elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  no sea visible los parametros de una URL
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: no sea visible los parametros de una URL  (Leído 7,944 veces)
OssoH


Desconectado Desconectado

Mensajes: 872


Ver Perfil
no sea visible los parametros de una URL
« en: 25 Abril 2009, 15:52 pm »

Hola a todos estoy desarrollando una aplicacion web en php bajo XAMPP y mi pregunta es la siguiente :
Tengo la necesidad de pasar paramétros a través de la URL, ¿es posible que no sean visibles para el usuario?
por ejemplo http://www.dominio.com/prueba.php?id=34&op=update
el usuario solo vea http://www.dominio.com/prueba.php
o incluso mejor si es posible esto http://www.dominio.com
de forma que no sepa que variables paso por query y comience a intuir cosas como por ejemplo que pasaría si cambia el id y en vez de poner 34 pone otro valor.
Esto es importante controlarlo porque si cambiará el id a otro número entraría en la ficha de otro cliente que no debería tener acceso.
Algún consejo?
Gracias.


En línea

Nakp
casi es
Ex-Staff
*
Desconectado Desconectado

Mensajes: 6.336

he vuelto :)


Ver Perfil WWW
Re: no sea visible los parametros de una URL
« Respuesta #1 en: 25 Abril 2009, 17:29 pm »

post


En línea

Ojo por ojo, y el mundo acabará ciego.
braulio--
Wiki

Desconectado Desconectado

Mensajes: 896


Imagen recursiva


Ver Perfil WWW
Re: no sea visible los parametros de una URL
« Respuesta #2 en: 25 Abril 2009, 23:49 pm »

post
Dice que tiene que pasarlos por la url,
se que es posible, por lo menos yo estuve en un foro que te ibas metiendo por las paginas y no cambiaba la url.
La verdad es que no se como hacerlo.
En línea

armigerum.umbra

Desconectado Desconectado

Mensajes: 7


Ver Perfil
Re: no sea visible los parametros de una URL
« Respuesta #3 en: 26 Abril 2009, 18:40 pm »

Puedes usar javascript, por otro lado no veo la necesidad de que forsozamente tengas que utilizar el metodo Get. al menos yo no me he topado hasta el momento con esa necesidad. Mi consejo es que uses en ultima instance el metodo Get o lo uses cuando no se comprometa la seguridad, por ejemplo cuando usas paginacion, que el usuario da click en la pagina 5 por ejemplo y se mande por Get pag=5 en este caso si el usuario  mete un 8 o un 3, no pasa nada simplemente se le muestra dicha pagina.
Realmente hasta donde tengo entendido es imposible usar GET y que algun usuario no pueda alterar los valores sobre las variables. Pero puedes ser creativo y siempre usar Post para que no comprometas la seguridad, puedes hacer uso de por ejemplo Jquery o de hacer formularios con campos hidden para pasar valores ocultos a el usuario.

Saludos.
En línea

дٳŦ٭
GNU/Linux Infrastructure Specialist
Colaborador
***
Desconectado Desconectado

Mensajes: 5.110


Ver Perfil WWW
Re: no sea visible los parametros de una URL
« Respuesta #4 en: 26 Abril 2009, 22:46 pm »

En tu <form> "method=post" y en php $_POST.

Suerte
En línea



Con sangre andaluza :)

Anibal784


Desconectado Desconectado

Mensajes: 762

Yo no la vote, pero me la tengo que aguantar igual


Ver Perfil WWW
Re: no sea visible los parametros de una URL
« Respuesta #5 en: 27 Abril 2009, 15:51 pm »

    A ver, en realidad lo que quieres hacer carece de sentido, no ganas ni pierdes seguridad con usar GET o POST, supongamos que usas un formulario para pasar los parámetros por POST, alguien vivo mira el código del html y puede deducir lo mismo que si se lo mandas por GET, entonces usemos elementos hidden, el código html te lo muestra.
    Entonces, a ver, usemos javascript, entonces alguien puede ver el código javascript para ver los parámetros que le pasás a tu script. Usemos cookies, necesitás un código que setee esa cookie y otra vez el resultado es el mismo.

    La seguridad está en checkear en el lado del servidor todos los datos pasados, sin importar que el tipo de éste lado pueda inferir la (por ejemplo) estructura de tu Base de Datos. A, eso si, no vas a andar pasando del cliente al servidor la contraseña de la base de datos porque es medio tonto eso.

