Foros del Web » Programando para Internet » PHP »

Duda sobre seguridad imagen y Hackeo

Estas en el tema de Duda sobre seguridad imagen y Hackeo en el foro de PHP en Foros del Web. Hola tengo una duda sobre cuando uno coloca imagenes en nuestras paginas webs...ps he visto noticias sobre por ejemplo del grupo de hackers anonymous y ...
  #1 (permalink)  
Antiguo 27/08/2011, 20:52
 
Fecha de Ingreso: agosto-2011
Ubicación: Venezuela
Mensajes: 108
Antigüedad: 13 años, 4 meses
Puntos: 5
Duda sobre seguridad imagen y Hackeo

Hola tengo una duda sobre cuando uno coloca imagenes en nuestras paginas webs...ps he visto noticias sobre por ejemplo del grupo de hackers anonymous y o otros que cuando hackean un sitio web....cambian las imagenes que aparecen en la web o sea aparece una y ellos la quitan y ponen otra q ellos quieran O.o...entonces quisiera saber...que se debe hacer para q eso q ellos hacen sea imposible o casi imposible....que tipo de seguridad debo implementar...o que cosa debo implementar?

muchas gracias....

una cosa...con un if funcionaria algo como de seguridad?


osea que por ejemplo

Código PHP:
$variable="alguien";


if(
$variable!="alguien"){
$variable="alguien";
}
echo 
$variable
ps si logran cambiar lo que se muestra osea $variable....el if lo acomodaria verdad? o no...que tipo de seguridad en el codigo se deberia implementar?

gracias....es solo una duda..despues q lei una noticia sobre unos hackers XD jajaja
  #2 (permalink)  
Antiguo 27/08/2011, 22:11
Avatar de Sourcegeek
Colaborador
 
Fecha de Ingreso: mayo-2009
Ubicación: $mex['B.C.'];
Mensajes: 1.816
Antigüedad: 15 años, 7 meses
Puntos: 322
Respuesta: Duda sobre seguridad imagen y Hackeo

Necesitas más que simples if para tener resultados
Existen múltiples métodos de hacking.. XSS, XSRF, DDoS, SQLi...
Por ejemplo el XSS es un tipo de inyección HTML. Digamos que por ejemplo tengo un foro y voy a poner un post donde el campo es vulnerable. Si pongo:
<script>alert();</script> y le doy en preview, me saldrá un alert. Ésto quiere decir que el formulario es vulnerable y aceptará cualquier HTML. Ahora, puedo poner algo así:
Código HTML:
Ver original
  1. <div style="position:fixed; width:100%; height:100%; background-color:#000; color:#FFF;">Mi texto</div>
Si sabes algo de HTML, te darás cuenta que eso es para que el div se superponga en toda la página y tenga el tamaño de la ventana. Como el formulario es vulnerable, cuando quieras ver el post, verás el div superponíendose. Ésto se previene convirtiendo < y > a sus respectivas entidades HTML para que el navegador no lo interprete como tal, de ésta manera aparecerá <b>hola</b> (por ejemplo) y no hola en negritas.

La SQLi es más avanzada. Consiste en modificar Query's SQL a manera de que nos dé mas información de la común... Por ejemplo, supongamos que tengo una tabla con tres campos (id, usuario, password). Tengo un script que por medio del usuario, me trae su contraseña, obviamente tienes que saber el usuario. Supongamos que el script se usa como index.php?usuario=usuarioejemplo Y el código es:
Código PHP:
Ver original
  1. $user = $_GET['usuario'];
  2. $query = mysql_query("SELECT * FROM tabla WHERE usuario = '$user'");
  3. while($res = mysql_fetch_assoc($query)) {
  4. echo $res['password'].'<br />';
  5. }
Como verás, lo que le pase por index.php?usuario= será reemplazado por $user. Entonces, si hago algo así:
index.php?usuario=' or '1'='1
La query quedará como:
Código PHP:
Ver original
  1. $query = mysql_query("SELECT * FROM tabla WHERE usuario = '' or '1'='1'");
Esto se traduce como: Selecciona todo de tabla donde el usuario sea un campo vacío Ó donde 1 sea igual a 1.
Obviamente siempre 1 es igual a 1, entonces traerá todos los password. Ésto se soluciona escapando las comas (\') Pero
no sólo así, existe tambien INNER JOIN.

