Tips :: Seguridad

Acerca de la Seguridad en Tu Web

1. Header email injection
2. Cómo hacer para que terceros no consuman tráfico de su Sitio Web

Header email injection

Dado que seguimos registrando algunos incidentes al respecto, repetimos un tip que ya pasamos en un newsletter anterior acerca de la creciente modalidad de abuso de formularios Web que utilizan PHP con el objetivo de enviar SPAM.
Esta modalidad aprovecha la forma en que la función mail() de PHP funciona y se conoce como "Headers Mail Injection" . Consiste en aprovecharse de formularios de sitios web que utilizan esta función para el envío de los datos ingresados por el visitante (por ejemplo un formulario de contacto o consulta)  donde no se validen los datos en forma correcta para evitar este tipo de abusos.
Para evitar el abuso de nuestros formularios, en el script PHP que implementa la función mail debemos verificar que no nos estén llegando, como parámetros o variables a través del post, datos no esperados. Por ejemplo, podríamos verificar la existencia de caracteres no esperados como un retorno de carro ( /r ) o chequear otras variables más como el largo de los campos, el que exista sólo un “@” u otras verificaciones posibles.
A continuación adjuntamos un pequeño ejemplo, asimismo pueden consultar a nuestro departamento técnico para mayor información al respecto.
Ejemplo : verificar que en los campos no exista un retorno de carro:
<?php $from=$_POST["sender"];
if (eregi("\r",$from) || eregi("\n",$from)){ die("Why ?? :("); }  ?>
Recuerden que si su sitio es abusado, podrían llegar denuncias de SPAM en su contra; llegando incluso a la pérdida del derecho de uso del nombre del dominio.
Por otra parte, si el ataque es muy notorio no tenemos otra opción que sacar de línea su sitio momentáneamente hasta que sea segurizado el script abusado.

Cómo hacer para que terceros no consuman tráfico de su Sitio Web

Como usted sabe, cada plan de hosting de Allytech tiene permitido un tráfico mensual determinado. Es común que ocurra que si usted publica fotografías o imágenes que puedan resultar de interés para sitios web de terceros, estos linkeen desde su sitio al suyo para visualizar una imagen, consumiéndole su tráfico en lugar de publicar dicha imagen en su propio sitio.
Por ejemplo: si usted publica en su sitio una imagen de una personalidad famosa, es factible que otros sitios que también refieran a esa personalidad tengan su propio texto y visualicen la imagen que usted publicó haciendo un link a www.su-sitio.com.ar/imagen.jpg. De esta manera logran que todo el tráfico que insume la visualización de esa imagen corra a cuenta suya.
Para evitar esto, puede utilizar el siguiente código que permite que se vean sus imágenes (gif-png-jpeg-jpg) sólo si se las está intentando ver desde su sitio web (www.su-sitio.com.ar) evitando que éstas se muestren si alguien quiere accederlas desde algún otro sitio, por ejemplo, www.otro-sitio.com.ar.
El siguiente código debe insertarlo en el archivo .htaccess, el cual debe estar dentro de public_html/ (si no tiene un archivo .htaccess puede crearlo con cualquier editor de texto)
SetEnvIfNoCase Referer "^http://www.su-sitio .com.ar/" locally_linked=1
SetEnvIfNoCase Referer "^http://www.su-sitio .com.ar$" locally_linked=1
SetEnvIfNoCase Referer "^http://su-sitio .com.ar/" locally_linked=1
SetEnvIfNoCase Referer "^http://su-sitio .com.ar$" locally_linked=1
SetEnvIfNoCase Referer "^$" locally_linked=1
<FilesMatch "\.(gif|png|jpe?g)$">
  Order Allow,Deny
  Allow from env=locally_linked
</FilesMatch>
En el caso de que su sitio incluya subdominios (como
http://subsitio.su-sitio.com.ar) se debe incluir:

SetEnvIfNoCase Referer "^http://(.*).su-sitio.com.ar/" locally_linked=1
SetEnvIfNoCase Referer "^http://(.*).su-sitio.com.ar$" locally_linked=1