Foros del Web » Programando para Internet » PHP »

[SOLUCIONADO] comprender la seguridad en archivos clave

Estas en el tema de comprender la seguridad en archivos clave en el foro de PHP en Foros del Web. Buenas! Me gustaria saber que es lo mas importante a tener en cuenta para archivos del lado de servidor PHP que sean especialmente sensibles , ...
  #1 (permalink)  
Antiguo 13/10/2014, 17:49
Avatar de Albuss  
Fecha de Ingreso: enero-2012
Ubicación: Coruña
Mensajes: 475
Antigüedad: 12 años, 9 meses
Puntos: 30
Pregunta comprender la seguridad en archivos clave

Buenas!

Me gustaria saber que es lo mas importante a tener en cuenta para archivos del lado de servidor PHP que sean especialmente sensibles, como por ejemplo, archivos que SOLO el administrador o el webmaster puedan ejecutar.

Es decir, si yo en uno de esos archivos que solo y solo el webmaster quiero que use, puedo hacer algo como :

Código PHP:
Ver original
  1. if( $_SESSION["ID"] != 333 ){ // 333 id == ejemplo del id usuario admin
  2.  
  3. return;
  4.  
  5. }
  6.  
  7. <!-- script -->



Pero me temo que esto no tiene nada de seguro (o a mi parecer), por ejemplo, que pasa si alguien ve de alguna forma el archivo aunque no pueda ejecutarlo? es decir, saber que id de usuario es el webmaster es una información potencialmente valiosa ¿que precauciones tomar?
  #2 (permalink)  
Antiguo 13/10/2014, 20:35
Avatar de Patriarka  
Fecha de Ingreso: enero-2011
Ubicación: Moreno, Buenos Aires, Argentina
Mensajes: 2.851
Antigüedad: 13 años, 9 meses
Puntos: 288
Respuesta: comprender la seguridad en archivos clave

nadie puede ver el .php a menos que acceda al ftp, bueno ahi ya estas hackeado :)

hay muchas formas y metodos de ataques y creo que es imposible conocer todos y muchos menos prevenirse de todos.

yo tengo un sistema de permisos simple donde seteo las secciones que puede ver cada tipo de usuario, incluso el superadmin tiene reestricciones.
Entonces la única forma de acceder a una seccion es la siguiente:

<?
if(userTienePermisosDeSeccion("seccion a validar")){}
?>
donde userTienePermisosDeSeccion valida la session del usuario, el tipo y el permiso
  #3 (permalink)  
Antiguo 14/10/2014, 04:17
Avatar de Albuss  
Fecha de Ingreso: enero-2012
Ubicación: Coruña
Mensajes: 475
Antigüedad: 12 años, 9 meses
Puntos: 30
Respuesta: comprender la seguridad en archivos clave

Cita:
Iniciado por Patriarka Ver Mensaje
nadie puede ver el .php a menos que acceda al ftp, bueno ahi ya estas hackeado :)

hay muchas formas y metodos de ataques y creo que es imposible conocer todos y muchos menos prevenirse de todos.

yo tengo un sistema de permisos simple donde seteo las secciones que puede ver cada tipo de usuario, incluso el superadmin tiene reestricciones.
Entonces la única forma de acceder a una seccion es la siguiente:

<?
if(userTienePermisosDeSeccion("seccion a validar")){}
?>
donde userTienePermisosDeSeccion valida la session del usuario, el tipo y el permiso
Si que se puede, si se copia el enlace de la ruta al archivo, ves todo el codigo , ejemplo : carpetaUno/ejemplo.php

y la ruta se puede sacar facilmente con cualquier herramienta de desarrollador, por ejemplo en chrome si te pones a ver las llamadas a los scripts de php te sacas todas las rutas.
  #4 (permalink)  
Antiguo 14/10/2014, 08:27
Avatar de cuasatar  
Fecha de Ingreso: junio-2011
Ubicación: Bogotá Rock City
Mensajes: 1.230
Antigüedad: 13 años, 4 meses
Puntos: 181
Respuesta: comprender la seguridad en archivos clave

Complementando lo que plantea Patriarka (idea que me parece buena) tambien puedes inhabilitar la visualización de errores cuando ya tienes el codigo en producción. Es decir que si el usuario coloca carpetaUno/ejemplo.php y esta relacionado con una base de datos por ejemplo generalmente colocara el error asociado y es ahi donde el atacante aprovechara esta vulnerabilidad. Si deshabilitas en el servidor la visualización de errores por mas que acceda a los enlaces directos no podria ver que ocurre en caso de una ejecución erronea del script.
__________________
Blog de humor http://elcuasatar.net63.net/
  #5 (permalink)  
Antiguo 14/10/2014, 20:16
Avatar de Patriarka  
Fecha de Ingreso: enero-2011
Ubicación: Moreno, Buenos Aires, Argentina
Mensajes: 2.851
Antigüedad: 13 años, 9 meses
Puntos: 288
Respuesta: comprender la seguridad en archivos clave

Cita:
Iniciado por Albuss Ver Mensaje
Si que se puede, si se copia el enlace de la ruta al archivo, ves todo el codigo , ejemplo : carpetaUno/ejemplo.php

y la ruta se puede sacar facilmente con cualquier herramienta de desarrollador, por ejemplo en chrome si te pones a ver las llamadas a los scripts de php te sacas todas las rutas.
con la validacion que yo hago no se puede salvo que tengas los permisos necesarios

sos muy novato todavia

Etiquetas: seguridad
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 22:22.