Me estan hakeando mi forma de votación que hago

Potro · #1 (**permalink**) 07/06/2008, 10:19

Hola mis estimados tengo el siguiente problema.

En un sitio que desarrolle esta en juego unos premios el caso que se vota por un video o una foto y el proceso de votación es el siguiente:

1 seleccionas la foto o video
2 pones un email
3 se registra los datos en una tabla de confirmación
4 te llega un correo en el cual llega el id de la imagen o video mas tu email mas un numero aleatorio que se genera
5 le das click y se valida esa información y se agrega el voto en otra tabla

Para mi el proceso es seguro como se planeo pero ayer entro un usuario el cual en menos de 10 horas lleva 120 votos y veo que los votos no tiene de diferencia ni 2 minutos ya que guardo fecha con hora y me pregunto yo como le estara haciendo esta persona para brincar mi validación ya que el numero aleatorio que se genera como lo consigue el.

Ustedes tiene alguna experiencia asi o bien me podrian decir como ponerle mas seguridad a mi formulario de PHP

Saludos...

pateketrueke · #2 (**permalink**) 07/06/2008, 10:29

mmm.... usas register_globals ON ??

lo que importa no es tanto la validación, sino el ultimo proceso... el de votación

si pones ese código, seguramente se puede analizar como llegan ahi... el FORM es lo de menos, ya que con una extensión (Poster de firefox) puedes hacer envios http a donde quieras....

Potro · #3 (**permalink**) 07/06/2008, 11:06

Pongo el codigo de primer paso de votacion..

<?
//Conesto recibo el email de quien vota y por que video o foto votora
$email=$_POST['email'];
$idvideo=$_POST['idvideo'];

//Me conecto
include("conex.php");
$link=Conectarse();

//Verifico que el id del video exista
$result=mysql_query("select * from tbl where id_user_video = '$max1'",$link);
$cuenta = mysql_num_rows($result);

//Y para mandar el mail valido que si exista el id de video
if ($cuenta == 1 )
{

//Genero mi clave alfanumerica aleatoria
function crear_semilla() {
list($usec, $sec) = explode(' ', microtime());
return (float) $sec + ((float) $usec * 100000);
}
srand(crear_semilla());
$clave="";
$max_chars = round(rand(30,30)); // tendrá entre 7 y 10 caracteres
$chars = array();
for ($i="a"; $i<"z"; $i++) $chars[] = $i;
$chars[] = "z";
for ($i=0; $i<$max_chars; $i++) {
$letra = round(rand(0, 1));
if ($letra) // es letra
$clave .= $chars[round(rand(0, count($chars)-1))];
else // es numero
$clave .= round(rand(0, 9));
}

//Inserto el voto en las tabla de confirmacion
mysql_query("insert into tbl_confirma (mail_voto_confirma, max_voto_confirma, fecha_voto_confirma, status_voto_confirma, aleatorio_voto_confirma) values ('$email', '$idvideo', '$fechis', '0', '$clave')",$link);

//Y les envio un mail
$sfrom="[email protected]"; //cuenta que envia
$sdestinatario=$email; //cuenta destino
$ssubject="¡Gracias! Confirma tu voto:"; //subject
$shtml="
<a href=http://www.site.com/pagina.php?email=$email&idvideo=$idvideo&code=$cla ve>Confirmar voto</a>
"; //mensaje
$sheader="From:".$sfrom."\nReply-To:".$sfrom."\n";
$sheader=$sheader."X-Mailer:PHP/".phpversion()."\n";
$sheader=$sheader."Mime-Version: 1.0\n";
$sheader=$sheader."Content-Type: text/html";
mail($sdestinatario,$ssubject,$shtml,$sheader);

?>

Asi funciona el primer paso para votar ahora les digo como recibo y valido...

<?
//Recibo los 3 campos que envie
$email=$_GET['email'];
$idvideo=$_GET['idvideo'];
$aleatorio=$_GET['code'];

//Me conecto
include("conex.php");
$link=Conectarse();

//Veo si los datos considen con mi tabla de confirmacion
$result3=mysql_query("select * from tbl1 where mail_voto_confirma = '$email' and max_voto_confirma = '$idvideo' and aleatorio_voto_confirma = '$aleatorio' and status_voto_confirma = 0",$link);
$cuenta3 = mysql_num_rows($result3);

//Y si todos los datos son correctos pues agrego el voto a la tabla correspondiente
mysql_query("insert into tbl2 (id_user_voto, id_video_voto, medio_voto, ip_voto, fecha_voto) values ('$email', '$idvideo', 'WEB', '$dir_IP', '$fechis')",$link);

//Y cambio el status de ese participonte para que ya no pueda volver a votar
mysql_query("update tbl_confirma set status_voto_confirma=1 WHERE mail_voto_confirma='$email' and max_voto_confirma='$idvideo' and aleatorio_voto_confirma = '$aleatorio'",$link);

?>

Realmente yo veo que es confiable pero como tu dices me pueden estar inyectando desde otro lado pero lo que yo no me explico como le hacen para saber el codigo alfanumerico que genere y por logica tiene que saber.

