Foros del Web » Programando para Internet » PHP »

Consulta sobre Seguridad en Formularios

 Estas en el tema de Consulta sobre Seguridad en Formularios en el foro de PHP en Foros del Web. Hola chicos, necesito impletementar seguridad para prevenir Evitar Cross-Site Request Forgeries en formularios. Un codigo sencillo para evitarlo es el siguiente (en toda la web ...
  #1 (permalink)  
Antiguo 20/08/2008, 20:02
 
Fecha de Ingreso: mayo-2005
Mensajes: 257
Antigüedad: 19 años, 8 meses
Puntos: 1
Consulta sobre Seguridad en Formularios
Hola chicos, necesito impletementar seguridad para prevenir Evitar Cross-Site Request Forgeries en formularios.

Un codigo sencillo para evitarlo es el siguiente (en toda la web dice lo mismo):

Código: 
   <?php  
   $marca = md5(uniqid(rand(), TRUE));  
   $_SESSION['marca'] = $token;  
   $_SESSION['tiempo_marca'] = time();  
    ?> 
    <form action="compra.php" method="POST"> 
    <input type="hidden" name="marca" value="<?php echo $marca; ?>" /> 
    Artículo: <input type="text" name="articulo" /> 
    Cantidad: <input type="text" name="Cantidad" /> 
   <input type="submit" value="Comprar" /> 
   </form>
Lo que no entiendo es lo siguiente, al generar un token, y dejarlo activo en sesion durante X tiempo, Alguien no podria agarrar, y copiar el token que esta en el campo del formulario, armar un propio formulario, e intentar hacer el ataque?
Total el token esta registrado en Session, y todavia no murio.

Nose si me explique, pero tengo esta duda y nose en donde preguntar.

Desde ya, muchas gracias.
  #2 (permalink)  
Antiguo 20/08/2008, 21:16
Avatar de emiliodeg  
Fecha de Ingreso: septiembre-2005
Ubicación: Córdoba
Mensajes: 1.830
Antigüedad: 19 años, 5 meses
Puntos: 55
Respuesta: Consulta sobre Seguridad en Formularios
totalmente que si el token no es la solucion definitiva pero se acerca bastante

un form con token + una buena validacion de datos enviados es practicamente infalible

ademas se podrian hacer algunas otras cositas viendo la procedencia del script ya que para hacer estos atauqes se harian desde una url distinta a l anuestra pq la url nuestra es de un archivo en internet q no se puede modificar

hoy en dia con firebug esto se puede saltar rapidamente, pero como dije mas arriba con una buena validacion de dtaos y limpiando tags no queda mucho por donde puedan entrar

saludos
__________________
Degiovanni Emilio
developtus.com
  #3 (permalink)  
Antiguo 20/08/2008, 21:40
 
Fecha de Ingreso: mayo-2005
Mensajes: 257
Antigüedad: 19 años, 8 meses
Puntos: 1
Respuesta: Consulta sobre Seguridad en Formularios
tienes algun codigo ejemplo, donde apliques lo que me estas diciendo?
  #4 (permalink)  
Antiguo 21/08/2008, 08:55
Avatar de GatorV
$this->role('moderador');
  
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 18 años, 8 meses
Puntos: 2135
Respuesta: Consulta sobre Seguridad en Formularios
Solo es necesario comprobar la variable $_SERVER['HTTP_REFERER'], aunque también puede ser enviada, en sí lo mejor es hacer lo que te dice emiliodg, limpiar las variables lo más posible.

Saludos.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 13:21.