"Seguridad" en Sitio

german_1441 · #1 (**permalink**) 12/01/2016, 16:27

Hola a todos, pues el tema va relacionado con un post que había hecho con anterioridad...

Existe algún riesgo (y si existe cual es?) en caso de que yo pudiera acceder desde un sitio A a un sitio B ?

Pongamos el ejemplo de éste sitio,
yo cree un formulario (en un servidor propio) apuntando al login de ésta pag (forosdelweb) , y al ingresar los datos y enviarlos, accedo de forma normal a la pág

Esto representa algún riesgo?
Cómo validar que efectivamente las peticiones se hacen desde tu propio sitio?

Saludos!

pateketrueke · #2 (**permalink**) 12/01/2016, 17:04

Cita:

Esto representa algún riesgo?

Sólo si el sitio está muy mal programado.

Cita:

Cómo validar que efectivamente las peticiones se hacen desde tu propio sitio?

Una técnica muy empleada es CSRF.

german_1441 · #3 (**permalink**) 12/01/2016, 17:55

Hola amigo, gracias por tu respuesta!

Cita:

Iniciado por pateketrueke

Sólo si el sitio está muy mal programado.

Digamos q ese es el caso, que la programación fuera pésima...
Q es lo q un atacante podría lograr?

Cita:

Iniciado por pateketrueke

Una técnica muy empleada es CSRF.

He leído bastante (por lo visto no lo suficiente) sobre éste tema, y no acabo de comprender la técnica, o no sé si la esté implementando mal (q es lo mas seguro

)

Lo que he entendido, es que se debe de crear un token (muy seguro) y para reforzar añadir una sesion ligada a él... pero, a final de cuentas yo siento q sólo es un parámetro más a la hora de hacer el envío de un formulario o petición AJAX,
crees que me podrías explicar más sobre ésta técnica?

Saludos!

pateketrueke · #4 (**permalink**) 12/01/2016, 18:15

Cita:

Q es lo q un atacante podría lograr?

Ataques como SQLInjection, CSRF, XSS.

Cita:

a final de cuentas yo siento q sólo es un parámetro más a la hora de hacer el envío de un formulario o petición AJAX,

El asunto es que sólo el servidor saber que generó, y al recibir el formulario compararía dicho valor contra lo que le provee el usuario.

Obviamente sólo harán "match" si son el mismo, y además es un valor que se regenera con cada petición de modo que cada usuario crearía un valor único y que cambia en la siguiente petición, etc.

german_1441 · #5 (**permalink**) 13/01/2016, 09:36

Gracias por la respuesta!

Cita:

Iniciado por pateketrueke

El asunto es que sólo el servidor saber que generó, y al recibir el formulario compararía dicho valor contra lo que le provee el usuario.

Obviamente sólo harán "match" si son el mismo, y además es un valor que se regenera con cada petición de modo que cada usuario crearía un valor único y que cambia en la siguiente petición, etc.

Esto es precisamente lo que no comprendo del todo bien, y es a lo q me refiero con un parámetro más (como te comentaba, quiza mi implementación está mal, q es lo mas seguro

)

Yo tengo un formulario de login, digamos, en mi index.php, en el cual creo un token, de la siguiente forma:

Archivo index.php

Código HTML:

Ver original<?php
   $token =  //Creamos el token con algún método para generar un 'código' aleatoirio o encriptado (o ambos)
  $_SESSION['token'] = $token;
?>
<form action="ingresar.php" action="post">
 <input type="text" name="user">
 <input type="password" name="pass">
 <input type="hidden" name="token" value="<?=$token?>">
 <input type="submit" value="Ingresa">
</form>

Después en mi archivo ingresar.php tengo lo siguiente

Archivo ingresar.php

Código PHP:

Ver original<?php
   $token_recibido = $_POST['token];
   if($_SESSION['token']==$token_recibido){
    //Comprobamos las demás variables para hacer el login
 }
  else{
   //Acciones a seguir en caso de que el token no coincida
  }
?>

Esa es la forma que yo entiendo de generar el token, pero a final de cuentas , es un valor más que se puede enviar desde una parte externa, y la sesión se crearía tan sólo con visitar mi página...
Sé que se pueden agregar más parámetros, como la caducidad del token o incluso otra session con el tiempo dado al usuario para realizar acciones , pero,
existe alguna otra forma más "segura"? o es q la implementación no es la correcta

Agradezco sus observaciones, saludos!!

x_atrix · #6 (**permalink**) 13/01/2016, 15:51

Hola, creo que deberías entender como funciona una session... Una sesion es, al final una cookie pero solo guarda en el cliente una clave. Esta clave esta asociada con un fichero que contiene todos los datos (variables), la cosa es, el fichero se crea en el servidor no en el cliente. Un cliente no tiene acceso al archivo de sesion como en caso de cookie.

Por otro lado esto: "es un valor más que se puede enviar desde una parte externa" es verdad en parte ya que esta parte externa tiene que tener este valor, algo imposible ya que se guarda en el servidor el valor asi que no hay forma de obtenerlo o de establecer el valor a la session.

german_1441 · #7 (**permalink**) 13/01/2016, 18:06

Hola amigo, gracias por la respuesta.