Bueno espero su valiosa ayuda para ver si puedo hacer mas seguro esto..

y mi estimado como es eso de register_globals ON la verdad no tengo idea.. de que sea..

Saludos

pateketrueke · #4 (**permalink**) 07/06/2008, 11:17

OK, ~~acabas de comprometer el comportamiento de tu web.... espero que nadie lo pille~~

mi única pregunta es ... justo en el SELECT de "confirmación" como sabes si es correcto hacer el INSERT que esta inmediatamente después....

ahí es donde no veo que valides, ni siquiera un if ...
demás ¿para que sirve $cuenta3 ???

no veo que compares su valor...

PDTA: intente con un enlace del que mandas por mail... al azar

y no muestra siquiera error, mail-erroneo .... solo dice, Gracias, tu voto ha sido validado y registrado etc, etc....

repito y sigue igual...

Potro · #5 (**permalink**) 07/06/2008, 11:37

Disculpa no quise poner todo el codigo pero si valido con un if si el registro existe.

<?
//Recibo los 3 campos que envie
$email=$_GET['email'];
$idvideo=$_GET['idvideo'];
$aleatorio=$_GET['code'];

//Me conecto
include("conex.php");
$link=Conectarse();

//Veo si los datos considen con mi tabla de confirmacion
$result3=mysql_query("select * from tbl1 where mail_voto_confirma = '$email' and max_voto_confirma = '$idvideo' and aleatorio_voto_confirma = '$aleatorio' and status_voto_confirma = 0",$link);
$cuenta3 = mysql_num_rows($result3);

//Si todos los datos son verdaderos me dara un 1 y es cuando inserto el voto
if ($cuenta3 == 1)
{
//Y si todos los datos son correctos pues agrego el voto a la tabla correspondiente
mysql_query("insert into tbl2 (id_user_voto, id_video_voto, medio_voto, ip_voto, fecha_voto) values ('$email', '$idvideo', 'WEB', '$dir_IP', '$fechis')",$link);

//Y cambio el status de ese participonte para que ya no pueda volver a votar
mysql_query("update tbl_confirma set status_voto_confirma=1 WHERE mail_voto_confirma='$email' and max_voto_confirma='$idvideo' and aleatorio_voto_confirma = '$aleatorio'",$link);

}else{
echo "El voto no es valido";
}

?>

Como dices en la pagina te aparece que el voto fue agregado pero en realidad si no son todos los datos verdaderos no te agrega nada..

Solo que eso ya no se hizo..

pateketrueke · #6 (**permalink**) 07/06/2008, 12:01

de verdad esta bien planteada tu formula de votación...

no puedo entender como es que te lo hayan echo, espero alguien mas te indique algo...

suerte, y disculpas...

IkerPerez · #7 (**permalink**) 07/06/2008, 15:59

no he mirado bien el codigo, pero pueden estar votando siempre con el mismo codigo?

Mort20 · #8 (**permalink**) 07/06/2008, 17:42

Yo creo que es lo que señala Iker, en la primera parte - dónde acabas enviando el mail de confirmación - si pulsas F5 o recargar página dándole a aceptar cuando te dice que la página contiene POSTDATA y todo lo demás, las variables $_POST se mantienen y se vuelve a regenerar todo el proceso, con lo que se pueden obtener x mails de confirmación válidos seguidos.

Si es esto, la solución es acabar el código redirigiendo, por ejemplo con header() a otra página. Aunque si ya lo hacías en el resto del código, entonces no tengo ni idea de lo que es xD

jaronu · #9 (**permalink**) 07/06/2008, 17:55

yo lo intentaria reforzar añadiendo en la tabla2 un campo con la fecha y hora con minutos y segundos

y haria la comparacion tambien con la hora de la votacion, si es superior a la primera hora insertada que no deje insertar, es una idea

espero te sirva de algo

Un saludo

Potro · #10 (**permalink**) 09/06/2008, 10:24

Lo que yo hago para que no den otro voto con el mismo usuario como comenta Mort20 es que tiene un campo de sstatus mi tabla de confirmacion y entonces de un valor 0 lo pado a 1 entonces ya cuendo vuelve a ejecutarse como el valor de status es = a 1 ya no permite el voto pero mesiguen inyectando votos y lo peors que ya ni siquiera cuadra la tabla de confirmacion con la de votos meten hasta tripe voto de un mismo correo de plano creo que estoy en un serio problema...

francisco82 · #11 (**permalink**) 09/06/2008, 10:40

A simple vista, un error:
$email=$_GET['email'];
$result3=mysql_query("select * from tbl1 where mail_voto_confirma = '$email' and

Estas metiendo la variable $email en la sentencia sql si comprobar lo que te está mandando???? Todo lo que pases a una sentencia sql pasale un addslashes, trim, que no hay multilinea, que cumpla formato de correo, todo lo que se te ocurra. Todas las variables que te llegan deben ser revisadas.

Mirate lo de inyección sql.

Saludos.

farra · #12 (**permalink**) 09/06/2008, 11:01

TODO TU CODIGO ESTA CORRECTO!!!!!!!!!!!!!!

Tu problema es de INYECCION SQL..........

Potro · #13 (**permalink**) 09/06/2008, 11:09

y como evito la inyeccion SQL

Me podrias decir de favor..

Ya que mi proceso esta bien supongo

1- Recibo datos
2- Veo que los datos contengan algo
3- valido si los datos existen ya en mi tabla de confirmación (mail, id, code)
4- Si existen inserto voto en tabla votos y modifico el status en la tabla confirmacion de ese email que voto

y si intentan votar con el mismo correo no lo permito ya que valido si ese correo ya voto pot eso ID.

Espero me pueden echar la mano...

jaronu · #14 (**permalink**) 09/06/2008, 11:14

pasale esta funcion a los campos del form aver si te ayuda

Código PHP:

  function mysql_escape($cadena) { 
    if(get_magic_quotes_gpc() != 0) { 
        $cadena = stripslashes($cadena); 
    } 
    return mysql_real_escape_string($cadena); 
}

Potro · #15 (**permalink**) 09/06/2008, 15:40

y eso en que me puede ayudar los datos los tomo por _GET que llegan de un link de su correo del votante.

...

Saludos...

jaronu · #16 (**permalink**) 09/06/2008, 17:08

lo mismo que por POST

Código PHP:

   
function mysql_escape($cadena) {  
    if(get_magic_quotes_gpc() != 0) {  
        $cadena = stripslashes($cadena);  
    }  
    return mysql_real_escape_string($cadena);  
}   
 
$variable = mysql_escape($_GET['variable']);

GatorV · #17 (**permalink**) 09/06/2008, 21:41

Hola Potro,

Otro problema que veo, es que a la hora de "validar" que el voto sea correcto dejas los datos de email, semilla, y codigo en tu tabla de confirmacion, con lo que puedes darle X veces click al enlace y servira ya que los datos siguen existiendo.

Yo creo tienes que re-plantear tu proceso:
- Vas a la pagina de votar, insertas tu email y generas una clave, la insertas en una tabla temporal con un flag de 0 (abierto), guardas fecha / hora.
- Mandas el link con la semilla, id, y email en este caso
- Al hacer click verificas que los datos existan Y que el flag sea 0 (abierto).
- Una vez validado pasas el flag a 1 (cerrado)
- Aumentas el voto

De esa forma al hacer click 2 veces ya no funcionara ya que la semilla ya estara "usada" (valor de 1).

Saludos.

Potro · #18 (**permalink**) 10/06/2008, 11:27

pues tengo un campo de status_confirma que seria lo miso que tu flag esta en 0 y cuando inserto el voto la paso a 1.

Realmente creo que me estan jodiendo de otra forma y disculpen la palabra.

Bueno pues esto sigue y vere enq ue acaba saludos...

GatorV · #19 (**permalink**) 10/06/2008, 12:19

Si pero en el código que expones nunca cambias el status_confirma de tu tabla1.

Saludos.

bocasecaman · #20 (**permalink**) 10/06/2008, 12:26

estoy con gatorV si pones un valor variable en alguno de tus campos de la tabla por ejemplo 0 y 1, al pinchar dos veces no insertara mas valores.

jaronu · #21 (**permalink**) 10/06/2008, 14:31

Una cosa,

en este query donde verificas que $status_voto_confirma sea cero esta bien

Código PHP:

   
$result3=mysql_query("select * from tbl1 where mail_voto_confirma = '$email' and max_voto_confirma = '$idvideo' and aleatorio_voto_confirma = '$aleatorio' and status_voto_confirma = 0",$link);

PERO LO HACES EN LA TABLA DE LA BD TBL1

Y cuando actualizas $status_voto_confirma lo haces en la tabla de la BD
que se llama tbl_confirma

Código PHP:

   
mysql_query("update tbl_confirma set status_voto_confirma=1 WHERE mail_voto_confirma='$email' and max_voto_confirma='$idvideo' and aleatorio_voto_confirma = '$aleatorio'",$link);

entonces al comenzar de nuevo, enviando los miosmos datos en la TABLA tbl1 el campo ese para confirmar siempre vale cero, pues actualizas otra tabla
eso es lo que te indico GatorV

Un saludo

Potro · #22 (**permalink**) 10/06/2008, 15:28

<?
//Recibo los 3 campos que envie
$email=$_GET['email'];
$idvideo=$_GET['idvideo'];
$aleatorio=$_GET['code'];

//Me conecto
include("conex.php");
$link=Conectarse();

//Veo si los datos considen con mi tabla de confirmacion
$result3=mysql_query("select * from tbl1 where mail_voto_confirma = '$email' and max_voto_confirma = '$idvideo' and aleatorio_voto_confirma = '$aleatorio' and status_voto_confirma = 0",$link);
$cuenta3 = mysql_num_rows($result3);

//Si todos los datos son verdaderos me dara un 1 y es cuando inserto el voto
if ($cuenta3 == 1)
{
//Y si todos los datos son correctos pues agrego el voto a la tabla correspondiente
mysql_query("insert into tbl2 (id_user_voto, id_video_voto, medio_voto, ip_voto, fecha_voto) values ('$email', '$idvideo', 'WEB', '$dir_IP', '$fechis')",$link);

//Y cambio el status de ese participonte para que ya no pueda volver a votar
mysql_query("update tbl1 set status_voto_confirma=1 WHERE mail_voto_confirma='$email' and max_voto_confirma='$idvideo' and aleatorio_voto_confirma = '$aleatorio'",$link);

}else{
echo "El voto no es valido";
}

?>

Este es el codigo donde pongo que status ya vale 1 y fue un error de dedo al poner el nombre de la tabala pero ese proceso si lo esta haciendo bien.

lo que me cae de extraño es que los votos entre uno y otro para este usuario no es mayor a 1 o 2 minutos y salen de la misma IP asi que aqui hay gato encerrado.. hasta ando pensando que es algun programador interno de aqui.

Bueno empezare a tomar otras medidas a ver que pasa...

jaronu · #23 (**permalink**) 10/06/2008, 16:00

Haz esto

Código PHP:

  function mysql_escape($cadena) {   
    if(get_magic_quotes_gpc() != 0) {   
        $cadena = stripslashes($cadena);   
    }   
    return mysql_real_escape_string($cadena);   
}    
 
$email = mysql_escape($_GET['email']);   
$idvideo= mysql_escape($_GET['idvideo']);   
$aleatorio = mysql_escape($_GET[code]);

con las variables que recibes

GatorV · #24 (**permalink**) 10/06/2008, 16:49

También otra cosa que veo es que puedes hacer tantos votos quieras ya que nunca checas que el email este duplicado o ya exista en la base de datos..

Potro · #25 (**permalink**) 10/06/2008, 17:13

Bueno tambien tengo una validacion de que solo una ves un correo puede votar por un participante. les pongo mis validaciones que hago antes de insertar el voto.

Cacho 3 variables por GET

$email=$_GET['email'];
$id=$_GET['id'];
$aleatorio=$_GET['code'];

Despues valido si los datos que llegan estan en mi tabla y si el status es = a 0

$result3=mysql_query("select * from tbl1 where mail_confirma = '$email' and id_confirma = '$id' and aleatorio_confirma = '$aleatorio' and status_confirma = 0",$link);
$cuenta3 = mysql_num_rows($result3);

Despues hago una validación y si el resultado de la primera consulta me arroja un uno pues hago lo siguiente

if ($cuenta3 == 1)
{
//Inserto en otra tabla un voto para ese id insertando que correo voto por el

mysql_query("insert into tbl2 (id_user_voto, id_video_voto) values ('$email', '$id',)",$link);

//Despues en otra tabla le agrego un voto a ese ID

mysql_query("update tbl3 set votos_video=votos_video+1 WHERE id_user_video='$max'",$link);

//Despues hago lo de pasar el STATUS a 1 para que que ya no puedan darle F5 y que de otro voto

mysql_query("update tbl1 set status_confirma=1 WHERE mail_confirma='$email' and id_confirma='$id' and aleatorio_confirma = '$aleatorio'",$link);

}else{

}
}

Realmente no se si con esto evito la trampa pero es todo mi proceso pero ahora empezare a programar con las recomendaciones que dan y les comento que pasa.

Mil gracias a todos...

sky00 · #26 (**permalink**) 10/06/2008, 20:46

Hola , No Habia Podido Contestarte Pero Me Di Cuenta De Algo, Para Mi Que No Es Alguien Que Sepa De Informatica, Sino Que Simplemente Encontro Forma De Generar Votos Asi Como La Haye Yo Cuando Hiciste La Pregunta Y Tu Eres Quien Tiene El Error Y Debes Corregirlo Para Que Ningun Otro Usuario Lo Vaya A Hacer

Mira, El Error Tuyo Esta Aqui: Puedes Mandar Desde La Pagina Cuantas Veces Quieras Tu Correo Para Votar ( Sin Abrir Aun Tu Correo Para La Confirmacion) Y Todas Esas Veces Que Tu Mandes Eso A Tu Correo , Te Llegaran Y Cuando Abras Tu Correo Simplemente Los Abres Uno A Uno Y Esos Votos Se Suman Y No Existe Nada Que Te Diga Que Ya Se Ha Generado El Voto, Y Ese Es El Error Que Mientras No Cierres La Sesion, Puedes Generar Cuantos Votos Quieras Con La Misma Cuenta.

Espero Haberme Explicado Y Que Corrigas Ese Error, Ya Que No Se Necesita Saber Mucho De Informatica Para Hacer Eso, Te Lo Iba A Decir Desde El Dia Q Publicaste La Pregunta Pero No Habia Podido, Esperando Que Estes Bien, Rodolfo

GatorV · #27 (**permalink**) 10/06/2008, 21:08

Hola Potro,

Si ves mi correo me refiero a la parte de votar (al generar la semilla) nunca compruebas si el correo que envias ya esta en la base de datos.

Saludos.

Potro · #28 (**permalink**) 11/06/2008, 10:11

ok ya estoy programando eso y les comento como me va..

Mil gracias y saludos..

Potro · #29 (**permalink**) 17/06/2008, 11:42

hola que tal este no es un tema repetido solo le dare continuidad.

Miren les explico, yo realice para una compañia un site en el cual uno podia subir una foto o video en la cual la mas votada de cada semana se ganaria un IPOD.

Bueno, el proceso de votacion es que se agrega un mail de quien votara y sele crea una clave 30 caracteres alfa-numerica y esta misma se le envia a su correo y el debera darle click a la liga que le hemos enviado para validar el voto y asi agregarselo a la foto o video.

Yo creo que el proceso es muy bueno ya que no permitimos votos dobles del mismo mail y todo funciona perfectamente.

Pero el ultimo ganador obtuvo 1000 votos en cuestion de 3 horas y detectamos que es de la misma IP y aparte los votos entre uno y otro no pasan ni 2 minutos.

Sabemos perfectamente que esta haciendo trampa pero no sabemos como lo hace.

Al final me gustaria saber como una persona puede generar tantos mails para votar ya que forsozamente debe de tener la clave alfa-numerica para que nosotros le demos el voto.

Me gustaria hacer mas seguro esto y he pensado en no permitir mas de 10 votos por dia de la misma IP pero la empresa a la que se le desarrollo el sitio no lo aprobo por motivos que solo ellos entienden.

Bueno alguno de ustedes me podria decir como le hacen estas personas para meter tantos votos o bien como puedo reforzar la seguridad..

Bueno un saludo...

erichfrom · #30 (**permalink**) 17/06/2008, 12:12

Me imagino que hizo un programa que generaba correos electrónicos (de su propio servidor) y entraba a tu página y propocionaba ese dato. Después con otro mecanismo abria las ligas.

Como sea si es muyyyyyyyyy bueno.

Lo que si puedo decir con más seguridad es que se ha de tratar de un chavito menor de 20 años, porque talento tiene, pero le falto el sentido común y discreción. Si no fuera tan desesperado les hubiera hecho la trampa sin que se dieran cuenta.

Eso me hace recordar a un tipo que hace un año o más enviava correos haciendose pasar por el banco y te invitaba a verificar tus datos, entrando en el supuesto portal del banco. Gracias a que soy webmaster me di cuenta de inmediato. Y pude investigar de él, la sopresa es que era un chavito de 16 años. Sé que puede haber gente talentosa de poca edad, pero con ese tipo de robos podría terminar en la carcel por muchos años.

En fin....