elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  Seguridad contra CSRF		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Seguridad contra CSRF  (Leído 2,664 veces)
braulio--
Wiki

Desconectado Desconectado

Mensajes: 896


Imagen recursiva


Ver Perfil WWW
Seguridad contra CSRF
« en: 23 Agosto 2009, 15:30 pm »
Sería seguro que para hacer una cosa como un cierre de sesión , el poner un comentario... pasar por get o por post el session_id() y comprobarlo en la página que hace el session_destroy() o el poner el comentario?
No se si me he explicado muy bien pero bueno...
Gracias
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Seguridad contra CSRF
« Respuesta #1 en: 24 Agosto 2009, 04:43 am »
cual comentario?
En línea
- https://yhojann.cl/ - https://whk.cl/
braulio--
Wiki

Desconectado Desconectado

Mensajes: 896


Imagen recursiva


Ver Perfil WWW
Re: Seguridad contra CSRF
« Respuesta #2 en: 24 Agosto 2009, 19:41 pm »
Pregunto que si una buena medida de seguridad contra CSRF sería pasar por método GET el session_id() y comprobarlo en la página que realice la acción que sea.
En línea

дٳŦ٭
GNU/Linux Infrastructure Specialist
Ex-Staff
*
Desconectado Desconectado

Mensajes: 5.110


Ver Perfil WWW
Re: Seguridad contra CSRF
« Respuesta #3 en: 24 Agosto 2009, 20:35 pm »
Cita de: braulio23 en 23 Agosto 2009, 15:30 pm
Sería seguro que para hacer una cosa como un cierre de sesión , el poner un comentario... pasar por get o por post el session_id() y comprobarlo en la página que hace el session_destroy() o el poner el comentario?
No se si me he explicado muy bien pero bueno...
Gracias

La verdad no.. explícate mejor para poder ayudarte. Saludos
En línea
braulio--
Wiki

Desconectado Desconectado

Mensajes: 896


Imagen recursiva


Ver Perfil WWW
Re: Seguridad contra CSRF
« Respuesta #4 en: 24 Agosto 2009, 22:07 pm »
Pongo unos códigos mejor.
cualquiercodigo.php :
Código
  1. <?
  3. echo '<a href=cerrarsesion.php?s='.session_id().'>Cerrar sesion</a>';
  4. ?>
cerrarsesion.php
Código
  1. <?
  3. if ($_GET['s']==session_id())
  4. {
  6. }
  7. ?>
  8.  
Sería eso vulnerable a CSRF?
Gracias
En línea

дٳŦ٭
GNU/Linux Infrastructure Specialist
Ex-Staff
*
Desconectado Desconectado

Mensajes: 5.110


Ver Perfil WWW
Re: Seguridad contra CSRF
« Respuesta #5 en: 24 Agosto 2009, 23:06 pm »
Síp, porque puedo obtener el sid.. no cambia. Lo que puedes hacer es asignar un número alfanumerico e irlo metiendo en cada interacion dentro de una variable de sesión:

pagina1.php -> $_SESSION['palabramagica']=numeroaleatorio();

y en la pagina destino revisar si coincide, después asignar uno nuevo y así, aunque me quedan mis dudas..
En línea
braulio--
Wiki

Desconectado Desconectado

Mensajes: 896


Imagen recursiva


Ver Perfil WWW
Re: Seguridad contra CSRF
« Respuesta #6 en: 24 Agosto 2009, 23:58 pm »
Muchas gracias, si alguién sabe alguna forma de atacar ese método que me lo diga a mi antes que a un usuario maligno.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines