Título: Seguridad contra CSRF Publicado por: braulio-- en 23 Agosto 2009, 15:30 pm Sería seguro que para hacer una cosa como un cierre de sesión , el poner un comentario... pasar por get o por post el session_id() y comprobarlo en la página que hace el session_destroy() o el poner el comentario?
No se si me he explicado muy bien pero bueno... Gracias Título: Re: Seguridad contra CSRF Publicado por: WHK en 24 Agosto 2009, 04:43 am cual comentario?
Título: Re: Seguridad contra CSRF Publicado por: braulio-- en 24 Agosto 2009, 19:41 pm Pregunto que si una buena medida de seguridad contra CSRF sería pasar por método GET el session_id() y comprobarlo en la página que realice la acción que sea.
Título: Re: Seguridad contra CSRF Publicado por: дٳŦ٭ en 24 Agosto 2009, 20:35 pm Sería seguro que para hacer una cosa como un cierre de sesión , el poner un comentario... pasar por get o por post el session_id() y comprobarlo en la página que hace el session_destroy() o el poner el comentario? No se si me he explicado muy bien pero bueno... Gracias La verdad no.. explícate mejor para poder ayudarte. Saludos Título: Re: Seguridad contra CSRF Publicado por: braulio-- en 24 Agosto 2009, 22:07 pm Pongo unos códigos mejor.
cualquiercodigo.php : Código cerrarsesion.php Código Sería eso vulnerable a CSRF? Gracias Título: Re: Seguridad contra CSRF Publicado por: дٳŦ٭ en 24 Agosto 2009, 23:06 pm Síp, porque puedo obtener el sid.. no cambia. Lo que puedes hacer es asignar un número alfanumerico e irlo metiendo en cada interacion dentro de una variable de sesión:
pagina1.php -> $_SESSION['palabramagica']=numeroaleatorio(); y en la pagina destino revisar si coincide, después asignar uno nuevo y así, aunque me quedan mis dudas.. Título: Re: Seguridad contra CSRF Publicado por: braulio-- en 24 Agosto 2009, 23:58 pm Muchas gracias, si alguién sabe alguna forma de atacar ese método que me lo diga a mi antes que a un usuario maligno.
|