar en contenido del fichero imagen

Utilizaremos la función de PHP getimagesize(). Captura el nombre del fichero como un argumento y devuleve el tamaño y tipo de la imagen.

upload3.php

PLAIN TEXT
PHP:
  1. <?php
  2. $imageinfo = getimagesize($_FILES['userfile']['tmp_name']);
  3. if($imageinfo['mime'] != 'image/gif' && $imageinfo['mime'] != 'image/jpeg') {
  4. echo "Sorry, we only accept GIF and JPEG images\n";
  6. }
  7. $uploaddir = 'uploads/';
  8. $uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
  9. if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
  10. echo "File is valid, and was successfully uploaded.\n";
  11. } else {
  12. echo "File uploading failed.\n";
  13. }
  14. ?>

]]> http://blog.spertegaz.com/2009/01/28/seguridad-en-php-al-subir-un-archivo/feed/ Cómo insertar código en un Post de Wordpress. iG:Syntax Hiliter http://blog.spertegaz.com/2009/01/15/como-insertar-codigo-en-un-post-de-wordpress-igsyntax-hiliter/ http://blog.spertegaz.com/2009/01/15/como-insertar-codigo-en-un-post-de-wordpress-igsyntax-hiliter/#comments Thu, 15 Jan 2009 22:27:45 +0000 admin http://blog.spertegaz.com/?p=17 Con éste plugin para Wordpress podremos insertar código en un post. Algo imprescindible si vas a postear sobre programación.

Decora el código en un cuadro, numera las líneas y lo colorea conforme al lenguaje escrito. Soporta ActionScript, ASP, C, C++, C#, CSS, Delphi, HTML, Java, JavaScript, MySQL, Perl, PHP, Python, Ruby, Smarty, SQL, Visual Basic, VB.NET, XML y todos los lenguajes soportados por GeSHi.

Se instala como cualquier otro plugin, subes la carpeta al directorio plugins y desde el administrador lo activas. Y al escribir tu post sólo tienes que escribir el código entre las etiquetas [lenguaje] ... [/lenguaje], donde lenguaje es el del script que vayas a incluir. El resultdo es el siguiente.

PLAIN TEXT
PHP:
  1. echo 'hola mundo';

Debes tener instalada una vesión de wordpress 1.5 o superior y lo puedes descargar desde aquí

iG:Syntax Hilite

]]> http://blog.spertegaz.com/2009/01/15/como-insertar-codigo-en-un-post-de-wordpress-igsyntax-hiliter/feed/ Auto carga de objetos utilizando la función __autoload de PHP5 http://blog.spertegaz.com/2009/01/09/auto-carga-de-objetos-utilizando-la-funcion-__autoload-de-php5/ http://blog.spertegaz.com/2009/01/09/auto-carga-de-objetos-utilizando-la-funcion-__autoload-de-php5/#comments Fri, 09 Jan 2009 12:42:36 +0000 admin http://blog.spertegaz.com/?p=9 Cuando desarrollamos con PHP sobre el paradigma Orientado Objetos, cada clase es definida en un script php. Por lo que para poder utilizar dichas clases, se deberán hacer los includes necesarios al principio de cada script. Dependiendo de la complejidad de la aplicación, puede terminar siendo, una larga y tediosa lista de includes.

En PHP5 esto se puede evitar. Sólo hay que definir una función llamada __autoload, la cual es llamada automáticamente en el caso de que se intente usar una clase que no haya sido incluida en el script. Es la última chance de cargar la clase antes de que PHP lance un error.

Otra de las ventajas de utilizar __autoload, es que evitamos se incluyan definiciones de clases que no utilizamos. Esto mejorará el rendimiento de nuestras aplicaciones ya que solo se cargan las clases que necesitamos. Por otro lado, se debe tener en cuenta de que la función __autoload será llamada recurrentemente, por lo que tendrá que ser definida lo más liviana posible.

PLAIN TEXT
PHP:
  1. <span class="codigo">
  2. function __autoload($className) {
  3. if (file_exists("./lib/$className.class.php") ){
  4. include_once("./lib/$className.class.php");
  5. }
  6. }</span>
  7.  
  8. $instancia  = new unaClase();

En el caso de que estemos desarrollando una aplicación web o escribiendo código que puede ser utilizado por terceros, no es buena idea usar la función __autoload, dado que podría generar eventualmente un conflicto con otra función __autoload definida por terceros. Esto sucede porque lógicamente no puede haber dos funciones con el mismo nombre registradas. Lo que conviene es o bien declararla dentro de una clase o llamarla con otro nombre y luego registrarla en ambos casos mediante la función spl_autoload_register

PLAIN TEXT
PHP:
  1. spl_autoload_register(array('OP', '__autoload'));</span>
  2.  
  3. class OP{
  4. private static
  5. $dir_class= array('util',
  6. 'controller',
  7. 'model',
  8. 'session',
  9. 'i18n');
  10.  
  11. public static function __autoload($class) {
  12. foreach(self::$dir_class as $dir){
  13. if(file_exists("./lib/$dir/$class.class.php")){
  14. include_once("./lib/$dir/$class.class.php");
  15. }
  16. }
  17. }
  18. }
  19.  
  20. function miAutoload($class) {
  21. include_once("./$class.php");
  22. return true;
  23. }
  24.  
  25. spl_autoload_register('miAutoload');
  26.  
  27. //Registramos otra vez la misma función
  28. spl_autoload_register('miAutoload');
  29.  
  30. //Mostramos las funciones registradas
  31. var_dump(spl_autoload_functions());


Podremos ver que la función miAutoload esta registrada solo una vez.

