Control de acceso (¿vulnerabilidad?)

kies89 · #1 (**permalink**) 08/02/2013, 09:51

Buenas tardes.

Miren, yo para controlar que un usuario acceda por ejemplo a admin.php hago lo siguiente:

Código PHP:

Ver original<?php
  if ( !empty($_SESSION['admin']) ) // Si NO ESTÁ VACÍA la sesión
    echo "Usuario con acceso a administración";
?>

Y cuando se loggean hago lo siguiente:

Código PHP:

Ver original$_SESSION['admin']="nombre_del_usuario";

La cuestión es la siguiente: al hacer empty no compruebo el valor de la sesión, yo podría colar un PHPSESSID falso a través de una cookie y se crearía en mi sistema.

Código MySQL:

Ver original+----------------------------+----------------------------------------------+
| id_de_la_sesion            | contenido_de_la_sesion                       |
+----------------------------+----------------------------------------------+
| cacsihuv6r4s7h3f9l4cjpj694 |                                              |

La pregunta es, aunque consiga crearla, EMPTY NUNCA me dará acceso a la web aunque falsee el PHPSESSID y lo meta en el sistema? Dado que no compruebo nunca el valor.

pablo_exeg · #2 (**permalink**) 08/02/2013, 09:57

El problema es que si vos le das cualqueir valor a la session id ya no esta vacia... lo cual le permite el ingreso a tu sistema

kies89 · #3 (**permalink**) 08/02/2013, 10:15

Cita:

Iniciado por pablo_exeg

El problema es que si vos le das cualqueir valor a la session id ya no esta vacia... lo cual le permite el ingreso a tu sistema

¿?¿?¿?

A menos que te loguees bien CREO que no se puede dar valor al PHPSESSID, solo crearla.

#4 (**permalink**) 08/02/2013, 10:41

tienes que identificar que el propietario de la session sea el mismo del que la creo, tan solo con un identificador de session no es suficiente ya que puede ser alterado y las consecuencias que conlleva , tendras que crear alguna session que identifique al usuario en el momento de crear la session ya sea con las cabeceras , ips , etc....

un ejemplo sencillito

$_SESSION['admin'] = sha1($_SERVER['HTTP_USER_AGENT'].$_SERVER['REMOTE_ADDR'].'CLAVE');

Código PHP:

Ver original<?php
      if ( isset($_SESSION['admin']) and $_SESSION['admin'] == sha1($_SERVER['HTTP_USER_AGENT'].$_SERVER['REMOTE_ADDR'].'CLAVE')) 
        echo "Usuario con acceso a administración";
    ?>

Es tan solo un ejemplo

user agent y la ip igualmente puede ser alterado

tambien puedes crear una cookie ademas de la cookie de session

Código PHP:

Ver original$_SESSION['admin'] = sha1($_SERVER['HTTP_USER_AGENT'].$_SERVER['REMOTE_ADDR'].'CLAVE');
setcookie('ID_ADMIN',session_id());
 
<?php
      if ( isset($_SESSION['admin']) and  $_SESSION['admin'] == sha1($_SERVER['HTTP_USER_AGENT'].$_SERVER['REMOTE_ADDR'].'CLAVE') and isset($_COOKIE['ID_ADMIN']) and $_COOKIE['ID_ADMIN'] == session_id()) 
        echo "Usuario con acceso a administración";
    ?>

kies89 · #5 (**permalink**) 08/02/2013, 17:22

Cita:

Iniciado por webankenovi

tienes que identificar que el propietario de la session sea el mismo del que la creo, tan solo con un identificador de session no es suficiente ya que puede ser alterado y las consecuencias que conlleva , tendras que crear alguna session que identifique al usuario en el momento de crear la session ya sea con las cabeceras , ips , etc....

un ejemplo sencillito

$_SESSION['admin'] = sha1($_SERVER['HTTP_USER_AGENT'].$_SERVER['REMOTE_ADDR'].'CLAVE');

Código PHP:

Ver original<?php
      if ( isset($_SESSION['admin']) and $_SESSION['admin'] == sha1($_SERVER['HTTP_USER_AGENT'].$_SERVER['REMOTE_ADDR'].'CLAVE')) 
        echo "Usuario con acceso a administración";
    ?>

Es tan solo un ejemplo

user agent y la ip igualmente puede ser alterado

tambien puedes crear una cookie ademas de la cookie de session

Código PHP:

Ver original$_SESSION['admin'] = sha1($_SERVER['HTTP_USER_AGENT'].$_SERVER['REMOTE_ADDR'].'CLAVE');
setcookie('ID_ADMIN',session_id());
 
<?php
      if ( isset($_SESSION['admin']) and  $_SESSION['admin'] == sha1($_SERVER['HTTP_USER_AGENT'].$_SERVER['REMOTE_ADDR'].'CLAVE') and isset($_COOKIE['ID_ADMIN']) and $_COOKIE['ID_ADMIN'] == session_id()) 
        echo "Usuario con acceso a administración";
    ?>

En una sola palabra: Perfecto.

Lo que sí la IP no la usaré por el tema del uso de VPNs, proxies, etc.
Ya he creado una función y me queda retocarla. Y mañana si todo me va bien doy el tema como solucionado.
Una pregunta, sabes cómo podría hacer que para X página web (http://www.google.es , http://www.forosdelweb.com), es decir con la IP o DNS, enviar desde el navegador siempre el mismo UserAgent que será diferente al que lleves. Es decir, quiero que cuando entren a mi web tengan un UserAgent diferente, y mientras poder navegar por otras webs usando un UserAgent diferente. ¿Algún addon o configuración? Los addons que he probado no vienen con tal posible configuración.

Saludos! :)

kies89 · #6 (**permalink**) 12/02/2013, 15:12

Una pregunta plz!

Algunos lenguajes de scripting están organizados para que si yo por ejemplo en un IF tengo dos condiciones separadas por dos operadores ANDs, si el primero es falso, no se ejecuta el siguiente. PHP lo hace así??

HalconVigia · #7 (**permalink**) 12/02/2013, 16:15

buenas!!

si lo maneja, te recomiendo que leas el manual de php, encontraras muy buenas opciones del manejo de lo que quieres hacer

saludos!!