Foros del Web » Programando para Internet » PHP »

Sistema anti-hackeo

Estas en el tema de Sistema anti-hackeo en el foro de PHP en Foros del Web. Vereis, hace poco me ha pasado algo que nunca creía que podría pasar Le programé una pequeña BBDD a unos amigos que tenian en su ...
  #1 (permalink)  
Antiguo 11/06/2003, 17:19
 
Fecha de Ingreso: enero-2003
Mensajes: 19
Antigüedad: 14 años, 10 meses
Puntos: 0
Sistema anti-hackeo

Vereis, hace poco me ha pasado algo que nunca creía que podría pasar

Le programé una pequeña BBDD a unos amigos que tenian en su web un juego en flash (tipico juego sencillo para pasar el rato mientras cargan las cosas).

La peli swf hacia una llamada a una pagina php que hacia todo el trabajo.

Pues bien, alguien se ha entretenido hackeandola ... flipo

Mi problema es que, en el flash se muestra claramente cómo se accede a la pagina PHP. Y desgraciadamente existen muchos programas que "abren" cualquier swf.

Es decir, que para proteger la historia no puedo recurrir a contraseñas ni historias, porque tendrían que estar metidas en la peli de flash, y me las podrian ver sin problemas.

Se me ha ocurrido que la pagina php trate de comprobar que la URL que le hace la petición está alojada en su dominio, de forma que si intentan pasar las cosas ejecutando la pagina desde local no se lo acepte (por GET no coje nada desde el principio).

¿Es esto buena idea?
¿Sabeis como puedo hacerlo de forma que proteja mi php?

¿Se os ocurren otros métodos?
Estoy abierto a todo.

Muchas gracias
:D
  #2 (permalink)  
Antiguo 11/06/2003, 17:58
Avatar de lado2mx
Colaborador
 
Fecha de Ingreso: agosto-2001
Ubicación: Veracruz
Mensajes: 3.720
Antigüedad: 16 años, 4 meses
Puntos: 9
mmm, puedes ponerle en vez de un Get, un Post, y ponerle un password y solamente accederàn aquellos que tengan el password en las variables post.

Ahh, y si es posible, un $HTTP_REFERER, para bloquear algunos links externos`que no esten registrados.
  #3 (permalink)  
Antiguo 11/06/2003, 18:04
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Pues si al final de todo es PHP quien gestiona todo .. Usa variables de sesion .. Definelas al entrar a tu sistema y en en tu película flash lee esas variables de sesión ... (no sé como ser hará con "flash" .. pero las sesiones es lo más seguro ..)

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
  #4 (permalink)  
Antiguo 12/06/2003, 03:48
 
Fecha de Ingreso: enero-2003
Mensajes: 19
Antigüedad: 14 años, 10 meses
Puntos: 0
Ahora ya pillo las variables por POST, pero aún asi eso se puede simular, ya que si sabes la llamada a la pagina te puedes programar un formulario en tu equipo que llame por POST a la pagina

OK, voy a probar, con lo del Referer, con lo del HOST y con lo de las sesiones

Gracias a los dos y a quien se pueda unir más tarde
:D
  #5 (permalink)  
Antiguo 12/06/2003, 04:40
Ex Colaborador
 
Fecha de Ingreso: junio-2002
Mensajes: 9.091
Antigüedad: 15 años, 5 meses
Puntos: 16
Hola,

De la misma forma que se puede simular un POST, tambien se puede simular el Referer, ya que es un valor de una cabecera que manda el navegador. Eso si, ya hay que saber como hacerlo y con que herramienta. No es tan sencillo como probar URL o crear un formulario que apunte a tu PHP.

Lo ideal seria mantener lo maximo de comprobaciones en el lado del servidor. Ahi es donde residen los datos de las sesiones. Y tambien ayuda que el PHP compruebe todos los datos que le vienen y que los analice para ver si son algun ataque.

Como no se que hace tu PHP, no puedo dar consejos mas concretos.

Revisa este link sobre seguridad de aplicaciones web http://www.owasp.org/

Suerte.
__________________
Josemi

Aprendiz de mucho, maestro de poco.
  #6 (permalink)  
Antiguo 12/06/2003, 05:14
 
Fecha de Ingreso: enero-2003
Mensajes: 19
Antigüedad: 14 años, 10 meses
Puntos: 0
Pues mi PHP, lo que hace es recoger la puntuación de el jugador, comprobar que está entre las 10 primeras y, si es asi, inserta la puntuacion y el nombre del jugador.

De verdad es que es algo tan chorra que alucino con lo que ha pasado.

Además es que el "problema" es que como el sitio es totalmente ajeno a mi, pues no he tocado la pagina desde la que se inicia el juego ni nada (lo digo por iniciar una sesion), sino que simplemente el flash llama a mi php y listo.

En fin, en funcion de los resultados habra que plantearse el iniciar una sesion.

En principio voy a tratar de comprobar todo lo que pueda, yo creo que lo más restrictivo es comprobar el HOST ¿no?, en cualquier caso voy a meter todas las cortapidad posibles.
  #7 (permalink)  
Antiguo 07/12/2003, 23:42
 
Fecha de Ingreso: mayo-2003
Mensajes: 866
Antigüedad: 14 años, 7 meses
Puntos: 0
tambien podrias usar cookies.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 02:23.