¿Es fácil de proteger contra la inyección de SSI?

5

La inyección SSI es, según mi entender, el proceso de inyectar comandos en los campos de entrada del usuario, por ejemplo.

<!--#exec cmd="ls" -->

para obtener los archivos en el directorio actual. Sin embargo, aunque parezca poderoso, también parece increíblemente fácil de prevenir simplemente validando los campos de entrada. Por ejemplo, uno podría simplemente verificar si los primeros tres caracteres en cualquier campo de entrada es <!- y evitar tales entradas.

¿Hay algo que estoy perdiendo aquí? ¿Cuándo no es fácil prevenir la inyección de SSI? Soy nuevo en la seguridad de la red, así que perdone cualquier malentendido que pueda haber en el párrafo anterior.

    
pregunta user328950 06.04.2016 - 21:04
fuente

1 respuesta

2

No es un ataque terriblemente difícil de prevenir. Yo diría que la prevención tiene más que ver con que el desarrollador sea consciente de la seguridad que con la complejidad de prevenirla. Esto es realmente cierto para muchas vulnerabilidades de seguridad.

Para responder a tu pregunta, no, no creo que te estés perdiendo nada. Es solo una cuestión de asegurarse de que los desarrolladores estén pensando en la seguridad cuando implementen una funcionalidad que use SSI.

    
respondido por el Abe Miessler 06.04.2016 - 21:32
fuente

Lea otras preguntas en las etiquetas