17/06/2010, 16:29
| ||||
| ||||
| Evitar que un script se llame directamente Buenas, Sabéis de que manera se puede restringir para que un script solo se ejecute si procede de la misma máquina? Quiero añadir seguridad a mis scripts para que no se ejecuten de forma remota, y sea inútil acceder a ellos, a no ser que sea internamente desde la web. Actualmente tengo esto...
Código PHP:
Ver original Pero es fácil saltárselo mediante CURL si añadimos que venimos desde una página. ¿Se os ocurre algún otro método preventivo? Muchas gracias de antemano!
__________________ Busco colaboradores que sepan PHP para proyecto apuestas. |
|
17/06/2010, 19:56
| ||||
| ||||
| Respuesta: Evitar que un script se llame directamente Por eso es que no se debe verificar si procede del mismo servidor. Lo mejor es verificar que los datos estén correctos y escapar los caracteres que pueden provocar un ataque XSS. No es útil intentar verificar si el código procede del mismo servidor.
__________________ Verifica antes de preguntar. Los verdaderos amigos se hieren con la verdad, para no perderlos con la mentira. - Eugenio Maria de Hostos |
|
17/06/2010, 23:16
| |||
| |||
| Respuesta: Evitar que un script se llame directamente Buenas!!! pues a mi se me ocurre que incluyas una "bandera" que sea verificada mediante sessiones verificando que asi es llamado el scrip por otro del mismo servidor es obvio que esa bandera tiene que ser dinamica para que tenga efecto porque si es una estatica en cuanto alguien se fije de como funciona ya no tendra que acceder eh utilizado este metodo con mucho exito... sobre todo en referente a sesiones ;) un saludo!!
__________________ ¡El Respeto al Derecho Ajeno Es la Paz! |
|
17/06/2010, 23:55
| ||||
| ||||
| Respuesta: Evitar que un script se llame directamente pues con un token o un cortafuego.... es muy complejo de explicarlo tambien puedes configurar tu .htaccess  pero te recomiendo que sigas el consejo de abimaelrc trata de hacer tu codigo seguro... saludos!! |
|
18/06/2010, 00:31
| ||||
| ||||
| Respuesta: Evitar que un script se llame directamente Cita: Pero aunque verifiques que los datos son correctos, cuando se descubre que variables se están enviando al script lo login.php puedes amañarte un script con curl que vaya probando user y pass no? puede que los datos que envies sean correctos, pero te estan enviando muchiisimas peticiones cada minuto, o cada día si el tio sigue intentandolo.
Iniciado por abimaelrc  Por eso es que no se debe verificar si procede del mismo servidor. Lo mejor es verificar que los datos estén correctos y escapar los caracteres que pueden provocar un ataque XSS. No es útil intentar verificar si el código procede del mismo servidor. Llegados a ese punto imagino que quizás vale más la pena mirar los logs del apache y localizar la IP desde la que se hacen los intentos y bloquearla... De ahí que me digas que no es útil verificar si el código procede del mismo servidor Muchas gracias a todos 
__________________ Busco colaboradores que sepan PHP para proyecto apuestas. |
|
18/06/2010, 06:50
| ||||
| ||||
| Respuesta: Evitar que un script se llame directamente Cita: Oop!! pero haber que no entiendes, el tema es mas complejo de lo que se te podria explicar aqui, y el solo hecho de darte un ejemplo implicaria una chorrada de codigo... lo que podemos es decirte como hacerlo para evitar problemas.
Iniciado por neodani Pero aunque verifiques que los datos son correctos, cuando se descubre que variables se están enviando al script lo login.php puedes amañarte un script con curl que vaya probando user y pass no? puede que los datos que envies sean correctos, pero te estan enviando muchiisimas peticiones cada minuto, o cada día si el tio sigue intentandolo. Llegados a ese punto imagino que quizás vale más la pena mirar los logs del apache y localizar la IP desde la que se hacen los intentos y bloquearla... De ahí que me digas que no es útil verificar si el código procede del mismo servidor Muchas gracias a todos 1.- tu formulario loguin debe tener un regristro de errores, si el usuario comete mas de 7 errores tomar y ejecutar accioenes: a- banear el ip b- relacionar el ip con cuentas de usuarios c- almacenar log del script 2- tu archivo de llamada a la base de datos debe tener un anti flog para evitar el exeso de peticiones 3 tu archivo httaccess debe tener las configuraciones necesarias para evitar ijecciones y el abuso de peticiones 4- todas las variables que usaran datos enviados por el usuario deben ser procesado debidamente .... 5.- todos tus formularios deben ser generados dinamicamente para un solo uso y con tiempo de vencimiento. 6- toda actividad de usuarios no logueado deben ser monitoreada por la aplicacion, en el caso de que se suceda ijeccion via urls, via formulario el admin debe recibir un mail de alerta y aprobechando las nuevas tecnologias un mensaje sms 7- debes usar tecnicas token para links y formularios, debes crear una session unica que compare la fecha hora demas.... juas juaasssss etc etc etc y llevaria todo un dia explicar un plan de defensa PARA TU EJEMPLO TAMBIEN PUEDES USAR variables de servidor : 'SCRIPT_NAME' Contiene la ruta del script actual. Ésta es útil para páginas que necesitan apuntar a ellas mismas. La constante __FILE__ contiene la ruta completa y nombre del archivo actual (es decir, incluido). 'REQUEST_URI' El URI que fue dado para acceder a esta página; por ejemplo, '/index.html'. 'HTTP_HOST' Contenidos de la cabecera Host: de la petición actual, si existe. 'HTTP_REFERER' La dirección de la página (si la hay) la cual refirió al agente de usuario a la página actual. Este valor es definido por el agente de usuario. No todos los agentes de usuario lo definen, y algunos proveen la capacidad de modificar HTTP_REFERER como una característica del software. En resumen, no se puede confiar realmente en este valor. para ver mas sobre esto visita el manual oficial php !! saludos!!! |
|
18/06/2010, 08:45
| ||||
| ||||
| Respuesta: Evitar que un script se llame directamente Yo creo sí es tan delicado tu script lo deberías poner fuera del WebRoot, así tu puedes mandarlo llamar directamente y no esta accesible vía Web. Saludos. |
|
18/06/2010, 13:18
| ||||
| ||||
| Respuesta: Evitar que un script se llame directamente Cita: Me recomiendas entonces que el fichero donde tengo las claves de la base de datos y demás que utilizo para hacer las conexiones a la base de datos, lo tenga fuera de la carpeta www? en un nivel superior?
Iniciado por GatorV Yo creo sí es tan delicado tu script lo deberías poner fuera del WebRoot, así tu puedes mandarlo llamar directamente y no esta accesible vía Web. Saludos. Por ejemplo en windows... Lugar del site C:\wamp\www\web01 Lo puedo tener en C:\wamp\ y estaría seguro, y luego hacer desde los scripts un include ("../../claves.php"); Muchas gracias
__________________ Busco colaboradores que sepan PHP para proyecto apuestas. |
|
18/06/2010, 13:20
| ||||
| ||||
| Respuesta: Evitar que un script se llame directamente Lo que te indica GatorV es eso mismo de indicarlo fuera del root de las páginas web, pero que el cron vea directamente el código y lo ejecute, no que incluyas en algún archivo de PHP el código.
__________________ Verifica antes de preguntar. Los verdaderos amigos se hieren con la verdad, para no perderlos con la mentira. - Eugenio Maria de Hostos |
|
18/06/2010, 13:44
| ||||
| ||||
| Respuesta: Evitar que un script se llame directamente Cita: No si la idea de poner fuera un script "confidencial" que solo quieres ejecutar tu, lo tengo claro que debe ir fuera de la carpeta pública de la web.
Iniciado por abimaelrc Lo que te indica GatorV es eso mismo de indicarlo fuera del root de las páginas web, pero que el cron vea directamente el código y lo ejecute, no que incluyas en algún archivo de PHP el código. Mi ejemplo iba, para los tipicos ficheros que guardas datos sensibles como las claves de conexión a la base de datos en tus scripts de la web. Pero por tu comentario intuyo que dado que se hace un include a un fichero dentro del directorio público de la web, da igual ponerlo fuera que dentro... correcto? Gracias ;)
__________________ Busco colaboradores que sepan PHP para proyecto apuestas. |
|
18/06/2010, 13:46
| ||||
| ||||
| Respuesta: Evitar que un script se llame directamente Cita: Siempre es recomendable tener toda la logica de la aplicacion fuera del document root, así es menos vulnerable tu aplicación.
Iniciado por neodani Me recomiendas entonces que el fichero donde tengo las claves de la base de datos y demás que utilizo para hacer las conexiones a la base de datos, lo tenga fuera de la carpeta www? en un nivel superior? Por ejemplo en windows... Lugar del site C:\wamp\www\web01 Lo puedo tener en C:\wamp\ y estaría seguro, y luego hacer desde los scripts un include ("../../claves.php"); Muchas gracias Saludos. |
|
18/06/2010, 13:48
| ||||
| ||||
| Respuesta: Evitar que un script se llame directamente Oh, entonces, en el caso que estás indicando, sí es conveniente colocarlo fuera y llamarlo entonces directamente en el archivo. Así como muestras en el ejemplo.
__________________ Verifica antes de preguntar. Los verdaderos amigos se hieren con la verdad, para no perderlos con la mentira. - Eugenio Maria de Hostos |
|
18/06/2010, 13:56
| ||||
| ||||
| Respuesta: Evitar que un script se llame directamente Muchas gracias a ambos por vuestros sabios consejos, así lo haré
__________________ Busco colaboradores que sepan PHP para proyecto apuestas. |
| Etiquetas: Ninguno |
