Referer para protección de páginas o no?

jdc · 19 Agosto 2009, 08:24 AM

No es novedad usar el referer para proteger el acceso a una página ya que existe el spoof de referer no?

Ahora que pasa sí usamos el spoof a nuestro favor? Por ejemplo podríamos usar una página x (existente o no) para que sólo cuando se llega desde ella se muestre el contenido deseado.

Teóricamente es seguro no? Una prueba...

www.holamundo.cl/prueba.php

Sólo verán el contenido real sí llegan desde http://www.google.cl/

Lo ven seguro o no? Dejó el debate

SnakeDrak · 19 Agosto 2009, 17:00 PM

Hola,

El REFERER no es seguro obviamente.. no necesitas hacer spoofing, el REFERER es una cabecera y como tal es editable, solo da información desde donde según el cliente él está accediendo, pero como dije, SEGÚN EL CLIENTE, lo que quiere decir que él puede decir que viene de google pero esto puede no ser cierto.

Punto 14.36:
http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html

P.D: Por ejemplo, me colaría en tu panel con solo poner http://www.google.cl/ en el REFERER:

Citar
Panel de administracion ultrasecreto xD

pronto...

Gracias por su visita... Powered by janito xDDD 2009

Saludos!

Jubjub · 19 Agosto 2009, 17:15 PM

Seria simplemente igual que un acceso con contraseña, sin usuario.
Claro, el atacante no se imaginaria que es el referrer lo que afecta a la entrada o no

Novlucker · 19 Agosto 2009, 17:16 PM

Quién intente ingresar a la web debería de conocer la url del REFERER ... pero conociendo esta es solo cuestión de modificarla ya que como te han dicho viene dada por el cliente (el tema es conocerla

)

Panel de administracion ultrasecreto xD

pronto...

Gracias por su visita... Powered by janito xDDD 2009

Saludos

jdc · 19 Agosto 2009, 19:18 PM

Por eso les deje el referer que se necesita para entrar... Obviamente en un caso real no le dirías "tú referer debe ser x"

x sería nuestra semi contraseña..

Lo ven seguro o no? No se puede saber que referer es el que se pide o sí?

Por eso preguntaba... Es seguro?

Tengan en cuenta que el dueño del script podría poner incluso una página que no existe... Como por ejemplo... http://paginanoexistente.com?367596a7=panel_xD

Hablo de usar el spoof para proteger en vez de atacar

Spider-Net · 19 Agosto 2009, 19:37 PM

Lo veo como una posibilidad más a implementar pero obviamente no la única. Si a parte de eso pones un sistema de login con contraseña y demás pues no lo veo mal como una barrera más ante cualquier atacante.

[u]nsigned · 19 Agosto 2009, 19:42 PM

Es mas seguro usar sesiones.

En la pagina desde la cual queres que vengan el REFER asignas algun valor a alguna variable de $_SESSION, y luego en la pagina que muestra estos datos recuperas ese valor. La verdad que asi, al ser todo llevado por el server, no se me ocurre una forma de saltar el sistema de validación.

Saludos

Novlucker · 19 Agosto 2009, 19:43 PM

En realidad no hay manera de saberla .. no desde la web, ya que si bien la info es enviada por el cliente php se ejecuta del lado del servidor, así que si podría ser una contraseña, y por otra parte ... utilizar una web no existente como ya has dicho .. ya que sino se podría llegar a ingresar sin querer, desde el REFERER real y la URL que seguro quedará en el historial

Igual como ya te han dicho .. complementalas .. poner un pequeño webform con usuario y contraseña (o solo contraseña) tampoco es que cueste tanto

Saludos

Jubjub · 19 Agosto 2009, 19:44 PM

Session hijacking : P

Novlucker · 19 Agosto 2009, 19:49 PM

Bueeeeeenoooo, pero eso ya sería meterse de lleno a otras cosas y entonces habría varias maneras más de haerlo ...y creo que para lo que lo pide no es algo muy serio que digamos

Saludos