Autor
|
Tema: Referer para protección de páginas o no? (Leído 8,778 veces)
|
jdc
|
No es novedad usar el referer para proteger el acceso a una página ya que existe el spoof de referer no? Ahora que pasa sí usamos el spoof a nuestro favor? Por ejemplo podríamos usar una página x (existente o no) para que sólo cuando se llega desde ella se muestre el contenido deseado. Teóricamente es seguro no? Una prueba... www.holamundo.cl/prueba.php Sólo verán el contenido real sí llegan desde http://www.google.cl/ Lo ven seguro o no? Dejó el debate
|
|
|
En línea
|
|
|
|
SnakeDrak
Desconectado
Mensajes: 243
[GPG: 0x9680A09E]
|
Hola, El REFERER no es seguro obviamente.. no necesitas hacer spoofing, el REFERER es una cabecera y como tal es editable, solo da información desde donde según el cliente él está accediendo, pero como dije, SEGÚN EL CLIENTE, lo que quiere decir que él puede decir que viene de google pero esto puede no ser cierto. Punto 14.36: http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.htmlP.D: Por ejemplo, me colaría en tu panel con solo poner http://www.google.cl/ en el REFERER: Panel de administracion ultrasecreto xD
pronto...
Gracias por su visita... Powered by janito xDDD 2009
Saludos!
|
|
« Última modificación: 19 Agosto 2009, 17:05 pm por SnakeDrak »
|
En línea
|
|
|
|
Jubjub
Desconectado
Mensajes: 708
Lay Ladie lay,...
|
Seria simplemente igual que un acceso con contraseña, sin usuario. Claro, el atacante no se imaginaria que es el referrer lo que afecta a la entrada o no
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Colaborador
Desconectado
Mensajes: 10.683
Yo que tu lo pienso dos veces
|
Quién intente ingresar a la web debería de conocer la url del REFERER ... pero conociendo esta es solo cuestión de modificarla ya que como te han dicho viene dada por el cliente (el tema es conocerla ) Panel de administracion ultrasecreto xD pronto...Gracias por su visita... Powered by janito xDDD 2009Saludos
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD "Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein
|
|
|
jdc
|
Por eso les deje el referer que se necesita para entrar... Obviamente en un caso real no le dirías "tú referer debe ser x" x sería nuestra semi contraseña.. Lo ven seguro o no? No se puede saber que referer es el que se pide o sí? Por eso preguntaba... Es seguro? Tengan en cuenta que el dueño del script podría poner incluso una página que no existe... Como por ejemplo... http://paginanoexistente.com?367596a7=panel_xD Hablo de usar el spoof para proteger en vez de atacar
|
|
|
En línea
|
|
|
|
Spider-Net
Desconectado
Mensajes: 1.165
Un gran poder conlleva una gran responsabilidad
|
Lo veo como una posibilidad más a implementar pero obviamente no la única. Si a parte de eso pones un sistema de login con contraseña y demás pues no lo veo mal como una barrera más ante cualquier atacante.
|
|
|
En línea
|
|
|
|
[u]nsigned
Desconectado
Mensajes: 2.397
JS/Node developer
|
Es mas seguro usar sesiones. En la pagina desde la cual queres que vengan el REFER asignas algun valor a alguna variable de $_SESSION, y luego en la pagina que muestra estos datos recuperas ese valor. La verdad que asi, al ser todo llevado por el server, no se me ocurre una forma de saltar el sistema de validación. Saludos
|
|
|
En línea
|
No hay atajo ante la duda, el misterio se hace aquí... Se hace carne en cada uno, el misterio es existir!
|
|
|
Novlucker
Ninja y
Colaborador
Desconectado
Mensajes: 10.683
Yo que tu lo pienso dos veces
|
En realidad no hay manera de saberla .. no desde la web, ya que si bien la info es enviada por el cliente php se ejecuta del lado del servidor, así que si podría ser una contraseña, y por otra parte ... utilizar una web no existente como ya has dicho .. ya que sino se podría llegar a ingresar sin querer, desde el REFERER real y la URL que seguro quedará en el historial
Igual como ya te han dicho .. complementalas .. poner un pequeño webform con usuario y contraseña (o solo contraseña) tampoco es que cueste tanto
Saludos
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD "Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein
|
|
|
Jubjub
Desconectado
Mensajes: 708
Lay Ladie lay,...
|
Session hijacking : P
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Colaborador
Desconectado
Mensajes: 10.683
Yo que tu lo pienso dos veces
|
Bueeeeeenoooo, pero eso ya sería meterse de lleno a otras cosas y entonces habría varias maneras más de haerlo ...y creo que para lo que lo pide no es algo muy serio que digamos
Saludos
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD "Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein
|
|
|
|
|