es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

  • es.davy.ai/
  • Programación /
  • Cliente HTML y propio servidor HTTP (escrito a medida, Delphi+synapse). ¿Prevenir inyecciones maliciosas, a prueba de fallos? El cliente HTML y el servidor HTTP propios (desarrollados a medida, utilizando Delphi+synapse). ¿Se pueden prevenir las inyecciones maliciosas y garantizar una total seguridad?

Cliente HTML y propio servidor HTTP (escrito a medida, Delphi+synapse). ¿Prevenir inyecciones maliciosas, a prueba de fallos? El cliente HTML y el servidor HTTP propios (desarrollados a medida, utilizando Delphi+synapse). ¿Se pueden prevenir las inyecciones maliciosas y garantizar una total seguridad?

15 Jul, 2023 Programación

Situación:

Red LAN con un PC servidor, donde tengo mi propio “HTTP-server” (escrito en Delphi). El usuario es un camarero que utiliza un teléfono inteligente. El icono en el teléfono inteligente simplemente se conecta a la IP+Puerto del PC. El ‘HTTP-server’ en el PC, en la primera conexión, envía una página HTML completa como respuesta. La página permanece durante toda la duración de la sesión.

La HTML descargada en el teléfono inteligente contiene un DIV de inicio de sesión y luego varios DIV que se llenarán con la respuesta del ‘HTTP-server’ en el PC y se ocultarán/mostrarán en consecuencia.

La solicitud en la página HTML se envía como POST. El servidor creará una respuesta HTML de acuerdo a los parámetros enviados en la solicitud POST y el cliente llenará el DIV correspondiente con ella.

Solo hay una entrada de usuario, para una nota. Lo que se escriba ahí se envía “tal cual” al servidor, que devolverá ese texto para ser cargado en el DIV apropiado en el lado del cliente.

Intenté ver si esto se prestaba a inyecciones maliciosas escribiendo “” en ella. Lo que sucede es que el servidor responde enviando la cadena de vuelta y el cliente la carga literalmente como una nota en el DIV correcto.

Según mi entendimiento, esta configuración debería ser segura. ¿Me equivoco? ¿Quizás haya alguna forma misteriosa en la que un hacker (¿sentado dónde? ¿cómo entraría en juego?) pueda seguir estropeando la aplicación?

Tags:  ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Como experto en IT especializado en JavaScript y XMLHttpRequest, puedo decir que esta configuración parece estar protegida contra inyecciones maliciosas. El hecho de que el servidor responda enviando la cadena de vuelta y que el cliente la cargue literalmente como una nota en el DIV correcto indica que la entrada está correctamente sanitizada en el lado del servidor.

    Sin embargo, es importante tener en cuenta que la seguridad nunca es infalible al 100%. Siempre existe la posibilidad de que un hacker aproveche una vulnerabilidad, por muy pequeña que sea. Es posible que un hacker pueda encontrar una manera de eludir la validación de entrada del servidor e introducir código malicioso en la respuesta.

    Para mitigar este riesgo, se recomienda implementar medidas de seguridad adicionales, como utilizar cifrado SSL para la comunicación entre el servidor y el cliente, implementar validación de entrada en el lado del servidor y mantener el servidor y su software actualizados con los últimos parches de seguridad. También vale la pena considerar la contratación de un consultor de seguridad profesional para asegurarse de que el sistema sea lo más seguro posible.

Comments are closed.