Foros del Web » Programando para Internet » Jquery »

Jquery vulnerable o lo aplico mal?

Estas en el tema de Jquery vulnerable o lo aplico mal? en el foro de Jquery en Foros del Web. Gente muy buenas, tengo la siguiente duda respecto a JQuery. Estoy usando PHP, mysql y Jquery (ajax). Pero veo que presionando F12 en cualquier navegador ...
  #1 (permalink)  
Antiguo 28/03/2016, 10:29
 
Fecha de Ingreso: junio-2011
Mensajes: 42
Antigüedad: 13 años, 5 meses
Puntos: 0
Jquery vulnerable o lo aplico mal?

Gente muy buenas, tengo la siguiente duda respecto a JQuery.

Estoy usando PHP, mysql y Jquery (ajax).

Pero veo que presionando F12 en cualquier navegador me tira la ruta de los archivos js, con esto puedo abrirlos y ver como funcionan.

Por ejemplo puedo ver que ajax.js tiene el siguiente codigo
Código:
$.ajax{
var user = $('#user').val();
var pass = $('#pass').val();

url {seguridad.php }
data{
user:user,
pass:pass,
puede_pasar:'siii'
},
ble bla bla
}

manda la variable puede_entrar:"siiiii" a un archivo php para dejar ejecutar un codigo.

seguridad.php
Código:
if($_POST[puede_pasar]=='siii'){  puedes hacer lo que quieras   }


Sabiendo esto puedo insertar esa variable en el archivo php para poder ejecutar o entrar a una sección sin permisos.

La duda es si jquery es vulnerable o lo estoy aplicando mal.
se puede evitar que lean los js de mi servidor?
Veo que los archivos php no me los deja descargar, y tampoco los puedo ver. solo ejecutar.
Lo cual esta perfecto por que con una simple instrucción al inicio me desvía o me tira para afuera.


Gracias gente!!
  #2 (permalink)  
Antiguo 28/03/2016, 13:34
 
Fecha de Ingreso: junio-2011
Mensajes: 289
Antigüedad: 13 años, 5 meses
Puntos: 15
Respuesta: Jquery vulnerable o lo aplico mal?

Jquey y JS son lenguajes que son ejecutados en el lado del cliente por lo que decir "se puede evitar que lean los js de mi servidor?" esta mal por que no están en tu servidor (lógicamente). El cliente se conecta y descarga los JS del servidor y los ejecuta en su máquina, por lo que TODO lo relacionado con variables o claves del negocio debe estar en lenguajes del lado del servidor (JAVA, PHP, ETC)




Lo mejor que podrías hacer (o una idea) es que envíes a "seguridad.php" el usuario y la clave y luego en PHP consultas a la base de datos por el tipo de usuario y allí verificar que permisos tiene, es lo que generalmente se hace
  #3 (permalink)  
Antiguo 28/03/2016, 19:26
Avatar de NueveReinas  
Fecha de Ingreso: septiembre-2013
Ubicación: No tan Buenos Aires
Mensajes: 1.101
Antigüedad: 11 años, 2 meses
Puntos: 145
Respuesta: Jquery vulnerable o lo aplico mal?

Es una absoluta contradicción tener un archivo llamado seguridad.php y que incluya códigos como estos:

Código PHP:
Ver original
  1. if($_POST[puede_pasar]=='siii'){  puedes hacer lo que quieras   }

Es un pase libre a que cualquier atacante haga XSS, SQL injection, o vaya a saber uste' qué cosa.

Hay que escapar los caracteres según corresponda (no es lo mismo mostrar datos en un email que almacenarlos en una base de datos).

Por favor, investiga más al respecto. Hay decenas de ataques diferentes.
__________________
¿Te sirvió la respuesta? Deja un +1

Etiquetas: Ninguno
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 19:09.