Modelos de seguridad Php para el sistema Consejos

No_haynombre · #1 (**permalink**) 16/03/2016, 10:08

Hola gente de Foros del Web.

A quien os haya interesado mi topico, es una duda de principiante que tengo y quiero que mi trabajo sea elegante y bueno.

Bueno, al tema es la primera vez que he hecho un sistema de este tamaño y falta poco para comenzar las pruebas para ponerle en funcionamiento en la web, a la parte que le temo es a la seguridad de este, lo desarrolle en Php y buen trae un modelo de seguridad muy basico y a mi parecer facil de vulnerar y dado que es informacion muy importante (Empresa grande) ya que es la pagina interna, temo que algun cracker viole esta seguridad, es obvio que haci le meta la seguridad del banco mundial abra una forma de entrar, pero quiero que sea lo mas seguro posible. Que consta el sistema CRUD de usuarios y empresas y otro millar de cosas mas importantes.

El tema viene a quienes puedan aconsejarme de que tipos de seguridad uso, pongo este tema en php por que el modelo de seguridad que llevo es hecho en php si me equivoco de foro por favor disculpen.

Gracias de antemano

*Mi modelo de seguridad que a mi parecer es facil de vulnerar*

Código PHP:

Ver original<?php
session_start();
if(!isset($_SESSION["user_username"]) || $_SESSION["user_username"]==null && $Estado == "I"){
print "<script>alert(\"Acceso invalido!\");window.location='index.html';</script>";
}
?>

He consultado modelos de seguridad binarios y ese tipo de cosas que ofrecen en el manual.

xerifandtomas · #2 (**permalink**) 16/03/2016, 10:15

Una vez que falla el acceso y haces el print cortas la ejecución del Script con algún exit o return?
Por qué si lo tienes así tal cual sin nada más ya te digo que seguridad = 0

No_haynombre · #3 (**permalink**) 16/03/2016, 10:26

Si.

Hola @xerifandtomas Gracias por responder, mira si en el momento que se logue y la informacion no coincida con la BD, lo devuelve al Login, y muestra el Script, en dado caso que se copee la URL o se conosca y el usuario no esta logueado el sistema lo devuelve a el login por eso digo *Una seguridad muy vulnerable*. ¿Que consejos me puedes dar? o Que puedo cambiar, siempre es bueno leer la opinion de alguien mas!.

xerifandtomas · #4 (**permalink**) 16/03/2016, 12:40

No soy un experto en seguridad ni mucho menos, pero delegar la seguridad en JavaScript no es lo adecuado, que sucede si el usuario tiene desactivado el JS?
Para empezar debes de impedir que el php se ejecute si no está logueado.

Código PHP:

Ver original<?php
session_start();
if(!isset($_SESSION["user_username"]) || $_SESSION["user_username"]==null && $Estado == "I"){
print "<script>alert(\"Acceso invalido!\");window.location='index.html';</script>";
exit; //Finaliza el script 
}
?>

No_haynombre · #5 (**permalink**) 16/03/2016, 12:53

Ya probé desactivando el JS, y de igual manera no deja ingresar al usuario, pero es mejor curarse en salud y pondre el Exit en todas las instrucciones de seguridad.

Hombre gracias, tienes algun otro consejo para implementar o averiguar, seria muy util.

Amiancht · #6 (**permalink**) 16/03/2016, 15:21

Y porque delegas en javascript para hacer el redireccionamiento...
Hazlo directamente con PHP header.

Código PHP:

Ver originalsession_start();
if(!isset($_SESSION["user_username"]) || $_SESSION["user_username"]==null && $Estado == "I"){
   header('Location: http://www.example.com/');
   exit;
}

Otra cosa que podrias hacer para mayor seguridad, es prevenir el robo de sesiones. Básicamente alguien puede capturar el id de la sesion del usuario, y usarla para acceder como si fuera él sin loguear.

Expongo documentación al respecto del robo de sesiones:
http://www.arumeinformatica.es/blog/...ion-hijacking/

Si te digo la verdad, no es algo que yo me haya esforzado en prevenir en mis webs.

No_haynombre · #7 (**permalink**) 16/03/2016, 15:26

Muchas gracias!

@Amiancht Voy a revisar en mi casa y mañana os comento, Esto me sera de muchisima ayuda!

hhs · #8 (**permalink**) 16/03/2016, 18:01

Creo que necesitas leer esto:
http://php.net/manual/es/security.php
https://www.owasp.org/index.php/PHP_...ty_Cheat_Sheet
http://phpsec.org/projects/guide/1.html

No_haynombre · #9 (**permalink**) 17/03/2016, 05:51

Hola @hhs

Gracias por tus aportes en realidad me han sido de mucho ayuda, aunque los del manual de php no los entiendo muy bien y el dia de hoy leer el de Owasp.

Estare avisando cualquier cosa, pero a todos gracias por su ayuda

No_haynombre · #10 (**permalink**) 17/03/2016, 06:11

Entonces los mejores consejos de lo que he entendido es:
- Limitar el numero de intentos al momento de loguearse
- No dejar la seguridad en Manos de JS, aunque no estaba tan en manos de este
*No las tengo muy claro*
- Utilizar HTTPS en todas las paginas.
- Usar variables globales.
- No usar la URL para el reconocimiento, es mejor usar Cookies.

Vamos!, hay mas opciones de seguridad, o solo se estan en estas?

Y veran amigos con los links del manual de php que no entiendo es esto, en realidad he investigado muy poco sobre esto porque tambien me preocupe por algo secundario *Diseño de la pagina*

http://php.net/manual/es/security.cgi-bin.default.php

Amiancht · #11 (**permalink**) 18/03/2016, 18:22

Cita:

Iniciado por No_haynombre

- Utilizar HTTPS en todas las paginas.

Cuidado con usar https en todas las páginas. Existe ahora la vulnerabilidad BREACH.
http://unaaldia.hispasec.com/2013/08...dad-https.html

Si utilizas comprension http, te pueden vulnerar el HTTPS, es relativamente reciente esta vulnerabilidad. Básicamente donde uses https deshabilita la comprension.

No_haynombre · #12 (**permalink**) 29/03/2016, 08:44

Hola.
Me alegra que hayas respondido estoy recopilando muchos modelos de seguridad y me gustaria tambien compartirlos con ustedes y asi me pueden decir si tienen problemas, o si es correcto usarlos, la idea de este tema era recopilar informacion.

Primero lo primero, Estoy utlizando la seguridad HTTPS, y bueno si se llegase a vulnerar con los BREACH los otros modelos de seguridad quedan vulnerados tambien o ellos tambien podrian hacer un poco mas complicado el trabajo del Cracker.

Otra cosa que he mirado y estoy tratando de implementarla, aunque no soy muy conocedor es con respecto a manejar todos los textos que se envian o se reciben que sea encriptados y que haya un cierto grado de confidencialidad....

Gracias por responder Amiancht

No_haynombre · #13 (**permalink**) 27/04/2016, 15:00

Hola, Gente con animo de aportar algo sobre consejos de seguridad encontré un script muy útil. Lo dejo como aporte para quienes estén iniciando en este tema y quieran algo con una seguridad mas compleja

Muy bueno

Modelos de seguridad Php para el sistema *Consejos*

Modelos de seguridad Php para el sistema Consejos