PLAIN TEXT
PHP:
  1. </span>
  2.  
  3. <span class="codigo">array(2) { [0]=&gt; array(2) { [0]=&gt; string(2) "OP"
  4. [1]=&gt; string(8) "__autoload" }
  5. [1]=&gt; string(10) "miAutoload" }</span>

]]> http://blog.spertegaz.com/2009/01/09/auto-carga-de-objetos-utilizando-la-funcion-__autoload-de-php5/feed/ Integrar en tu web marcadores de del.icio.us con cURL y PHP5 http://blog.spertegaz.com/2009/01/09/integrar-en-tu-web-marcadores-de-delicious-con-curl-y-php5/ http://blog.spertegaz.com/2009/01/09/integrar-en-tu-web-marcadores-de-delicious-con-curl-y-php5/#comments Fri, 09 Jan 2009 12:35:59 +0000 admin http://blog.spertegaz.com/?p=6 Antes que nada explicaré brevemente que es del.icio.us. Es un servicio de gestión de marcadores al estilo red social que permite agregar los marcadores que usualmente se guardan en los navegadores, categorizarlos con el sistema de Tags, compartirlos con otros usuarios, acceder a ellos desde cualquier ordenador conectado a internet, etc. Y además dispone una potente pero sencilla API que utlizaremos para el propósito de éste artículo, integrar los marcadores almacenados en del.icio.us en nuestra web utilizando PHP y cURL. De ésta forma conseguiremos mantener la lista de enlaces de nuestra web al mismo tiempo que mantenemos nuestra lista de enlaces particular.

¿Qué es cURL? PHP soporta libcurl, librería que permite conectar y establecer comunicación con diferentes tipos de servidores con diferentes protocolos como http, https, ftp, gopher, telnet, dict, file, ldap. Soporta certificados https, autenticación de usuarios, etc. En php dispone de una colección de funciones con el prefijo curl_* , así que vamos a utilizar ésta fantástica librería para comunicarnos con del.icio.us.

La API de del.icio.us es sencilla, consiste en peticiones HTTPS con autenticación HTTP-Auth. Utilizaremos el método POSTS (así denomina del.icio.us a los marcadores, así los denominaré a partir de ahora) que permite hacer diferentes acciones sobre éstos. La que nos interesa es la que obtiene el listado de posts, además con la opción de filtrarlos por un tag.

Está disponible en http://del.icio.us/help/api/.

Ésta sería la petición:
https://api.del.icio.us/v1/posts/get?tag=public

Nos devolvería en formato XML los posts etiquetados con public, que serán los que queremos que se muestren en la web. Pues vamos a ver como realizar está petición con cURL.
<code>

$peticion = https://api.del.icio.us/v1/posts/get?tag=public;

if (function_exists('curl_init')) {
$o_curl = curl_init($peticion);
curl_setopt_array($o_curl, array(
CURLOPT_RETURNTRANSFER => true,
CURLOPT_USERAGENT => 'http://www.miweb.com',
CURLOPT_CONNECTTIMEOUT => 5, //segundos
CURLOPT_TIMEOUT =>10 //segundos,
CURLOPT_USERPWD => 'username:password'
));
if ($result = curl_exec($o_curl)) {
switch (curl_getinfo($o_curl, CURLINFO_HTTP_CODE)) {
case 200:
$posts = $result;
break;
case 503:
//lanzar error. Bloqueo de la petición temporalmente.
default:
//lanzar error de conexión a del.icio.us
}
curl_close($o_curl);
}

</code>

La función curl_setopt_array() setea las opciones de la petición.

  • CURLOPT_RETURNTRANSFER. Lo seteamos a TRUE para devolver el resultado como una cadena de texto que contiene el valor devuelto por la función curl_exec(), en vez de mostrar la salida directamente en la ventana del navegador.
  • CURLOPT_USERAGENT.El contenido de la cabecera "User-Agent: " enviada en las peticiones HTTP. Es un requisito de la API de del.icio.us. Por ejemplo podemos poner la url de nuestra web.
  • CURLOPT_CONNECTTIMEOUT. El número de segundos que se pueden esperar como máximo intentando establecer la conexión.
  • CURLOPT_TIMEOUT. El número máximo de segundos que cURL espera a que se ejecuten las funciones.
  • CURLOPT_USERPWD. La API requiere autenticación. Aquí seteamos el nombre de usuario y contraseña con el formato "username:password".

Con curl_getinfo obtenemos el codigo http para comprobar si ha habido algún error. Cabe destacar el error 503, devuelto cuando del.icio.us bloquea la petición por un tiempo si se realizan muchas en un corto intervalo de tiempo. Por lo que sería conveniente añadir un sistema de cache en un archivo de texto para limitar el número de peticiones. El resultado de la petición lo devuelve en formato XML, por lo que tendríamos que parsearlo para mostrarlo en nuestra web. Pero ésto ya es otro tema.

]]> http://blog.spertegaz.com/2009/01/09/integrar-en-tu-web-marcadores-de-delicious-con-curl-y-php5/feed/ Hola mundo! http://blog.spertegaz.com/2008/11/24/hello-world/ http://blog.spertegaz.com/2008/11/24/hello-world/#comments Mon, 24 Nov 2008 23:11:23 +0000 admin http://blog.spertegaz.com/?p=1 Bienvenidos a mi blog. Éste es mi primer post, así que nada mejor que empezar con un "hola mundo".

]]> http://blog.spertegaz.com/2008/11/24/hello-world/feed/