[AYUDA] cifrar codigo HTML proveniente de PHP

Iniciado por SP4E, 21 Julio 2009, 21:52 PM

0 Miembros y 1 Visitante están viendo este tema.

SP4E

Hola, tengo una pequeña duda, ¿Existe una forma de cifrar codigo de fuente HTML (Del Cliente) proveniente del PHP (Del servidor)?.

Tengo esa duda porque tengo un pequeño problema, hay unos "hackers" que entran a mi web usando el SSO Ticket, entonces quería saber si hay alguna forma de parchear eso.

Probé con una herramienta llamada PHP Cipher (http://www.phpcipher.com), pero de alguna forma lo desencriptaron y lograron entrar nuevamente.

¿Cuál podría ser la mejor forma de cifrar el código de fuente?


De antemano, Gracias.

SnakeDrak

Hola,

No hay manera, es decir, aunque encriptes lo podrán descifrar porque el navegador debe poder leer el código fuente para interpretarlo.. entonces es absurdo encriptarlo, y si lo encriptas para que no pueda leerlo nadie, tampoco podría el navegador.

¿Podrías explicarme eso de SSO Ticket? No creo que haya que cifrar el código fuente para proteger algo.. en XHTML o HTML mientras revises bien lo que envía el usuario no deberías tener problemas.

Ahora si aún así quieres cifrar: http://www.i-code.co.uk/javascript/blowfishhtmlencryption.php

Y hay muchas más en Google, pero como repito, siempre podrán descifrar ya que si el cliente puede la gente puede.

Saludos!

SP4E

Gracias, veré si me sirve, el SSO-Ticket es un codigo de ingreso, te envió el codigo donde aparece eso.

Citar<param name=\"sw8\" value=\"use.sso.ticket=1;sso.ticket=<?php echo $myticket; ?>\"\>

Con ese código se logra tener acceso a la aplicación.

El resultado de $myticket es un codigo cualquiera que sirve para loguearse.


SnakeDrak

Hola,

¿Pero $myticket lo proporciona el usuario? En caso de ser así, simplemente comprueba lo que envían pero en caso de que $myticket sea algo que tu proporcionas, no entiendo el problema.

Para acceder a la aplicación digo yo que habrá una comprobación de usuario o similar la cual te permita acceder, pero en caso de que solo existta eso del SSO.Ticket deberías poner una comprobación con sesiones o algo similar que solo vaya en el servidor, es que no entiendo que manera de acceso es esa, supongo que estás usando alguna web ya creada como PHP-Nuke o algo así.

La verdad no entiendo, pero si necesitas más ayuda dilo, también puedes enviar comprimida la información pero aunque como he dicho, esto no sirve de nada, mientras el cliente pueda leerla cualquier persona podrá.

Saludos!

Og.

Cita de: SP4E en 21 Julio 2009, 22:56 PM
Gracias, veré si me sirve, el SSO-Ticket es un codigo de ingreso, te envió el codigo donde aparece eso.

Citar<param name=\"sw8\" value=\"use.sso.ticket=1;sso.ticket=<?php echo $myticket; ?>\"\>

Con ese código se logra tener acceso a la aplicación.

El resultado de $myticket es un codigo cualquiera que sirve para loguearse.


entonces pueden ejecutar codigo php en tu server?
lo que yo haria seria cerrar la web hasta reparar el error y despues cambiar el sistema de SSO-Ticket por que a lo mejor ya subieron una shell y tecnicamente ya no tienen ninguna restricción, incluso pueden descargar la web y despues ver como se genera el SSO-Ticket

bueno, podrias decir por que metodo meten ese codigo?
|-