elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  Referer para protección de páginas o no?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Referer para protección de páginas o no?  (Leído 8,778 veces)
jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Referer para protección de páginas o no?
« en: 19 Agosto 2009, 08:24 am »

No es novedad usar el referer para proteger el acceso a una página ya que existe el spoof de referer no?
 
Ahora que pasa sí usamos el spoof a nuestro favor? Por ejemplo podríamos usar una página x (existente o no) para que sólo cuando se llega desde ella se muestre el contenido deseado.
 
Teóricamente es seguro no? Una prueba...
 
www.holamundo.cl/prueba.php
 
Sólo verán el contenido real sí llegan desde http://www.google.cl/
 
Lo ven seguro o no? Dejó el debate :D


En línea

SnakeDrak

Desconectado Desconectado

Mensajes: 243


[GPG: 0x9680A09E]


Ver Perfil
Re: Referer para protección de páginas o no?
« Respuesta #1 en: 19 Agosto 2009, 17:00 pm »

Hola,

El REFERER no es seguro obviamente.. no necesitas hacer spoofing, el REFERER es una cabecera y como tal es editable, solo da información desde donde según el cliente él está accediendo, pero como dije, SEGÚN EL CLIENTE, lo que quiere decir que él puede decir que viene de google pero esto puede no ser cierto.

Punto 14.36:
http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html

P.D: Por ejemplo, me colaría en tu panel con solo poner http://www.google.cl/ en el REFERER:

Citar
Panel de administracion ultrasecreto xD

pronto...

Gracias por su visita... Powered by janito xDDD 2009

Saludos!


« Última modificación: 19 Agosto 2009, 17:05 pm por SnakeDrak » En línea

Jubjub


Desconectado Desconectado

Mensajes: 708


Lay Ladie lay,...


Ver Perfil WWW
Re: Referer para protección de páginas o no?
« Respuesta #2 en: 19 Agosto 2009, 17:15 pm »

Seria simplemente igual que un acceso con contraseña, sin usuario.
Claro, el atacante no se imaginaria que es el referrer lo que afecta a la entrada o no :xD
En línea

Jugando con Fósforoshacking con un tono diferente


.
porno
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Referer para protección de páginas o no?
« Respuesta #3 en: 19 Agosto 2009, 17:16 pm »

Quién intente ingresar a la web debería de conocer la url del REFERER ... pero conociendo esta es solo cuestión de modificarla ya que como te han dicho viene dada por el cliente (el tema es conocerla :rolleyes:)

Panel de administracion ultrasecreto xD

pronto...


Gracias por su visita... Powered by janito xDDD 2009

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: Referer para protección de páginas o no?
« Respuesta #4 en: 19 Agosto 2009, 19:18 pm »

Por eso les deje el referer que se necesita para entrar... Obviamente en un caso real no le dirías "tú referer debe ser x"
 
x sería nuestra semi contraseña..
 
Lo ven seguro o no? No se puede saber que referer es el que se pide o sí?
 
Por eso preguntaba... Es seguro?
 
Tengan en cuenta que el dueño del script podría poner incluso una página que no existe... Como por ejemplo... http://paginanoexistente.com?367596a7=panel_xD
 
Hablo de usar el spoof para proteger en vez de atacar :)
En línea

Spider-Net


Desconectado Desconectado

Mensajes: 1.165


Un gran poder conlleva una gran responsabilidad


Ver Perfil WWW
Re: Referer para protección de páginas o no?
« Respuesta #5 en: 19 Agosto 2009, 19:37 pm »

Lo veo como una posibilidad más a implementar pero obviamente no la única. Si a parte de eso pones un sistema de login con contraseña y demás pues no lo veo mal como una barrera más ante cualquier atacante.
En línea

[u]nsigned


Desconectado Desconectado

Mensajes: 2.397

JS/Node developer


Ver Perfil WWW
Re: Referer para protección de páginas o no?
« Respuesta #6 en: 19 Agosto 2009, 19:42 pm »

Es mas seguro usar sesiones.  ;D

En la pagina desde la cual queres que vengan el REFER asignas algun valor a alguna variable de $_SESSION, y luego en la pagina que muestra estos datos recuperas ese valor. La verdad que asi, al  ser todo llevado por el server, no se me ocurre una forma de saltar el sistema de validación.

Saludos
En línea

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Referer para protección de páginas o no?
« Respuesta #7 en: 19 Agosto 2009, 19:43 pm »

En realidad no hay manera de saberla .. no desde la web, ya que si bien la info es enviada por el cliente php se ejecuta del lado del servidor, así que si podría ser una contraseña, y por otra parte ... utilizar una web no existente como ya has dicho .. ya que sino se podría llegar a ingresar sin querer, desde el REFERER real y la URL que seguro quedará en el historial

Igual como ya te han dicho .. complementalas .. poner un pequeño webform con usuario y contraseña (o solo contraseña) tampoco es que cueste tanto

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Jubjub


Desconectado Desconectado

Mensajes: 708


Lay Ladie lay,...


Ver Perfil WWW
Re: Referer para protección de páginas o no?
« Respuesta #8 en: 19 Agosto 2009, 19:44 pm »

Session hijacking : P
En línea

Jugando con Fósforoshacking con un tono diferente


.
porno
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Referer para protección de páginas o no?
« Respuesta #9 en: 19 Agosto 2009, 19:49 pm »

Bueeeeeenoooo, pero eso ya sería meterse de lleno a otras cosas y entonces habría varias maneras más de haerlo ...y creo que para lo que lo pide no es algo muy serio que digamos

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Explotando XSS desde el Header Referer IE 6,7,8
Hacking
Preth00nker 1 3,555 Último mensaje 14 Noviembre 2011, 22:45 pm
por adastra
Protección para APK
Análisis y Diseño de Malware
chatiel 0 2,653 Último mensaje 6 Noviembre 2016, 03:07 am
por chatiel
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines