FILE_GET_CONTENT Muestra pero no interactua!

sk0rpi0n · #1 (**permalink**) 02/10/2013, 22:21

Hola gente, tengo el siguiente problema.... yo tengo en una web un script que muestra un pequeño panel que tengo en appserv en mi pc.

web: www.midominio.com/cuentas.php

Código PHP:

  <?php 
function accpanel($url,$inicio='',$final){ 
$source = @file_get_contents($url)or die('se ha producido un error'); 
$posicion_inicio = strpos($source, $inicio) + strlen($inicio); 
$posicion_final = strpos($source, $final) - $posicion_inicio; 
$found_text = substr($source, $posicion_inicio, $posicion_final); 
return $inicio . $found_text .$final; 
} 
$url_accpanel = 'http://miip/panel/login.php'; /// pagina web del contenido 
// Obtener_contenidos(url,ancla inicio,ancla final); 
?>

y acá donde lo "imprime"

Código PHP:

<?php echo accpanel($url_accpanel,'<body>','</body>'); ?>

El problema es que me muestra a la perfección la web de mi pc... pero no me deja interactuar con la misma... osea acá me aparece un formulario con usuario y contraseña... pero al acceder me manda a www.midominio.com/LOGIN.php por lo cual no inicia sesión... por otro lado, si inicio sesion directamente desde miip/panel/login.php... en la web de mi dominio, me muestra como la sesion iniciada normal, pero al igual cada link me dirige a la web principal en archivos que obviamente no existen... alguna idea :S? llevo unos días rompiendome la cabeza y no encuentro la forma ya... este es el código base desde el cual partí e hice el resto de pruebas y no hubo caso.

A alguien se le ocurre alguna idea?

NOTA: Usar frames no es una solución.

pateketrueke · #2 (**permalink**) 03/10/2013, 07:48

Imprimir contenido externo y esperar que "interactúe" es sencillamente ridículo, piensa que en el caso del login debe ejecutarse un script en el servidor que no es tuyo y por lo tanto no puedes controlar.

¿De dónde se te ha ocurrido tan pésima idea?

sk0rpi0n · #3 (**permalink**) 03/10/2013, 08:19

el login es mio si lees bien ya lo dije... el tema es que no quiero que sepan donde esta dicho script... y pues no conociendo otra cosa que no sea un iframe.. salvo lo dicho... pues me ha parecido lo mejor salvo el detalle que solo IMPRIME por si no te diste cuenta ese es justamente el problema..

Saludos.

pateketrueke · #4 (**permalink**) 03/10/2013, 08:35

Pues claro, el problema es que al final si obtienes dicho HTML de otro lado y lo imprimes como si fuera tuyo entonces ahí se queda, es como si realmente tuvieras un include y no más.

Entonces, ¿de qué te sirve tener tan genial script de login en un servidor que no quieres exponer?

Veo que no es la solución más inteligente, para empezar, que has tenido.

Si no entiendes en lo que te has metido, ¿qué hacer?

Lo siento pero no sabría ayudarte.

sk0rpi0n · #5 (**permalink**) 03/10/2013, 09:14

No entiendo para que respondes entonces... :S así solo evitarás que otros entren que si puedan ayudar...

pateketrueke · #6 (**permalink**) 03/10/2013, 09:18

Cita:

Iniciado por sk0rpi0n

No entiendo para que respondes entonces... :S así solo evitarás que otros entren que si puedan ayudar...

Respondo para darte a entender que lo que haces no tiene sentido y no funcionará.

Sólo piensa que file_get_contents() implica que dicha URL se ejecutará en el servidor y lo que obtengas será el resultado de dicho procesamiento, es decir, únicamente código HTML/CSS/JS y si algo de dicho script depende de tu sesión local no se entera, no es que puedas pasar tu sesión local no más por que se te ocurrió, así no funcionan las cosas.

Si no lo entiendes podrías esperar por siempre, no se me hace justo.

sk0rpi0n · #7 (**permalink**) 03/10/2013, 17:26

Pues no hace falta que me digas que no funciona, claramente me doy cuenta de que no sirve y lo que necesito es que alguien me oriente a que puedo hacer para que sea lo mas parecido en funcionalidad...

Tal así como yo he ayudado miles de veces en este foro si tenía la respuesta y mas del 90% por suerte para los usuarios les ha servido... y me he limitado en donde no sabía.

ocp001a · #8 (**permalink**) 03/10/2013, 18:31

¿Exactamente qué quieres hacer?

Si lo que pretendes es hacer operaciones con scripts de forma que alguien que vea tu código fuente no vea las direcciones de los scripts, no es un método seguro, se le conoce como seguridad por oscuridad y en realidad no es para nada segura.

pateketrueke · #9 (**permalink**) 03/10/2013, 23:31

De lejos se me ocurre que implementar WebServices es la solución, o bien, OAuth.

sk0rpi0n · #10 (**permalink**) 04/10/2013, 09:35

Si, osea la idea es que no sepan almenos tan facil de donde sale el script.. tranquilamente podría poner un IFRAME y listo... el tema es que viendo el codigo sabes de donde sale... tampoco es la idea poner un ocultador de url o acortador xq tampoco quiero que vayan a la web en si..

O hay alguna forma que al script por ejemplo yo ponga un iframe pero que detecte de donde lo estan cargando y que si es desde la web mia se vea... y si entran directo a la ip que les lleve a la web... waa nosé no se me ocurre nada ya T_T

AlanChavez · #11 (**permalink**) 04/10/2013, 09:46

Cita:

Iniciado por sk0rpi0n

Si, osea la idea es que no sepan almenos tan facil de donde sale el script.. tranquilamente podría poner un IFRAME y listo... el tema es que viendo el codigo sabes de donde sale... tampoco es la idea poner un ocultador de url o acortador xq tampoco quiero que vayan a la web en si..

O hay alguna forma que al script por ejemplo yo ponga un iframe pero que detecte de donde lo estan cargando y que si es desde la web mia se vea... y si entran directo a la ip que les lleve a la web... waa nosé no se me ocurre nada ya T_T

Lo que te quiso dar a entender pateketrueke es que estas atacando el problema desde la direccion incorrecta.

Sin embargo no hay necesidad de ser tan agresivo en las respuestas. Me sorprende de un moderador sinceramente.

Lo que quieres hacer es cargar los contenidos de otra página y hacer que los usuarios no vean que script se encarga de la autentificacion, correcto?

Como mencionaron anteriormente, eso es seguridad por oscuridad y en tu caso no sirve de nada, porque si realmente quisiera hackearte puedo encontrar por lo menos 5 maneras de saber de donde vienen tus scripts.

No importa si modificas los campos y escondes la direccion, etc.. si estas usando funciones al estilo mysql_connect entonces tu codigo es vulnerable a un sin fin de ataques.

Me da la sospecha de que tus <form action=""> estas utilizando direcciones relativas en lugar de direcciones absolutas. Intenta la direccion absoluta.

Pero reitero, esta no es una buena practica y realmente no estas haciendo tu login mas seguro.

GatorV · #12 (**permalink**) 04/10/2013, 10:56

Cita:

Iniciado por pateketrueke

De lejos se me ocurre que implementar WebServices es la solución, o bien, OAuth.

En efecto para lo que quieres hacer necesitas implementar algo así un WebService donde tú solo conozcas la URL y desde tus scripts frontend hagas el consumo del backend así proteges un poco más tu sistema.

AlanChavez · #13 (**permalink**) 04/10/2013, 14:29

Cita:

Iniciado por GatorV

En efecto para lo que quieres hacer necesitas implementar algo así un WebService donde tú solo conozcas la URL y desde tus scripts frontend hagas el consumo del backend así proteges un poco más tu sistema.

Sigue siendo "seguridad" por oscuridad, da la falsa impresión de seguridad.

Ponte en los zapatos de un atacante, realmente importa si conoce la dirección absoluta a la página?

El punto no es ocultar a que programa se envía la información, sino como ese programa manipula la información recibida.

Y para el ejemplo del compañero, no hay necesidad de un web service per se, ni de OAuth.

que haga un script gateway.php y lo embeba en un <iframe>

gateway.php sanitiza los datos y los envia a traves de CURL a otro script que se encarga de la autorizacion/autentificacion de usuarios:
gateway.php:

Código PHP:

  <?php 
$url = 'http://dominio.com/scriptOculto.php'; 
foreach($_POST as $key=>$value) { 
     $camposPOST .= $key.'='.$urlencode(value).'&'; 
} 
rtrim($camposPOST, '&'); 
 
//iniciar CURL 
$ch = curl_init(); 
 
// Iniciar la direccion en CURL, definir los datos a enviar 
curl_setopt($ch,CURLOPT_URL, $url); 
curl_setopt($ch,CURLOPT_POST, count($_POST)); 
curl_setopt($ch,CURLOPT_POSTFIELDS, $campostPOST); 
 
//Enviar el request 
$resultado = curl_exec($ch); 
 
//cerrar la conexion 
if($resultado) { 
 // redireccionar a sistema autorizado, inicializar la sesion, etc, etc.. 
} else { 
 // mostrar error de porque no se autentifica 
} 
 
?>

Y en tu script oculto haces la consulta a la base de datos y todo eso y que regrese verdadero o falso para saber si se encontro el registro.

GatorV · #14 (**permalink**) 04/10/2013, 15:23

@AlanChavez

Eso es básicamente un WebService muy sencillo, que es lo que sujeriamos

no es necesario que use SOAP ni nada, simplemente es separar por capas.

Aunque tienes toda la razón es hacer algo mucho más complejo de lo que se necesita, lo que se tiene que enfocar es mejorar la seguridad de la aplicación, limpiar las entradas, etc.

AlanChavez · #15 (**permalink**) 04/10/2013, 17:09

pues si, tecnicamente podria considerarse un "Web Service" ;)

sk0rpi0n · #16 (**permalink**) 06/10/2013, 19:02

Excelente intentaré eso... en realidad no es "seguridad" el tema es que no quiero que sepan A SIMPLE VISTA donde está guardado el login original, si de ahí en más se molestan en bucarlo me da igual... tampoco intento aparentar mas seguridad el script está bien seguro ya y no tampoco trabaja con MYSQL es MSSQL.

Saludos y gracias ya les comentaré como me fue con esto ^^... me ha servido mucho la orientación y el debate en sí.

Tienen mi karma muchachos.