No es novedad usar el referer para proteger el acceso a una página ya que existe el spoof de referer no?
Ahora que pasa sí usamos el spoof a nuestro favor? Por ejemplo podríamos usar una página x (existente o no) para que sólo cuando se llega desde ella se muestre el contenido deseado.
Teóricamente es seguro no? Una prueba...
www.holamundo.cl/prueba.php
Sólo verán el contenido real sí llegan desde http://www.google.cl/
Lo ven seguro o no? Dejó el debate :D
Hola,
El REFERER no es seguro obviamente.. no necesitas hacer spoofing, el REFERER es una cabecera y como tal es editable, solo da información desde donde según el cliente él está accediendo, pero como dije,
SEGÚN EL CLIENTE, lo que quiere decir que él puede decir que viene de google pero esto puede no ser cierto.
Punto 14.36:
http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html
P.D: Por ejemplo, me colaría en tu panel con solo poner http://www.google.cl/ en el REFERER:
Citar
Panel de administracion ultrasecreto xD
pronto...
Gracias por su visita... Powered by janito xDDD 2009
Saludos!
Seria simplemente igual que un acceso con contraseña, sin usuario.
Claro, el atacante no se imaginaria que es el referrer lo que afecta a la entrada o no :xD
Quién intente ingresar a la web debería de conocer la url del REFERER ... pero conociendo esta es solo cuestión de modificarla ya que como te han dicho viene dada por el cliente (el tema es conocerla :rolleyes:)
Panel de administracion ultrasecreto xD
pronto...
Gracias por su visita... Powered by janito xDDD 2009
Saludos
Por eso les deje el referer que se necesita para entrar... Obviamente en un caso real no le dirías "tú referer debe ser x"
x sería nuestra semi contraseña..
Lo ven seguro o no? No se puede saber que referer es el que se pide o sí?
Por eso preguntaba... Es seguro?
Tengan en cuenta que el dueño del script podría poner incluso una página que no existe... Como por ejemplo... http://paginanoexistente.com?367596a7=panel_xD
Hablo de usar el spoof para proteger en vez de atacar :)
Lo veo como una posibilidad más a implementar pero obviamente no la única. Si a parte de eso pones un sistema de login con contraseña y demás pues no lo veo mal como una barrera más ante cualquier atacante.
Es mas seguro usar sesiones. ;D
En la pagina desde la cual queres que vengan el REFER asignas algun valor a alguna variable de $_SESSION, y luego en la pagina que muestra estos datos recuperas ese valor. La verdad que asi, al ser todo llevado por el server, no se me ocurre una forma de saltar el sistema de validación.
Saludos
En realidad no hay manera de saberla .. no desde la web, ya que si bien la info es enviada por el cliente php se ejecuta del lado del servidor, así que si podría ser una contraseña, y por otra parte ... utilizar una web no existente como ya has dicho .. ya que sino se podría llegar a ingresar sin querer, desde el REFERER real y la URL que seguro quedará en el historial
Igual como ya te han dicho .. complementalas .. poner un pequeño webform con usuario y contraseña (o solo contraseña) tampoco es que cueste tanto
Saludos
Session hijacking : P
Bueeeeeenoooo, pero eso ya sería meterse de lleno a otras cosas y entonces habría varias maneras más de haerlo ...y creo que para lo que lo pide no es algo muy serio que digamos
Saludos
En realidad no lo quiero implementar, sino que lo estoy proponiendo como una forma más de proteger... Por ejemplo en vez de mostrar un mensaje sí no viene del referer correcto se nuestra una página 404... Lo del web form es una alternativa pero volveríamos a lo actual xD ya y habría que proteger el web form...
De todas maneras lo veo como complemento para las demás técnicas usadas actualmente, y para uso completamente personal, porque para un cliente pfff xD
el referer proviene de los heardes que mande el browser, es muy facil de spoofear.. Te sirve como medida de seguridad secundaria. Saludos.
Se que es sencillo modificar el referer pero para ello debes saber que referer es el que se pide no?
Alguien ha leído el post?
se puede spoofear y no sirve ni como medida de protección secundaria ni tercera ni ultima ya que no puedes dar un tipo de protección que sabes que puede ser falseado. Si el sistema tiene xss también puede obtenerse la referencia desde javascript y enviar cada dato al atacante asi que mejor te recomiendo a lo mortal... user y pass.
Cita de: WHK en 24 Agosto 2009, 05:22 AM
se puede spoofear y no sirve ni como medida de protección secundaria ni tercera ni ultima ya que no puedes dar un tipo de protección que sabes que puede ser falseado. Si el sistema tiene xss también puede obtenerse la referencia desde javascript y enviar cada dato al atacante asi que mejor te recomiendo a lo mortal... user y pass.
No entiendo porque todos dicen que es facil de spoofear como si yo lo hubiese negado ¬¬ en eso estamos completamente de acuerdo...
Se que me arrepentire de esto pero:
http://holamundo.cl/prueba.php
Entra... cambie el referer.
PD: Corrigeme si me equivoco... si el sistema como dices tuviera XSS me podrias mandar una URL modificada pero eso no te diria nada, yo por lo menos cambio el referer con opera al estilo chapuza que te comente hace un tiempo por MSN xD recuerdas? por lo que seria dificil robarme el referer :P