Foros del Web » Programando para Internet » PHP »

Problema seguridad web, me han hackeado

Estas en el tema de Problema seguridad web, me han hackeado en el foro de PHP en Foros del Web. Hola a todos, Tengo un problema de seguridad en mi web y no sé cómo solucionarlo. Tengo un control de usuarios mediante sesiones. El usuario ...
  #1 (permalink)  
Antiguo 12/04/2012, 07:42
 
Fecha de Ingreso: noviembre-2011
Ubicación: Almeria
Mensajes: 43
Antigüedad: 12 años, 5 meses
Puntos: 0
Problema seguridad web, me han hackeado

Hola a todos, Tengo un problema de seguridad en mi web y no sé cómo solucionarlo. Tengo un control de usuarios mediante sesiones. El usuario entra con su clave y contraseña, si existe en la bd crea una variable de sesión y empieza a trabajar dentro de la web, el problema es que están incluyendo entradas saltándose este procedimiento (usuarios sin registrar an conseguido entrar al contenido). Para tener acceso a los archivos de la web he puesto que se requiera una sesión creada. Dándole vueltas lo único que se me ocurre es que estén modificando la variable de sesión de forma manual y no sé si eso se puede hacer (en la variable de sesión guardo el id del usuario logeado) ¿alguna sugerencia de por dónde empezar? Gracias ;)
  #2 (permalink)  
Antiguo 12/04/2012, 08:22
Avatar de maycolalvarez
Colaborador
 
Fecha de Ingreso: julio-2008
Ubicación: Caracas
Mensajes: 12.120
Antigüedad: 15 años, 8 meses
Puntos: 1532
Respuesta: Problema seguridad web, me han hackeado

¿revisas si la sesión está activa al guardar datos por POST?

¿guardas datos por GET?: completamente mal

¿tienes filtros XSS?

¿tienes protección CSRF?

¿tienes filtros SQL Inyections?

¿revisaste si tienes alguna fuente de RFI, allow_url_fopen activa?

¿cambias periódicamente la clave del FTP?

¿revisaste si no hay archivos extraños en los directorios de Upload (upload inyection)?
__________________
¡Por favor!: usa el highlight para mostrar código
El que busca, encuentra...
  #3 (permalink)  
Antiguo 12/04/2012, 08:35
Avatar de zalito12  
Fecha de Ingreso: noviembre-2011
Ubicación: Coruña, España
Mensajes: 430
Antigüedad: 12 años, 5 meses
Puntos: 67
Respuesta: Problema seguridad web, me han hackeado

¿Como controlas en las páginas que esté logueado y exista el usuario?
  #4 (permalink)  
Antiguo 12/04/2012, 08:39
 
Fecha de Ingreso: noviembre-2011
Ubicación: Almeria
Mensajes: 43
Antigüedad: 12 años, 5 meses
Puntos: 0
Respuesta: Problema seguridad web, me han hackeado

¿revisas si la sesión está activa al guardar datos por POST?SI

¿guardas datos por GET?: NO

¿tienes filtros XSS?NO

¿tienes protección CSRF?NO

¿tienes filtros SQL Inyections?SI

¿revisaste si tienes alguna fuente de RFI, allow_url_fopen activa?NO

¿cambias periódicamente la clave del FTP?SI

¿revisaste si no hay archivos extraños en los directorios de Upload (upload inyection)?SI

Voy a empezar mirando los puntos negativos, haber si consiguo que dejen de meter publicidad jajja Gracias, cuando encuentre la solucion lo posteare ;)
  #5 (permalink)  
Antiguo 12/04/2012, 08:40
 
Fecha de Ingreso: noviembre-2011
Ubicación: Almeria
Mensajes: 43
Antigüedad: 12 años, 5 meses
Puntos: 0
Respuesta: Problema seguridad web, me han hackeado

Mediante sesiones, una sesion con el id del usuario, si la sesion es = null no deja entrar a la pagina
  #6 (permalink)  
Antiguo 12/04/2012, 08:41
 
Fecha de Ingreso: noviembre-2011
Ubicación: Almeria
Mensajes: 43
Antigüedad: 12 años, 5 meses
Puntos: 0
Respuesta: Problema seguridad web, me han hackeado

He de decir que todo lo hago por POST y en ningun momento se muestra la id del usuario activo, no se si es correcto ese planteamiento
  #7 (permalink)  
Antiguo 12/04/2012, 08:46
Avatar de zalito12  
Fecha de Ingreso: noviembre-2011
Ubicación: Coruña, España
Mensajes: 430
Antigüedad: 12 años, 5 meses
Puntos: 67
Respuesta: Problema seguridad web, me han hackeado

Podrías poner algún ejemplo del control de sesiones? No vaya a ser que esté un poco flojo y luego en alguna página haya por ahi algún session_start() y por eso puedan entrar.
  #8 (permalink)  
Antiguo 12/04/2012, 08:50
 
Fecha de Ingreso: noviembre-2011
Ubicación: Almeria
Mensajes: 43
Antigüedad: 12 años, 5 meses
Puntos: 0
Respuesta: Problema seguridad web, me han hackeado

Esta noche pongo el control de sesiones, ¿a que te refieres que en alguna página haya por ahi algún session_start() y por eso puedan entrar? Puede que el que este flojo sea yo, pero en todas las paginas donde trabajo con la sesion la primera linea es un session_start(). ¿Eso no es correcto?

Etiquetas: seguridad, sesiones
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 1 personas




La zona horaria es GMT -6. Ahora son las 15:15.