¿Cómo Escribir Programas Seguros? - Cuidado con los valores suministrados por el usuario

Siempre hay que validar los datos que están bajo el control de los usuarios. Tenemos el caso flagrante de los "buffer overflow" descritos con anterioridad. Muchos CGIs, por ejemplo, esperan un determinado número de parámetros sin tener en cuenta que un usuario malicioso puede realizar una conexión HTTP válida con un sencillo "telnet" e introducir los datos que desee y en el formato que él quiera. Nunca debería pasarse al sistema ningún dato derivado de una entrada de usuario sin haberla validado antes (nombres de ficheros, comandos de shell, etc).

No hay que fiarse nunca de cosas como nombres de DNS, ya que un usuario con acceso a un DNS inverso puede ponerse cualquier dirección. En esos casos hay que hacer siempre una doble comprobación:

1. Tenemos la IP del usuario
2. Obtenemos la dirección inversa
3. Pedimos la lista de direcciones IP pertenecientes a esa inversa resuelta
4. Pedimos la lista de direcciones ALIAS coincidentes con esa inversa
5. Contrastamos la lista obtenida en el punto "c" con el punto "a"
6. Si el punto anterior es válido, verificamos que alguno de los miembros de la lista en "c" o en "d" estén en nuestra lista de acceso.

Hay muchas más cosas a tener en cuenta aquí: "argc" puede ser cero, algunos de los descriptores estándares (0-2) pueden estar cerrados o manipulados (y puede producirse el caos si el programa hace un "printf()", por ejemplo), el directorio actual puede ser ilegible o inexistente, puede existir un "alarm()" en curso al lanzar el programa, el proceso puede tener hijos que no ha creado (es normal si se invoca dentro de una "pipe"), etc. Hay que prepararse siempre para lo peor.