Estás en:

Blog: PHP

Seguridad de las sesiones en PHP: Cross-Site Session Transfer

14 Ene 2011 por Luis

Comentarios en Seguridad de las sesiones en PHP: Cross-Site Session Transfer: 1

Transferencia

Cross-Site Session Transfer (transferencia de sesión entre sitios) es un tipo de ataque que, dada su naturaleza, sólo puede darse en servidores compartidos. El ataque se basa en utilizar la sesión creada en una aplicación web en la cuenta del atacante para acceder a una aplicación web (que debe tener una implementación de las sesiones del sistema de autenticación similar) de otro usuario en el mismo servidor.

Es decir, poniendo como ejemplo de aplicación web una tienda virtual (como el osCommerce), un usuario que tenga su tienda virtual en un servidor compartido podría acceder como administrador en su propia tienda y luego utilizar esa sesión para acceder como administrador a la tienda virtual de otro usuario.

Seguridad de las sesiones en PHP: Session Fixation

23 Dic 2010 por Luis

Comentarios en Seguridad de las sesiones en PHP: Session Fixation: 5

Fijación de sesión

Session fixation (fijación de sesión) es un método de Session hijacking (robo de sesión) un poco especial, ya que, si normalmente en el robo de sesión se intenta conseguir el identificador de sesión de un usuario ya autenticado, la fijación de sesión se basa en asignar un identificador de sesión conocido a un usuario antes de que se autentique.

Por hacer una analogía: el robo de sesión es como intentar robar la clave de una tarjeta de crédito, mientras que la fijación de sesión es intentar que la víctima cambie su clave a un número dado (y por lo tanto conocido) por el atacante.

Lo malo de este ataque es que es muy fácil de realizar. Lo bueno, es que es muy fácil de prevenir.

Seguridad de las sesiones en PHP: Session Hijacking

13 Dic 2010 por Luis

Comentarios en Seguridad de las sesiones en PHP: Session Hijacking: 12

Robo de indentidad

Session Hijacking (secuestro o robo de sesión) se refiere a que un individuo (atacante) consigue el identificador de sesión entre una página web y un usuario, de forma que puede hacerse pasar por este y acceder a su cuenta en esa página web.

El robo de la sesión puede conseguirse de varias formas, aunque en este artículo nos centraremos en las que tienen que ver con las vulnerabilidades de las sesiones y en algunas técnicas para mitigarlas.

Instalar varias versiones de PHP en un servidor con Linux (Debian)

19 Nov 2010 por Jose

Comentarios en Instalar varias versiones de PHP en un servidor con Linux (Debian): 4

Apache + PHP + ¿PHP?

Recientemente instalé un nuevo servidor en un equipo con Debian squeeze. El servidor web (Apache 2), PHP y MySQL los instalé de forma automática con apt.

La versión de PHP instalada fue la 5.3.2 y dado que venía trabajando en una 5.2.14 empecé a detectar algunos errores, que pude solucionar fácilmente. El problema es que sigo necesitando la versión antigua. Entonces me entra la duda: ¿puedo tener dos versiones distintas de PHP en un mismo servidor?

La respuesta es sí, y de una manera sencilla.

Sesiones en PHP: qué son y cómo funcionan

19 Nov 2010 por Luis

Comentarios en Sesiones en PHP: qué son y cómo funcionan: 19

Descubre las sesiones

En este artículo intentaré explicar, de la forma más simple posible, qué son las sesiones en PHP, cómo funcionan y cómo las implementa el servidor web. El objetivo de este artículo no es explicar cómo usar sesiones, sino comprender la mecánica del funcionamiento, para entender cómo actúan los ataques contra ellas.

Este artículo está orientado a gente con pocos conocimientos sobre el tema, así que en ocasiones simplificaré ciertos detalles sabiendo que lo que digo es sólo media verdad (como cuando te enseñaban que no existía la raíz cuadrada de un número negativo).