Cita:

Iniciado por x_atrix

Una sesion es, al final una cookie pero solo guarda en el cliente una clave. Esta clave esta asociada con un fichero que contiene todos los datos (variables), la cosa es, el fichero se crea en el servidor no en el cliente. Un cliente no tiene acceso al archivo de sesion como en caso de cookie.

Es cierto, como lo comentas, ese valor sólo se guarda en el servidor , PERO

Cita:

Iniciado por x_atrix

...
ya que esta parte externa tiene que tener este valor, algo imposible ya que se guarda en el servidor.

Y si en el cliente se genera esa clave asociada al fichero que está en servidor, no es lo mismo?
La "parte externa" tiene asociado el valor al server, imposible no diría yo

x_atrix · #8 (**permalink**) 13/01/2016, 19:32

Cita:

Iniciado por german_1441

Y si en el cliente se genera esa clave asociada al fichero que está en servidor, no es lo mismo?

Como?

Yo tengo el ID de sesion vmbrd66br8rsg83mssot159ie5, este ID esta asociado a un archivo que contiene el token obtenido por esta función:

Código PHP:

  function generarToken() {

    $cryptoStrong = true;

    return bin2hex(openssl_random_pseudo_bytes(22, $cryptoStrong));

}

Como sabes tu mi id de sesión para poder enviar la cookie? Por cierto, en puntos claves se debería actualizar el ID para evitar session fixation y session hijacking. session_regenerate_id()...

Si lo puedes hacer podrás atacar practicamente cualquier sitio web, pruebalo ... pero te tienes que inventar el ID de sesion... Lo que tienes es el token que esta en el archivo del servidor pero no sabes el ID de sesión.

Imagínate, si tu puedes conseguir mi ID de sesion de mi banco, podrías operar. Tu cookie asignada por el banco lo cambias con este ID que es mio y listo, tienes acceso a mi cuenta bancaria ... El "único problema" es conseguir el ID.

german_1441 · #9 (**permalink**) 14/01/2016, 09:50

Hola amigo

Creo q nos desviamos en algún momento, o no nos entendimos...

Yo no me refiero a robar id de sesion o algo por el estilo, no me refiero a que yo pueda entrar con tu cuenta o algo parecido
Me refiero a que yo con mi misma cuenta, (por ejemplo en ésta pag), ingresar desde un sitio externo , es decir, ingresar a forosdelweb.com desde misitio.com (por ejemplo), como prevenir q eso pase, a lo mejor es muy tonto y a lo mejor no tiene mucho sentido.... pero quizá si :p
Es esa mi duda

Saludos!

x_atrix · #10 (**permalink**) 14/01/2016, 11:48

Si, es algo muy tonto porque tienes que entrar en la pagina forosdelweb.com sin enviar el formulario, ver el token, copiarlo y ponerlo en mipagina.com ademas del ID de session tuyo y enviar el formulario desde ahi. Esto solo funciona de esta forma (siempre que no tenga control por IP, Navegador ...).

Pero, de que te sirve? Siempre que quiera enviar un formulario tienes que hacer este proceso... Solo funcionaria 1 vez con un token. Para volver a enviar este formulario, tienes que volver a entrar en forosdelweb.com para que vuelva a generar el token, lo vuelves a poner en mipagina.com y vuelves a enviar ... de que sirve esto?.

Si tienes el ID de sesion y el token, esto no lo puedes prevenir... pero tampoco veo el porque lo harías. Cual es el riesgo de seguridad aquí? Es el mismo usuario que si tiene acceso.

german_1441 · #11 (**permalink**) 14/01/2016, 13:08

Gracias por la respuesta...

Cita:

Pero, de que te sirve? Siempre que quiera enviar un formulario tienes que hacer este proceso... Solo funcionaria 1 vez con un token. Para volver a enviar este formulario, tienes que volver a entrar en forosdelweb.com para que vuelva a generar el token, lo vuelves a poner en mipagina.com y vuelves a enviar ... de que sirve esto?.

Esa era mi pregunta precisamente, si eso sirve de algo jajaja; como comenté anteriormente, yo hice la prueba en ésta pág (forosdelweb.com), envío el formulario desde un sitio externo, y me ingresa.... ahora bien, intento hacer lo mismo con mi cuenta de facebook, y no me hace lo mismo, no me ingresa, al contrario, me manda una alerta de no ingresar datos fuera de facebook.com , y pues lo primero q pensé fue en que, si ellos validan eso, es por alguna razón... por eso fue mi pregunta

Cita:

Si tienes el ID de sesion y el token, esto no lo puedes prevenir... pero tampoco veo el porque lo harías. Cual es el riesgo de seguridad aquí? Es el mismo usuario que si tiene acceso.

Si, es el mismo usuario el que tiene el acceso, pero si el usuario no trata de ingresar sus datos? si se crea algun script (la verdad desconozco como se haría o si es posible hacerlo) para estar mandando peticiones con algun usuario conocido y contraseñas aleatorias?

Saludos

x_atrix · #12 (**permalink**) 14/01/2016, 14:53

Para hacerlo aleatorio tienes que conocer el ID de sesion ... ese es el problema, llegamos a lo mismo. No puedes hacerlo.