elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  Referer para protección de páginas o no?
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: Referer para protección de páginas o no?  (Leído 8,792 veces)
jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: Referer para protección de páginas o no?
« Respuesta #10 en: 19 Agosto 2009, 20:45 pm »

En realidad no lo quiero implementar, sino que lo estoy proponiendo como una forma más de proteger... Por ejemplo en vez de mostrar un mensaje sí no viene del referer correcto se nuestra una página 404... Lo del web form es una alternativa pero volveríamos a lo actual xD ya y habría que proteger el web form...
 
De todas maneras lo veo como complemento para las demás técnicas usadas actualmente, y para uso completamente personal, porque para un cliente pfff xD


En línea

дٳŦ٭
GNU/Linux Infrastructure Specialist
Ex-Staff
*
Desconectado Desconectado

Mensajes: 5.110


Ver Perfil WWW
Re: Referer para protección de páginas o no?
« Respuesta #11 en: 21 Agosto 2009, 20:24 pm »

el referer proviene de los heardes que mande el browser, es muy facil de spoofear.. Te sirve como medida de seguridad secundaria. Saludos.


En línea

jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: Referer para protección de páginas o no?
« Respuesta #12 en: 21 Agosto 2009, 20:32 pm »

Se que es sencillo modificar el referer pero para ello debes saber que referer es el que se pide no?
 
Alguien ha leído el post?
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Referer para protección de páginas o no?
« Respuesta #13 en: 24 Agosto 2009, 05:22 am »

se puede spoofear y no sirve ni como medida de protección secundaria ni tercera ni ultima ya que no puedes dar un tipo de protección que sabes que puede ser falseado. Si el sistema tiene xss también puede obtenerse la referencia desde javascript y enviar cada dato al atacante asi que mejor te recomiendo a lo mortal... user y pass.
En línea

jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: Referer para protección de páginas o no?
« Respuesta #14 en: 25 Agosto 2009, 06:18 am »

se puede spoofear y no sirve ni como medida de protección secundaria ni tercera ni ultima ya que no puedes dar un tipo de protección que sabes que puede ser falseado. Si el sistema tiene xss también puede obtenerse la referencia desde  ‫ ‫javascript y enviar cada dato al atacante asi que mejor te recomiendo a lo mortal... user y pass.

No entiendo porque todos dicen que es facil de spoofear como si yo lo hubiese negado ¬¬ en eso estamos completamente de acuerdo...

Se que me arrepentire de esto pero:

http://holamundo.cl/prueba.php

Entra... cambie el referer.

PD: Corrigeme si me equivoco... si el sistema como dices tuviera XSS me podrias mandar una URL modificada pero eso no te diria nada, yo por lo menos cambio el referer con opera al estilo chapuza que te comente hace un tiempo por MSN xD recuerdas? por lo que seria dificil robarme el referer :P
« Última modificación: 25 Agosto 2009, 06:21 am por janito24 » En línea

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Explotando XSS desde el Header Referer IE 6,7,8
Hacking
Preth00nker 1 3,580 Último mensaje 14 Noviembre 2011, 22:45 pm
por adastra
Protección para APK
Análisis y Diseño de Malware
chatiel 0 2,687 Último mensaje 6 Noviembre 2016, 03:07 am
por chatiel
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines