« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: [Pregunta] Seguridad en formularios  (Leído 294 veces)

Desconectado tlin

  • PHPerit@
  • *
  • Mensajes: 6
  • Karma: 0
  • Nuev@ PHPer@
    • Ver Perfil
[Pregunta] Seguridad en formularios
« en: 06 de Abril de 2012, 15:52:30 pm »
Hola, tengo una pregunta, ya sabemos que de hoy en día la seguridad en los lugares Web es bastante importante, que me aconsejáis que ponga en los FORMULARIOS con tal que no puedan integrar códigos "maliciosos"? Yo siempre pongo 2 o 3 funciones del php que destroza código de html, php-msyql pero es que no sé, vosotros cuales me aconsejáis (a mi y a todo el que le ayude a leer este post claro).

Gracias!
En línea

Comunidad PHPeros

[Pregunta] Seguridad en formularios
« en: 06 de Abril de 2012, 15:52:30 pm »

Desconectado SoyJoaquin.

  • PHPero Master
  • ******
  • Mensajes: 2.737
  • Karma: 131
  • Sexo: Masculino
  • ส้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้ส้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้ Problem?
    • Ver Perfil
    • IsoMap
Re:[Pregunta] Seguridad en formularios
« Respuesta #1 en: 06 de Abril de 2012, 18:22:24 pm »
Uno puede evitar así sea a Dios pero existe un problema mucho mas importante que el poder insertar códigos maliciosos y es lo que pocos usuarios conocen, el poder manipular formularios.

Verán, desde hace mucho tiempo, existe la posibilidad de poder enviar datos a formularios externos a tu sitio web dándole la posibilidad al 1er sitio poder manipular el 2do vía código, y como el envío de datos no lo hace el servidor, si no el cliente, captura los datos del cliente y por ende todas sus cookies y session abiertas y/o creadas para poder usarlas en la petición

Dicho ataque es denominado CRSF, la cual he estudiado desde hace ya unos meses.

Un ejemplo mas claro para que vean lo que les quiero decir, imagínense si yo me conecto al X sitio web mediante un sistema de autentificación de usuario y entro a Z sitio web. Si Z sitio web envía datos (Por JS) ya sea para publicar un comentario en una noticia de X sitio web, este X sitio web vera que la session esta iniciada (La petición va del lado del cliente), se validaran los datos y sera publicado como si tu mismo hubieras escrito ese mensaje, mas no fuiste tu si o que fue Y sitio web. ¿Me entienden?, es decir, Z sitio web puede manipular X sitio web como si fueras tu el que lo estuviera haciendo sin que tu mismo te des cuenta.

¿Como evitarlo?, los captha son un método antiguo pero algo utilizado en estos casos AUNQUE no de la forma que ustedes creen, si no de una manera un tanto invisible denominada token. Basta con crear un código aleatorio en un campo de texto invisible cada ves que se inicie y compararlo al momento de validar TODOS los formularios de tu sitio web, de esta manera, evitaras que terceros sitios web puedan manipular las cuentas de tus usuarios.

Saludos y por ultimo les dejare una recomendación: No crean que con 1 o 2 lineas de código lograran hacer que su sitio web sea seguro, lo que ustedes hacen es tratar de disfrazar un poco las vulnerabilidades pero tengan en cuenta que aparte de no estar completamente reparado, existen mil y un maneras mas de poder hacer exactamente lo que ustedes creyeron haber parcheado.
En línea
Twitter: @JoakoM010

Páginas: [1]   Ir Arriba
« anterior próximo »