    Una técnica (aunque realmente no me gusta pero se me ocurrió), es tener un .php por cada parámetro diferente, que lo único que haga sea redireccionar al script main con los parámetros formales, supongando que tienes la página principal y además la página que lista los contenidos de artículos televisores y otra de lavarropas, deberías tener una que se llame (por ejemplo) index.php, televisores.php y lavarropas.php
En línea

El que llega sin que lo llamen, se va sin que lo echen.

Citar
Vos no la votaste por eso la tenes adentro.
Lo fino no es lo tuyo, y a mi me chupa un huevo, soy argentino y no peronista, y eso es lo que realmente te molesta.
OssoH


Desconectado Desconectado

Mensajes: 872


Ver Perfil
Re: no sea visible los parametros de una URL
« Respuesta #6 en: 14 Mayo 2009, 23:11 pm »

    A ver, en realidad lo que quieres hacer carece de sentido, no ganas ni pierdes seguridad con usar GET o POST, supongamos que usas un formulario para pasar los parámetros por POST, alguien vivo mira el código del html y puede deducir lo mismo que si se lo mandas por GET, entonces usemos elementos hidden, el código html te lo muestra.
Si, pero no podría modificar el valor mientras que si los paso parametros en la cadena si que podría modificarlos y accederia a zonas que no deseo. Luego como me indicais pienso que la mejor opcion es POST
En línea

braulio--
Wiki

Desconectado Desconectado

Mensajes: 896


Imagen recursiva


Ver Perfil WWW
Re: no sea visible los parametros de una URL
« Respuesta #7 en: 15 Mayo 2009, 14:55 pm »

    A ver, en realidad lo que quieres hacer carece de sentido, no ganas ni pierdes seguridad con usar GET o POST, supongamos que usas un formulario para pasar los parámetros por POST, alguien vivo mira el código del html y puede deducir lo mismo que si se lo mandas por GET, entonces usemos elementos hidden, el código html te lo muestra.
Si, pero no podría modificar el valor mientras que si los paso parametros en la cadena si que podría modificarlos y accederia a zonas que no deseo. Luego como me indicais pienso que la mejor opcion es POST

Si que podria cambiar la informacion de varias maneras.
O usando el firebug para cambiar el valor del campo hidden o usando programass como el tamperdata para interceptar y cambiar el valor que se envie por post.
En línea

OssoH


Desconectado Desconectado

Mensajes: 872


Ver Perfil
Re: no sea visible los parametros de una URL
« Respuesta #8 en: 17 Mayo 2009, 21:52 pm »

Entonces braulio cual seria tu solucion?
Gracias
En línea

‭lipman


Desconectado Desconectado

Mensajes: 3.062



Ver Perfil WWW
Re: no sea visible los parametros de una URL
« Respuesta #9 en: 17 Mayo 2009, 22:02 pm »

Como han dicho, tampoco pasa nada por verlo. Si es por simple estética vale, pero en el tema de la seguridad puedes buscarte la vida por ejemplo:

Tienes una web de compras y aparece una lista de artículos. La primera página es esta:

www.dominio.com/asd.php?id1=0&id2=20 Esta página te muestra los artículos (en la base de datos) del 1 al 20. Ahora puedes pensar. Pues no quiero que el usuario pueda modificar esto, porque podria poner para que le mostrara del 1 al 9999 y daria un error.

Pues te puedes buscar la vida del siguiente modo: Compruebas que entre id1 y id2 haya una diferencia de 20, y que el resto de dividir id2 entre 20, sea cero.

En conclusión, creo que puedes buscar siempre alguna idea para la seguridad ^^

Saludos
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda con equipo no visible en red
Redes
cassiiopeauah 1 2,931 Último mensaje 13 Abril 2011, 23:23 pm
por madpitbull_99
Hacer visible DataGridView asp.net
.NET (C#, VB.NET, ASP)
k4rn13l 0 1,113 Último mensaje 21 Diciembre 2011, 15:53 pm
por k4rn13l
Aircrack, Red no visible
Hacking Wireless
Smaster77 2 1,338 Último mensaje 12 Enero 2015, 03:09 am
por beholdthe
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines