Evitar ataques a la página

grtouron · #1 (**permalink**) 07/03/2005, 16:41

Hola:

Tengo una página en PHP que tiene un par de herramientas peligrosas. Una de estas es la posibilidad de enviarle un artículo a un amigo a través del correo electrónico. Como medida de seguridad "anti-hacking", no permito que se envíen más de tres mensajes de estos por sesión. ¿Es esta una medida de seguridad útil o es muy facil de violar por un robot? ¿Qué podría hacer para mejorar la seguridad en este caso?

Otra cosa peligrosa es que se pueden agregar registros a la base de datos llenando un formulario sin ningún límite o restricción. No se envía un correo electrónico, pero un robot podría llenar la base de datos con basura. ¿Qué podría hacer en este caso?

Les pregunto todo esto porque me encuentro con el servicio suspendido y, aunque el proveedor no me confirmó que sea esta la causa, tengo sospechas y siempre pienso que puede ocurrir.

Saludos y gracias,

Gastón.

chechun · #2 (**permalink**) 08/03/2005, 10:04

quiero saber lo mismo..!

grtouron · #3 (**permalink**) 10/03/2005, 13:19

Hola Chechun:

Parece que nadie nos responde

, pero ya no importa tanto. Me han dado más información sobre el ataque que sufrí y no se debió a ninguna de estas cosas que pensé en principio. Fue algo más grave. Me hice conciente de la vulnerabilidad que tenía la página leyendo este artículos en portugués:

http://www.forosdelweb.com/showthrea...74#post1000374

Bueno, igualmente sería interesante que alguien nos diera algún idea sobre cómo proteger más nuestras páginas.

Saludos,

Gastón.

chechun · #4 (**permalink**) 10/03/2005, 13:31

amigo yo lo solucione con un scrpt que lo que hace es que tengas que ver unas imagenes que son aleatorias y tenes que lelnar el formulario con dichos numeros, no es 100% seguro, ya que hay forma de armar un scrpt para violar la seguridad, pero al menos lo hace un poco mas complicado

Saludos

grtouron · #5 (**permalink**) 10/03/2005, 14:58

Hola:

Gracias. He visto eso en muchas páginas, algunas muy importantes, como la de Google, que al menos hasta hace un tiempo lo usaba para el envío de URLs. Así que supongo que tendrá su efectividad. Pero no logro entender cómo se genera la imagen de un modo tal que no pueda identificarse y utilizarse para que un script llene automáticamente un formulario, a menos que sea como vos decís: sólo una complicación. En todo caso, también temo que esto pueda inhibir a mis navegantes. Si les ponés algo un poquito complicado a algunos, capaz que no se animan a llenar el formulario. Bueno, ya pensaré qué hacer. Espero que el hacker ahora no me tome de punto

Saludos,

Gastón.

chechun · #6 (**permalink**) 11/03/2005, 06:49

Amigo.... revisa esto:

http://www.forosdelweb.com/showpost....&postcount=123

grtouron · #7 (**permalink**) 11/03/2005, 12:34

Hola:

Gracias. ¡Qué bueno que no haya que crear las imágenes de cada letra y número!

Lo hice funcionar en mi servidor local. Al principio en el navegador me aparecía como que no podía encontrar la imagen y genera_img.php me daba error. Luego instalé el php_gd2.dll y esos problemas se resolvieron.

Después tuve problemas con las variables de sessión, pero esto se corrigió cambiando session_start() por session_register('mipass') y usando esto último en todos los archivos. Bueno, no sé por qué pero así funciona.

Creo que si le pongo un código nadie se va a asustar y va a ser suficientemente seguro.

Saludos

Gastón.

chechun · #8 (**permalink**) 14/03/2005, 06:32

;) perfecto...!