Me he pasado la mañana investigando la librería
ESAPI en
PHP de
OWASP, ese grupo de amiguetes sin ánimo de lucro que guapos son y que tipo tienen que se dedican a editar libros en formato
Power Point con las letras muy grandes y tal. La librería en cuestión pretende dar solución al problema de los ataques basados en inyección de código, como
XSS (
Cross Site Scripting) e
inyección SQL. Después de entrar en la página del proyecto, muy pobre ella, lo descargué sin demasiados problemas, arranqué el test y funcionó, la única vez que lo hizo. El siguiente paso era encontrar información sobre la instalación y modo de uso, que no se encuentra en la web de su proyecto ni en ningún lado. Simplemente no existe. Rebuscando en
Google encontré un par de enlaces, casi avergonzados ellos, donde se hablaba del tema pero ni así. No conseguí utilizar la dichosa librería ni una sola vez, cuando no faltaba la ruta faltaba la clave, y cuando no, se olvidaba de decodificar en base 64. En definitiva, un cromo de librería. Viendo la pobreza del proyecto y la falta absoluta de documentación pensé que lo habrían abandonado por falta de demanda (no es de extrañar) así que investigué la versión para
Java. No me voy a repetir, más de lo mismo: información nefasta por lo inexistente, instalación por el método de prueba y error, rutas y ficheros que primero aquí y después allí. Cuando un cliente me demande seguridad le diré que tardaré un mes más en terminar el trabajo para tener tiempo de estudiarlo. Penoso, así va el asunto de la seguridad en la red, y es que son felices en su mundo.
No hay comentarios:
Publicar un comentario