[SOLUCIONADO] comprender la seguridad en archivos clave

Albuss · #1 (**permalink**) 13/10/2014, 17:49

Buenas!

Me gustaria saber que es lo mas importante a tener en cuenta para archivos del lado de servidor PHP que sean especialmente sensibles, como por ejemplo, archivos que SOLO el administrador o el webmaster puedan ejecutar.

Es decir, si yo en uno de esos archivos que solo y solo el webmaster quiero que use, puedo hacer algo como :

Código PHP:

Ver originalif( $_SESSION["ID"] != 333 ){ // 333 id == ejemplo del id usuario admin
 
return;
 
} 
 
<!-- script -->

Pero me temo que esto no tiene nada de seguro (o a mi parecer), por ejemplo, que pasa si alguien ve de alguna forma el archivo aunque no pueda ejecutarlo? es decir, saber que id de usuario es el webmaster es una información potencialmente valiosa ¿que precauciones tomar?

Patriarka · #2 (**permalink**) 13/10/2014, 20:35

nadie puede ver el .php a menos que acceda al ftp, bueno ahi ya estas hackeado :)

hay muchas formas y metodos de ataques y creo que es imposible conocer todos y muchos menos prevenirse de todos.

yo tengo un sistema de permisos simple donde seteo las secciones que puede ver cada tipo de usuario, incluso el superadmin tiene reestricciones.
Entonces la única forma de acceder a una seccion es la siguiente:

<?
if(userTienePermisosDeSeccion("seccion a validar")){}
?>
donde userTienePermisosDeSeccion valida la session del usuario, el tipo y el permiso

Albuss · #3 (**permalink**) 14/10/2014, 04:17

Cita:

Iniciado por Patriarka

nadie puede ver el .php a menos que acceda al ftp, bueno ahi ya estas hackeado :)

hay muchas formas y metodos de ataques y creo que es imposible conocer todos y muchos menos prevenirse de todos.

yo tengo un sistema de permisos simple donde seteo las secciones que puede ver cada tipo de usuario, incluso el superadmin tiene reestricciones.
Entonces la única forma de acceder a una seccion es la siguiente:

<?
if(userTienePermisosDeSeccion("seccion a validar")){}
?>
donde userTienePermisosDeSeccion valida la session del usuario, el tipo y el permiso

Si que se puede, si se copia el enlace de la ruta al archivo, ves todo el codigo , ejemplo : carpetaUno/ejemplo.php

y la ruta se puede sacar facilmente con cualquier herramienta de desarrollador, por ejemplo en chrome si te pones a ver las llamadas a los scripts de php te sacas todas las rutas.

cuasatar · #4 (**permalink**) 14/10/2014, 08:27

Complementando lo que plantea Patriarka (idea que me parece buena) tambien puedes inhabilitar la visualización de errores cuando ya tienes el codigo en producción. Es decir que si el usuario coloca carpetaUno/ejemplo.php y esta relacionado con una base de datos por ejemplo generalmente colocara el error asociado y es ahi donde el atacante aprovechara esta vulnerabilidad. Si deshabilitas en el servidor la visualización de errores por mas que acceda a los enlaces directos no podria ver que ocurre en caso de una ejecución erronea del script.

Patriarka · #5 (**permalink**) 14/10/2014, 20:16

Cita:

Iniciado por Albuss

Si que se puede, si se copia el enlace de la ruta al archivo, ves todo el codigo , ejemplo : carpetaUno/ejemplo.php

y la ruta se puede sacar facilmente con cualquier herramienta de desarrollador, por ejemplo en chrome si te pones a ver las llamadas a los scripts de php te sacas todas las rutas.

con la validacion que yo hago no se puede salvo que tengas los permisos necesarios

sos muy novato todavia