Utilizan mis recusos remotamente con GET ¿como lo evito?

maria80 · #1 (**permalink**) 15/01/2008, 14:14

Hola chicos, tengo una web y un "webmaster" de otra página utiliza mi aplicación creada en php y rellena mendiante un formulario con GET los datos como si fuera de su pagina y los usuarios tambien lo creen.

Hay alguna manera de poder evitarlo? o de programar que se deshabiliten los GET remotos?

De antemano muchas gracias, espero que puedan ayudarme o algua idea.

<form name="form" action="http://misitio.net" method="get">
<input id="nombre" type="hidden" value="" name="nombre"/>
.........................
<input type="submit" value="Enviar" name="submit"/>
</form>

eddwinpaz · #2 (**permalink**) 15/01/2008, 14:23

Envia los datos por el metodo post ejemplo method="post" y en tu formulario PHP en vez de usar $_GET['nombre']; ejemplo usa $_POST['nombre']; y eso es todo ahora si requieres usar $_GET puedes cifrar ese GET usando base64_encode(); y para decodificarlo base64_decode(); saludos espero que te haya servido...

hgp147 · #3 (**permalink**) 15/01/2008, 14:23

Con este código, me parece que lo podrías evitar, lo tenés que poner en archivo .HTACCESS

Código:

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://(www\.)?dominio.com(/)?.*$ [NC]
RewriteRule .*\.(php)$ http://dominio.com [R,NC]

Keysher · #4 (**permalink**) 15/01/2008, 15:00

Con usar POST en realidad no haces gran cosa, ya que igualmente pueden mandar las variables via POST.

Modificando el htaccess es algo más seguro, aunque también se puede modificar el HTTP_REFERER.

A mi parecer, la opción más segura es usar sesiones. Inicias una en la página del formulario y la compruebas cuando recoges las variables.

eddwinpaz · #5 (**permalink**) 15/01/2008, 15:06

factible....

xcars · #6 (**permalink**) 15/01/2008, 15:25

lee sobre inyeccion de codigo....

jovendigital · #7 (**permalink**) 15/01/2008, 15:34

tambien puedes hacer q la aplicacion que usa el GET o POST te busque un archivo o un pass en el sql, y si no existe, que te de otro resultado.

asi, de paso, le puteas al otro ;) por listo

Keysher · #8 (**permalink**) 15/01/2008, 15:54

Esto último no evitaría el envío de variables al formulario.

Y en cuanto a lo de la inyección de código.... Sí, es posible sacar el SSID de una sesión, inyectarla en el paquete que se quiere enviar y mandarlo al servidor simulando ser algo legítimo....

Ningún método es fiable al cien por cien, y el mayor esfuerzo se debería hacer validando bien toda la información que entra. Pero el tiempo que se invierta en la seguridad de un script es proporcional a lo crítico que es y a lo vulnerable que puede llegar a ser.

xcars · #9 (**permalink**) 15/01/2008, 16:38

danos la direccion y veamos si podemos hacer lo mismo

jovendigital · #10 (**permalink**) 15/01/2008, 16:46

Cita:

Iniciado por Keysher

Esto último no evitaría el envío de variables al formulario.

Y en cuanto a lo de la inyección de código.... Sí, es posible sacar el SSID de una sesión, inyectarla en el paquete que se quiere enviar y mandarlo al servidor simulando ser algo legítimo....

Ningún método es fiable al cien por cien, y el mayor esfuerzo se debería hacer validando bien toda la información que entra. Pero el tiempo que se invierta en la seguridad de un script es proporcional a lo crítico que es y a lo vulnerable que puede llegar a ser.

no evitaria sacar las variables, es que puedes hacer que las variables que saque sean de otro valor generado al azar en lugar de las correspondientes.

lo del pass no seria buena idea, claro. pero... si puedes consultar la web desde la que se hace la peticion, y si empieza por tu "http://www.tuweb.com/" pues que funcione correctamente.

Keysher · #11 (**permalink**) 15/01/2008, 17:04

El problema es que la comprobación de la URL desde la que viene no es fiable al cien por cien, se puede falsear.

Yo personalmente lo haría con sesiones y con la comprobación de la URL. Son dos cosas que si se pone empeño se pueden llegar a falsear, pero si no son formularios muy críticos valdría con ello.

Y, por supuesto, un script que compruebe concienzudamente las variables que recibe.

talcual · #12 (**permalink**) 15/01/2008, 18:21

bro un muy facil sistema de anti-sanguijuelas es definir las paginas solo para q sean pedidas por la pagina madre este es el codigo q yo utilixo

define('sesion_admin', 1); // esto lo colocas en el index de tu web

if (!defined('sesion_admin')) die('Antihack - System'); // y esto en la pagina q quieres protejer ya sea un script por aparte o cualquier otra cosa esto solo permitira q abras dicho script si entras desde la principal ok espero q te sirva de algo

PD : no tienes q modificar el .htaccess y ademas lo usan los foros smf lo recomiendo

onZero · #13 (**permalink**) 15/01/2008, 21:53

y si rastreamos la URL anterior con $_SERVER['HTTP_REFERER'] ????? y creamos una funcion que diga si la URL es = a nuestra URL entonces que funcione el formulario... creo que seria lo mas simple ya q solo lo tendrias que agregar dond quieres la seguridad :) no se si funcionara cuestion de que lo pruebes

jovendigital · #14 (**permalink**) 16/01/2008, 04:28

Código PHP:

  <?php 
$Nombre_servidor=explode(".",getenv("SERVER_NAME")); 
$Servidor=$Nombre_servidor[count($Nombre_servidor)-2].".".$Nombre_servidor[count($Nombre_servidor)-1]; 
$Referidor = getenv("HTTP_REFERER");  
preg_match("/^(http:\/\/)?([^\/]+)/i", $Referidor, $tg__RefHost);  
$tg__Host = $tg__RefHost[2];  
preg_match("/[^\.\/]+\.[^\.\/]+$/", $tg__Host, $tg__RefHost);  
if ($tg__RefHost[0] != $Servidor) {  
header("Localizacion: mi_pagina.php");  
}  
?>

con esto hacemos que un usuario procedente de otro servidor no pueda ejecutar nuestra web.

Keysher · #15 (**permalink**) 16/01/2008, 07:39

HTTP_REFERER se puede suplantar (creo que es la tercera vez que lo comento en éste post)

Y con un define no creo que se solucione el problema actual: que alguien mande variables por POST al script. Puede valer para que no accedan a un script sin que haya pasado por el index antes (y tampoco es fiable al cien por cien, si permite que se llamen al php desde servidores externos basta con tener el define antes del include a ese php)

onZero · #16 (**permalink**) 16/01/2008, 14:26

me pregunto si este codigo es valido, no lo he probado... pero supongo que debe funcionar del 100 no??

Código PHP:

  <?
$a=$_SERVER['HTTP_HOST'];
$b=$_SERVER['HTTP_REFERER'];
if(!eregi($a, $b))
{
header('Location: index.php');
}
?>

Keysher · #17 (**permalink**) 16/01/2008, 15:21

Esto es surrealista...

Cita:

Iniciado por Keysher

Modificando el htaccess es algo más seguro, aunque también se puede modificar el HTTP_REFERER.

Cita:

Iniciado por Keysher

El problema es que la comprobación de la URL desde la que viene no es fiable al cien por cien, se puede falsear.

Cita:

Iniciado por Keysher

HTTP_REFERER se puede suplantar (creo que es la tercera vez que lo comento en éste post)

No es fiable al cien por cien, aunque sí algo más seguro que no tener nada, pero con un poco de paciencia se puede suplantar facilmente.

onZero · #18 (**permalink**) 16/01/2008, 16:49

si habia leido xD, no te enojes :P, pero... como sumplantar eso????, bueno yo pense que podira poner un tipo de URL hola.com/miurl/formularioquellevaamiweb.html.

bueno es bulnerable de esa forma... :P pero tu te refieres a suplantar el http_refer??? como asi?

oso96_2000 · #19 (**permalink**) 16/01/2008, 17:45

Cambiando las cabeceras que se envian al ir a cierta pagina. Hay extensiones de firefox que permiten hacer esto de manera muy facil, o incluso no dejar rastro alguno de un referer.

En cuanto a una posible solucion, yo me iria por una captcha =P

maria80 · #20 (**permalink**) 20/01/2008, 15:17

Muchas gracias a cada uno por todas las respuestas, es un tema interesante, cuento como fueron y las opciones que intente, aún sigo sin solución

, me faltan probar algunas cosas que dijeron por aquí:

Cita:

Iniciado por eddwinpaz

Envia los datos por el metodo post ejemplo method="post" y en tu formulario PHP en vez de usar $_GET['nombre']; ejemplo usa $_POST['nombre']; y eso es todo ahora si requieres usar $_GET puedes cifrar ese GET usando base64_encode(); y para decodificarlo base64_decode(); saludos espero que te haya servido...

Se roban los recursos igual, es como que los usuarios de la pagina usan el formulario de "el" y aprietan enviar y devuelven mis datos. Nada cambio.

Cita:

Iniciado por hgp147

Con este código, me parece que lo podrías evitar, lo tenés que poner en archivo .HTACCESS

Código:

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://(www\.)?dominio.com(/)?.*$ [NC]
RewriteRule .*\.(php)$ http://dominio.com [R,NC]

Tampoco funciono, algo parecido con otro codigo tambien lo habia intentado, parece que con HTACCESS no se puede prevenir.

Cita:

Iniciado por Keysher

Con usar POST en realidad no haces gran cosa, ya que igualmente pueden mandar las variables via POST.

Modificando el htaccess es algo más seguro, aunque también se puede modificar el HTTP_REFERER.

A mi parecer, la opción más segura es usar sesiones. Inicias una en la página del formulario y la compruebas cuando recoges las variables.

Lo de las sesiones me pareció interesante, pero no tengo mucha experiencia. Intente adaptando de un tutorial, pero despues no me funcionaba ni a mi

. Directamente el formulario no enviaba.

Cita:

Iniciado por talcual

bro un muy facil sistema de anti-sanguijuelas es definir las paginas solo para q sean pedidas por la pagina madre este es el codigo q yo utilixo

define('sesion_admin', 1); // esto lo colocas en el index de tu web

if (!defined('sesion_admin')) die('Antihack - System'); // y esto en la pagina q quieres protejer ya sea un script por aparte o cualquier otra cosa esto solo permitira q abras dicho script si entras desde la principal ok espero q te sirva de algo

PD : no tienes q modificar el .htaccess y ademas lo usan los foros smf lo recomiendo

Voy a probarlo!

Tambien probare lo de jovendigital.

CYBERUSO · #21 (**permalink**) 21/01/2008, 22:17

Hablando de formularios, donde puedo chequear, si alguien está usando mis forms? =$ Es decir, si me está ocurriendo lo mismo que al creador de este tema.

Uso cpanel, dominio comercial.

Saludos.