Referer para protección de páginas o no?

Iniciado por jdc, 19 Agosto 2009, 08:24 AM

0 Miembros y 1 Visitante están viendo este tema.

jdc

No es novedad usar el referer para proteger el acceso a una página ya que existe el spoof de referer no?

Ahora que pasa sí usamos el spoof a nuestro favor? Por ejemplo podríamos usar una página x (existente o no) para que sólo cuando se llega desde ella se muestre el contenido deseado.

Teóricamente es seguro no? Una prueba...

www.holamundo.cl/prueba.php

Sólo verán el contenido real sí llegan desde http://www.google.cl/

Lo ven seguro o no? Dejó el debate :D

SnakeDrak

#1
Hola,

El REFERER no es seguro obviamente.. no necesitas hacer spoofing, el REFERER es una cabecera y como tal es editable, solo da información desde donde según el cliente él está accediendo, pero como dije, SEGÚN EL CLIENTE, lo que quiere decir que él puede decir que viene de google pero esto puede no ser cierto.

Punto 14.36:
http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html

P.D: Por ejemplo, me colaría en tu panel con solo poner http://www.google.cl/ en el REFERER:

Citar
Panel de administracion ultrasecreto xD

pronto...

Gracias por su visita... Powered by janito xDDD 2009

Saludos!

Jubjub

Seria simplemente igual que un acceso con contraseña, sin usuario.
Claro, el atacante no se imaginaria que es el referrer lo que afecta a la entrada o no :xD
Jugando con Fósforoshacking con un tono diferente


.
porno

Novlucker

Quién intente ingresar a la web debería de conocer la url del REFERER ... pero conociendo esta es solo cuestión de modificarla ya que como te han dicho viene dada por el cliente (el tema es conocerla :rolleyes:)

Panel de administracion ultrasecreto xD


pronto...


Gracias por su visita... Powered by janito xDDD 2009

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

jdc

Por eso les deje el referer que se necesita para entrar... Obviamente en un caso real no le dirías "tú referer debe ser x"

x sería nuestra semi contraseña..

Lo ven seguro o no? No se puede saber que referer es el que se pide o sí?

Por eso preguntaba... Es seguro?

Tengan en cuenta que el dueño del script podría poner incluso una página que no existe... Como por ejemplo... http://paginanoexistente.com?367596a7=panel_xD

Hablo de usar el spoof para proteger en vez de atacar :)

Spider-Net

Lo veo como una posibilidad más a implementar pero obviamente no la única. Si a parte de eso pones un sistema de login con contraseña y demás pues no lo veo mal como una barrera más ante cualquier atacante.

[u]nsigned

Es mas seguro usar sesiones.  ;D

En la pagina desde la cual queres que vengan el REFER asignas algun valor a alguna variable de $_SESSION, y luego en la pagina que muestra estos datos recuperas ese valor. La verdad que asi, al  ser todo llevado por el server, no se me ocurre una forma de saltar el sistema de validación.

Saludos

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!

Novlucker

En realidad no hay manera de saberla .. no desde la web, ya que si bien la info es enviada por el cliente php se ejecuta del lado del servidor, así que si podría ser una contraseña, y por otra parte ... utilizar una web no existente como ya has dicho .. ya que sino se podría llegar a ingresar sin querer, desde el REFERER real y la URL que seguro quedará en el historial

Igual como ya te han dicho .. complementalas .. poner un pequeño webform con usuario y contraseña (o solo contraseña) tampoco es que cueste tanto

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Jubjub

Jugando con Fósforoshacking con un tono diferente


.
porno

Novlucker

Bueeeeeenoooo, pero eso ya sería meterse de lleno a otras cosas y entonces habría varias maneras más de haerlo ...y creo que para lo que lo pide no es algo muy serio que digamos

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein