Buenas Tardes a tod@s
Estoy volviendo al cacharreo y futura auditoría de sistemas en VoIP y tengo una serie de dudas que según vayan pasando los días espero que se reduzcan.
1º ¿Hay alguna manera de determinar que no haya 2 softphones o 2 teléfonos que se hayan registrado con el mismo usuario?
2º ¿Cómo puedo evitar hacerme una autollamada?
3º Hay alguna manera de verificar que no me envian una cabecera modificada cuando hago el register (SQL Injection)
un saludo y muchas gracias
El Domingo, 2 de Marzo de 2008, Javier Allende Astigarraga escribió:
1º ¿Hay alguna manera de determinar que no haya 2 softphones o 2 teléfonos que se hayan registrado con el mismo usuario?
http://www.openser.org/docs/modules/1.3.x/registrar.html#AEN199
2º ¿Cómo puedo evitar hacerme una autollamada?
if ("$rU@$rd" == "$fU@$fd") { sl_send_reply("403","Si te aburres lee un libro"); exit; }
3º Hay alguna manera de verificar que no me envian una cabecera modificada cuando hago el register (SQL Injection)
De eso se encarga el parseador de OpenSer. Si haces uso de "sql_query()" puedes usar las transformaciones "escape" para evitar SQL injection:
if ( $ru != $(ru{s.escape.common}) || ($rU && $rU != $(rU{s.escape.user})) ) { sl_send_reply("403", "Forbidden, illegal characters in RURI"); exit; }
El día 2/03/08, Iñaki Baz Castillo ibc@aliax.net escribió:
El Domingo, 2 de Marzo de 2008, Javier Allende Astigarraga escribió:
1º ¿Hay alguna manera de determinar que no haya 2 softphones o 2
teléfonos
que se hayan registrado con el mismo usuario?
http://www.openser.org/docs/modules/1.3.x/registrar.html#AEN199 Gracias, le echaré un ojo ahora.
2º ¿Cómo puedo evitar hacerme una autollamada?
if ("$rU@$rd" == "$fU@$fd") { sl_send_reply("403","Si te aburres lee un libro"); exit;
}
Esas variables $u $rd $fd $fU donde está su descripción? ¿en la documentación de openser?
3º Hay alguna manera de verificar que no me envian una cabecera
modificada
cuando hago el register (SQL Injection)
De eso se encarga el parseador de OpenSer. Si haces uso de "sql_query()" puedes usar las transformaciones "escape" para evitar SQL injection:
if ( $ru != $(ru{s.escape.common}) || ($rU && $rU != $(rU{s.escape.user})) ) { sl_send_reply("403", "Forbidden, illegal characters in RURI"); exit; }
Gracias, mi idea es ponerlo antes de tratar todos los mensajes aunque
realmente cuando se mete en la base de datos es en el register
--
Iñaki Baz Castillo
Users-es mailing list Users-es@lists.openser.org http://lists.openser.org/cgi-bin/mailman/listinfo/users-es
El Domingo, 2 de Marzo de 2008, Javier Allende Astigarraga escribió:
El día 2/03/08, Iñaki Baz Castillo ibc@aliax.net escribió:
El Domingo, 2 de Marzo de 2008, Javier Allende Astigarraga escribió:
1º ¿Hay alguna manera de determinar que no haya 2 softphones o 2
teléfonos
que se hayan registrado con el mismo usuario?
http://www.openser.org/docs/modules/1.3.x/registrar.html#AEN199 Gracias, le echaré un ojo ahora.
2º ¿Cómo puedo evitar hacerme una autollamada?
if ("$rU@$rd" == "$fU@$fd") { sl_send_reply("403","Si te aburres lee un libro"); exit;
}
Esas variables $u $rd $fd $fU donde está su descripción? ¿en la documentación de openser?
3º Hay alguna manera de verificar que no me envian una cabecera
modificada
cuando hago el register (SQL Injection)
De eso se encarga el parseador de OpenSer. Si haces uso de "sql_query()" puedes usar las transformaciones "escape" para evitar SQL injection:
if ( $ru != $(ru{s.escape.common}) || ($rU && $rU != $(rU{s.escape.user})) ) { sl_send_reply("403", "Forbidden, illegal characters in RURI"); exit; }
Gracias, mi idea es ponerlo antes de tratar todos los mensajes aunque
realmente cuando se mete en la base de datos es en el register
Por dios, no respondas en HTML y en colorines, es horrible !! (mira arriba el estropicio que hace el HTML al responderlo en texto plano, es imposible seguirlo).
Los caracteres de citado son un estándar y son los que son:
----------------------------------------
Hola que tal
Bien, aqui, por?
Por nada, ¿qué hacemos?
Tú no sé, yo voy a dormir. ----------------------------------------
El responder en azul para diferenciar las respuestas es una gran chapuza que no tengo ni idea de cómo se ha extendido (supongo que cosas del Outlook y otros clientes de correo incluido Gmail que invitan a un mal comportamiento).
Saludos.
Lo siento Iñaki, debe ser la culpa del Outlook en mi caso
El día 2/03/08, Iñaki Baz Castillo ibc@aliax.net escribió:
El Domingo, 2 de Marzo de 2008, Javier Allende Astigarraga escribió:
El día 2/03/08, Iñaki Baz Castillo ibc@aliax.net escribió:
El Domingo, 2 de Marzo de 2008, Javier Allende Astigarraga escribió:
1º ¿Hay alguna manera de determinar que no haya 2 softphones o 2
teléfonos
que se hayan registrado con el mismo usuario?
Ok http://www.openser.org/docs/modules/1.3.x/registrar.html#AEN199 Gracias, le echaré un ojo ahora.
2º ¿Cómo puedo evitar hacerme una autollamada?
if ("$rU@$rd" == "$fU@$fd") { sl_send_reply("403","Si te aburres lee un libro"); exit;
}
Esas variables $u $rd $fd $fU donde está su descripción? ¿en la documentación de openser?
3º Hay alguna manera de verificar que no me envian una cabecera
modificada
cuando hago el register (SQL Injection)
De eso se encarga el parseador de OpenSer. Si haces uso de "sql_query()" puedes usar las transformaciones
"escape"
para evitar SQL injection:
if ( $ru != $(ru{s.escape.common}) || ($rU && $rU != $(rU{s.escape.user})) ) { sl_send_reply("403", "Forbidden, illegal characters in RURI"); exit; }
Gracias, mi idea es ponerlo antes de tratar todos los mensajes aunque
realmente cuando se mete en la base de datos es en el register
Por dios, no respondas en HTML y en colorines, es horrible !! (mira arriba el estropicio que hace el HTML al responderlo en texto plano, es imposible seguirlo).
Los caracteres de citado son un estándar y son los que son:
Hola que tal
Bien, aqui, por?
Por nada, ¿qué hacemos?
Tú no sé, yo voy a dormir.
El responder en azul para diferenciar las respuestas es una gran chapuza que no tengo ni idea de cómo se ha extendido (supongo que cosas del Outlook y otros clientes de correo incluido Gmail que invitan a un mal comportamiento).
Saludos.
--
Iñaki Baz Castillo
Users-es mailing list Users-es@lists.openser.org http://lists.openser.org/cgi-bin/mailman/listinfo/users-es
http://www.openser.org/docs/modules/1.3.x/registrar.html#AEN199
modparam("registrar", "max_contacts", 1), asi restringiría a un único usuario y para al UA que se quiere conectar con el mismo usuario como podría notificar que del error?
Utilizando un ¿error_route? error_route{ xlog("Hay un usuario conectado"); xlog("Petición de Sesión de usuario $rU desde $si"); sl_send_reply("XXX","Existe un usuario conectado"); exit;
}
la definición de sl_send_reply donde puedo mirarlo?
un saludo y gracias por todo
El Monday 03 March 2008 12:18:37 Javier Allende Astigarraga escribió:
http://www.openser.org/docs/modules/1.3.x/registrar.html#AEN199
modparam("registrar", "max_contacts", 1), asi restringiría a un único usuario y para al UA que se quiere conectar con el mismo usuario como podría notificar que del error?
Utilizando un ¿error_route? error_route{ xlog("Hay un usuario conectado"); xlog("Petición de Sesión de usuario $rU desde $si"); sl_send_reply("XXX","Existe un usuario conectado"); exit;
}
la definición de sl_send_reply donde puedo mirarlo?
En el módulo "sl".
Gracias Iñaki , lo anterior que he comentado esta bien descrito?
El 3/03/08, Iñaki Baz Castillo ibc@in.ilimit.es escribió:
El Monday 03 March 2008 12:18:37 Javier Allende Astigarraga escribió:
http://www.openser.org/docs/modules/1.3.x/registrar.html#AEN199
modparam("registrar", "max_contacts", 1), asi restringiría a un único usuario y para al UA que se quiere conectar con el mismo usuario como podría notificar que del error?
Utilizando un ¿error_route? error_route{ xlog("Hay un usuario conectado"); xlog("Petición de Sesión de usuario $rU desde $si"); sl_send_reply("XXX","Existe un usuario conectado"); exit;
}
la definición de sl_send_reply donde puedo mirarlo?
En el módulo "sl".
-- Iñaki Baz Castillo ibc@in.ilimit.es
Users-es mailing list Users-es@lists.openser.org http://lists.openser.org/cgi-bin/mailman/listinfo/users-es
El Monday 03 March 2008 12:28:05 Javier Allende Astigarraga escribió:
Gracias Iñaki , lo anterior que he comentado esta bien descrito?
¿Lo has probado?
No, ya que en el trabajo no tengo la máquina virtual, hasta la noche no puedo probarlo.
Perdona por las molestias.
2008/3/3, Iñaki Baz Castillo ibc@in.ilimit.es:
El Monday 03 March 2008 12:28:05 Javier Allende Astigarraga escribió:
Gracias Iñaki , lo anterior que he comentado esta bien descrito?
¿Lo has probado?
-- Iñaki Baz Castillo ibc@in.ilimit.es
Users-es mailing list Users-es@lists.openser.org http://lists.openser.org/cgi-bin/mailman/listinfo/users-es
El Monday 03 March 2008 12:35:31 Javier Allende Astigarraga escribió:
No, ya que en el trabajo no tengo la máquina virtual, hasta la noche no puedo probarlo.
Creo que tienes que mirar con el código que devuelve la funcion "lookup(location)". Seguramente devolverá algo específico si se ha superado el máximo número de usuarios permitidos para un AoR.
1º El script funciona correctamente de la siguiente manera
if ($rU@$rd == $fU@$fd) { sl_send_reply("403","Si te aburres lee un libro"); exit;
}
El 2/03/08, Iñaki Baz Castillo ibc@aliax.net escribió:
El Domingo, 2 de Marzo de 2008, Javier Allende Astigarraga escribió:
1º ¿Hay alguna manera de determinar que no haya 2 softphones o 2 teléfonos que se hayan registrado con el mismo usuario?
http://www.openser.org/docs/modules/1.3.x/registrar.html#AEN199
2º ¿Cómo puedo evitar hacerme una autollamada?
if ("$rU@$rd" == "$fU@$fd") { sl_send_reply("403","Si te aburres lee un libro"); exit; }
3º Hay alguna manera de verificar que no me envian una cabecera modificada cuando hago el register (SQL Injection)
De eso se encarga el parseador de OpenSer. Si haces uso de "sql_query()" puedes usar las transformaciones "escape" para evitar SQL injection:
if ( $ru != $(ru{s.escape.common}) || ($rU && $rU != $(rU{s.escape.user})) ) { sl_send_reply("403", "Forbidden, illegal characters in RURI"); exit; }
-- Iñaki Baz Castillo
Users-es mailing list Users-es@lists.openser.org http://lists.openser.org/cgi-bin/mailman/listinfo/users-es
sr-users-es@lists.kamailio.org
-
Iñaki Baz Castillo -
Iñaki Baz Castillo -
Javier Allende Astigarraga