12/04/2012, 07:42
| |||
| |||
| Problema seguridad web, me han hackeado Hola a todos, Tengo un problema de seguridad en mi web y no sé cómo solucionarlo. Tengo un control de usuarios mediante sesiones. El usuario entra con su clave y contraseña, si existe en la bd crea una variable de sesión y empieza a trabajar dentro de la web, el problema es que están incluyendo entradas saltándose este procedimiento (usuarios sin registrar an conseguido entrar al contenido). Para tener acceso a los archivos de la web he puesto que se requiera una sesión creada. Dándole vueltas lo único que se me ocurre es que estén modificando la variable de sesión de forma manual y no sé si eso se puede hacer (en la variable de sesión guardo el id del usuario logeado) ¿alguna sugerencia de por dónde empezar? Gracias ;) |
|
12/04/2012, 08:22
| ||||
| ||||
| Respuesta: Problema seguridad web, me han hackeado ¿revisas si la sesión está activa al guardar datos por POST? ¿guardas datos por GET?: completamente mal ¿tienes filtros XSS? ¿tienes protección CSRF? ¿tienes filtros SQL Inyections? ¿revisaste si tienes alguna fuente de RFI, allow_url_fopen activa? ¿cambias periódicamente la clave del FTP? ¿revisaste si no hay archivos extraños en los directorios de Upload (upload inyection)?
__________________ ¡Por favor!: usa el highlight para mostrar código El que busca, encuentra... |
|
12/04/2012, 08:39
| |||
| |||
| Respuesta: Problema seguridad web, me han hackeado ¿revisas si la sesión está activa al guardar datos por POST?SI ¿guardas datos por GET?: NO ¿tienes filtros XSS?NO ¿tienes protección CSRF?NO ¿tienes filtros SQL Inyections?SI ¿revisaste si tienes alguna fuente de RFI, allow_url_fopen activa?NO ¿cambias periódicamente la clave del FTP?SI ¿revisaste si no hay archivos extraños en los directorios de Upload (upload inyection)?SI Voy a empezar mirando los puntos negativos, haber si consiguo que dejen de meter publicidad jajja Gracias, cuando encuentre la solucion lo posteare ;) |
|
12/04/2012, 08:41
| |||
| |||
| Respuesta: Problema seguridad web, me han hackeado He de decir que todo lo hago por POST y en ningun momento se muestra la id del usuario activo, no se si es correcto ese planteamiento |
|
12/04/2012, 08:46
| ||||
| ||||
| Respuesta: Problema seguridad web, me han hackeado Podrías poner algún ejemplo del control de sesiones? No vaya a ser que esté un poco flojo y luego en alguna página haya por ahi algún session_start() y por eso puedan entrar. |
|
12/04/2012, 08:50
| |||
| |||
| Respuesta: Problema seguridad web, me han hackeado Esta noche pongo el control de sesiones, ¿a que te refieres que en alguna página haya por ahi algún session_start() y por eso puedan entrar? Puede que el que este flojo sea yo, pero en todas las paginas donde trabajo con la sesion la primera linea es un session_start(). ¿Eso no es correcto? |
| Etiquetas: |
Este tema le ha gustado a 1 personas 
