miércoles, 14 de septiembre de 2011

San Marcos tiene nueva página web

Hoy traigo buenas noticias, luego de mucho tiempo se ha actualizado el portal web de la universidad. Me refiero a:

http://www.unmsm.edu.pe

Ahora luce así:

Fig. 1 - Nueva página de San Marcos.

Son buenas noticias, no solo por que ahora se ve mejor, sino que también hay mejoras en lo que a seguridad respecta. Por ejemplo se corrigieron todos los errores que publicamos y otros que no (había un LFI perfectamente explotable, que no se público por obvias razones. Ya está corregido).

Además se mejoró la configuración de PHP, por ejemplo... desactivaron la opción "display_errors" que muestra detalles de los errores en PHP y puede revelar información útil para un atacante.

Fig. 2 - "display_errors" desactivado.
Sin embargo aún mantienen algunas configuraciones inseguras como por ejemplo el "allow_url_fopen" habilitado. Esa opción permite tratar una URL como si fuera un fichero cualquiera en las funciones require(), include(), readfile(), entre otras. Lo que hace posible la explotación de un RFI, en caso exista.

Fig. 3 - "allow_url_fopen" activado.
¿Que cómo lo sé? Ah... pues también olvidaron borrar el fichero que muestra la configuración de PHP xD (vamos, nadie es perfecto)

Fig. 4 - Configuración de PHP.

Lo que me agrada de todo esto, es que se nota que han tenido en cuenta la seguridad en el desarrollo de la nueva web y eso es un avance ;) Tampoco significa que esa web sea inexpugnable... ya el tiempo lo dirá.

Por lo pronto, es una buena noticia saber que la página principal de nuestra universidad ya no es un queso gruyere xD

Saludos...

2 comentarios: