Ataque formulario método post

cocodj69 · #1 (**permalink**) 21/04/2010, 10:09

Me pregunto si las validaciones en php para evitar ataques a través de formularios externos ( post ) son necesarias!!!!! ¿ No seria suficiente con validar que la página des de la que procede el formulario pertenece a nuestro servidor? En caso de no proceder redireccionamos a la página de inicio!!

Espero que ayuden entender completamente el concepto de ataques a través de formularios externos!!

Grácias!!

Hidek1 · #2 (**permalink**) 21/04/2010, 10:17

puedes enviar cualquier dato via post desde tu mismo servidor... asi que con eso no basta :P

cocodj69 · #3 (**permalink**) 21/04/2010, 10:27

Gracias!!

Por tanto, es recomendable realizar los dos tipos de validaciones? Es decir validar la información y también validar que la página procede del mismo servidor? O con sólo validar la información sobra?

¿Deberiamos permitir introducir información en nuestra DDBB si la información procede de un formulario externo ( servidor externo ) aunque esta estuviese saneada?

Grácias de nuevo!!

abimaelrc · #4 (**permalink**) 21/04/2010, 10:28

La forma más segura para validar que lo que el usuario haya ingresado esté correcto es en el servidor. La razón es que si solamente validas con javascript, el usuario puede tener desactivado en su navegador el javascript. Ya con eso puedo ingresar lo que yo desee y luego enviar a tu código en el servidor. Si no tienes las validaciones en el servidor, entonces puedo entrar lo que desee. Por eso la validación en el servidor es esencial, es más puedes hasta hacer solamente validaciones en el servidor y no hacerlas con javascript.

Edito:
Lo más importante es validar la información.

Finseneu · #5 (**permalink**) 21/04/2010, 10:31

Cita:

Iniciado por Hidek1

puedes enviar cualquier dato via post desde tu mismo servidor... asi que con eso no basta :P

Y como hace el atacante para correr su propio formulario desde tu dominio?

abimaelrc · #6 (**permalink**) 21/04/2010, 10:33

Puedes usar cURL o algún socket y enviar los datos via post.

Finseneu · #7 (**permalink**) 21/04/2010, 10:38

Cita:

Iniciado por abimaelrc

Puedes usar cURL o algún socket y enviar los datos via post.

Pero uses el método que uses siempre va a venir desde fuera, y eso es algo comprobable.
Lo que si entiendo es la necesidad de validar los datos de tus propios forms, por el resto...

abimaelrc · #8 (**permalink**) 21/04/2010, 10:42

Por eso, lo más importante es verificar los datos y no de donde procede. Hasta yo puedo crear un formulario y enviar los datos via POST. Con cURL es que puedes enviar cabeceras indicando que procede de su propio dominio, así engañando el HTTP_REFERER que es lo que se usa para verificar de donde procede.

cocodj69 · #9 (**permalink**) 21/04/2010, 11:07

Pero en el caso de que un usario envie el form desde un servidor diferente ( digamos que no nos ha 'engañado' con cabeceras haciendonos creer que el servidor es el nuestro ) y la información sea correcta, deberiamos dar dicho form como correcto y guardar la información en base de datos?

abimaelrc · #10 (**permalink**) 21/04/2010, 11:11

Hay una regla fundamental, "nunca confíes en los usuarios". Acuérdate que el usuario no sabe lo que tu piensas que está correcto guardar, por lo tanto, hazle entender por medio de verificaciones que es lo que debe corregir, si ha intentado enviar la información. Eso lo tienes que hacer en el servidor. Te repito, no te concentres en verificar si proviene de tu servidor o no, solo concentrate en que los datos estén correctos.

Hidek1 · #11 (**permalink**) 21/04/2010, 11:46

en realidad es facil enviar post desde el mismo sitio.. pero la informacion la deben buscar uds ya que este foro no es de hack ni nada.. y prefiero tener menos gente de la cual preocuparme en mis paginas :P

cocodj69 · #12 (**permalink**) 21/04/2010, 13:09

Entonces me das a entender que si la informarción está validada correctamente, independientemente de donde venga, la de por buena ,¿no?

Hidek1 · #13 (**permalink**) 21/04/2010, 13:18

mmm lo contrario.. te di a entender que validar solamente previniendo de que si la informacion viene de tu mismo sitio es incorrecto :P
de todas formas lo ideal siempre va a ser que el dato este correcto
revisa la funcion sprintf

saludos!

cocodj69 · #14 (**permalink**) 21/04/2010, 13:46

Cita:

Iniciado por Hidek1

mmm lo contrario.. te di a entender que validar solamente previniendo de que si la informacion viene de tu mismo sitio es incorrecto :P

Eso es lo que dije!! Independientemente de donde venga la información hay que validarla si o si!!

La prengunta es , si la información procede de un servidor externo ( diferente al nuestro ), antes de validarla, deberiamos comprobar si procede de nuestro servidor, y si no lo es anular dicha operación ( no damos por buena la info sin necesidad de validarla porque no la tendremos en cuenta )?

Grácias y lo siento, pero me gustaria tenerlo claro del todo..

Hidek1 · #15 (**permalink**) 21/04/2010, 13:50

claro... aunque en realidad de que te intentas proteger?
ya que por lo general al validar los datos y limpiarlos de injections desde donde vengan ya no deberias tener problemas.. aunque agregar el paso que dices no es malo .. de paso podrias guardar un registro de las direcciones de donde te estan enviando post para agregarlas a una lista negra :P

saludos!

cocodj69 · #16 (**permalink**) 21/04/2010, 15:29

Tienes razón! Una vez validada la información no tendremos problemas pero seguramente dicho usuario ( hacker ) no este interesado en utilizar nuestra aplicación y dicha información puede que no sea necesaria!!

Es simplemente, como tu has dicho, identificar de alguna forma dichos usuarios para en futuras operaciones evitarlas directamente puesto que sus intenciones no son buenas, independientemente de que las validaciones sean las correctas!!