En fin, necesitas leer un poco para entender, es un tema algo extenso

Saludos!
__________________
Buscas desarrollador web? Sourcegeek. Diseño web, Maquetación y Programación
¡Escribe bien! Esto es un foro, no un Facebook para que escribas con los pies

Última edición por Sourcegeek; 27/08/2011 a las 22:18
  #3 (permalink)  
Antiguo 28/08/2011, 00:57
Avatar de blakmetall  
Fecha de Ingreso: diciembre-2010
Ubicación: Jalisco
Mensajes: 181
Antigüedad: 14 años
Puntos: 18
Respuesta: Duda sobre seguridad imagen y Hackeo

Alguna liga que tengas respecto a este tema sourcegeek
  #4 (permalink)  
Antiguo 28/08/2011, 01:05
Avatar de Masterphp  
Fecha de Ingreso: septiembre-2009
Ubicación: /home/php/
Mensajes: 94
Antigüedad: 15 años, 3 meses
Puntos: 3
Respuesta: Duda sobre seguridad imagen y Hackeo

hola justamente acabo de crear el tema de seguridad para imagenes ojala alguien nos responda de manera correcta del tema yo te recomiendo que uses htacces en tu carpeta principal para no visualizar carpetas sin index y en la misma carpeta de imagenes agregar otro htaccess con este codigo:
<files *.php>
order allow,deny
deny from all
</files>
mayormente suben como imagen y cambiar de extencion a .php y visualizan el famoso shell

tengo mas información si deseas contactame

Última edición por Masterphp; 28/08/2011 a las 01:07 Razón: equibocación y ortografia
  #5 (permalink)  
Antiguo 28/08/2011, 04:06
 
Fecha de Ingreso: agosto-2011
Mensajes: 110
Antigüedad: 13 años, 4 meses
Puntos: 13
Respuesta: Duda sobre seguridad imagen y Hackeo

hola, una posible solución no seria evitar que el usuario pueda renombrar archivos?

una "solución" (mas que solución es obstáculo porque seguro que hay formas de saltárselo ) que yo utilizo es no permitir que los usuarios renombren archivos, es decir, el nombre del archivo almacenado físicamente en el servidor, es un nombre generado automáticamente, y posteriormente en una base de datos, una tabla asocia el nombre que el usuario quiera darle a la imagen, con el archivo fisico en el servidor.

de esta forma si el usuario sube "foto1.jpg" y luego decide cambiar el nombre por "index.php" para ejecutar código, el nombre "Index.php" sera una cadena en la base de datos y no habrá ningún archivo subido por el usuario, en el servidor, que tenga un nombre, no controlado o permitido.

todo esto , añadido ademas a las comprobaciones mas básicas como la extensión, el MIME...

Esta solucion se me ha ocurrido a mi e imagino que a otras 100 000 personas pero , ¿que les parece, mejoraria realmente esto la seguridad o seria facil engañar al servidor de alguna manera?
  #6 (permalink)  
Antiguo 29/08/2011, 07:46
 
Fecha de Ingreso: agosto-2011
Ubicación: Venezuela
Mensajes: 108
Antigüedad: 13 años, 4 meses
Puntos: 5
Respuesta: Duda sobre seguridad imagen y Hackeo

Hola...muchas gracias a todos por responder..y ps con lo q dijo bray veo q lo q hacen los hackers en renombrar una imagen,Masterphp..si te tengo q contactar para q me expliques bien eso de htaccess, y el colega Sourcegeek eso si lo tenia mas o menos claro...ps escapando las variables q se ingresan no deberia de suceder nada de eso, y tambien validando q no esten vacias las variables, ahora algo q no sabia era el inner join...como evito eso? valido en la variable q no esten esas dos palabras y si estan las remplazo por otra? gracias

Etiquetas: imagenes, seguridad, variables
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 1 personas




La zona horaria es GMT -6. Ahora son las 20:08.