Estás en:

Blog: PHP

Seguridade das sesións en PHP: Cross-Site Session Transfer

14 Xan 2011 por Luis

Comentarios en Seguridade das sesións en PHP: Cross-Site Session Transfer: 1

Transferencia

Cross-Site Session Transfer (transferencia de sesión entre sitios) é un tipo de ataque que, dada a súa natureza, só pode darse en servidores compartidos. O ataque baséase en utilizar a sesión creada nunha aplicación web na conta do atacante para acceder a unha aplicación web (que debe ter unha implementación das sesións do sistema de autenticación similar) doutro usuario no mesmo servidor.

É dicir, pondo como exemplo de aplicación web unha tenda virtual (como o osCommerce), un usuario que teña a súa tenda virtual nun servidor compartido podería acceder como administrador na súa propia tenda e logo utilizar esa sesión para acceder como administrador á tenda virtual doutro usuario.

Seguridade das sesións en PHP: Session Fixation

23 Dec 2010 por Luis

Comentarios en Seguridade das sesións en PHP: Session Fixation: 5

Fixación de sesión

Session fixation (fixación de sesión) é un método de Session hijacking (roubo de sesión) un pouco especial, xa que, se normalmente no roubo de sesión inténtase conseguir o identificador de sesión dun usuario xa *autenticado, a fixación de sesión baséase en asignar un identificador de sesión coñecido a un usuario antes de que se autentique.

Por facer unha analoxía: o roubo de sesión é como intentar roubar a clave dunha tarxeta de crédito, mentres que a fixación de sesión é intentar que a vítima cambie a súa clave a un número dado (e polo tanto coñecido) polo atacante.

O malo deste ataque é que é moi fácil de realizar. O bo, é que é moi fácil de previr.

Seguridade das sesións en PHP: Session Hijacking

13 Dec 2010 por Luis

Comentarios en Seguridade das sesións en PHP: Session Hijacking: 12

Roubo de indentidade

Session Hijacking (secuestro ou roubo de sesión) refírese a que un individuo (atacante) consegue o identificador de sesión entre unha páxina web e un usuario, de forma que pode facerse pasar por este e acceder á súa conta nesa páxina web.

O roubo da sesión pode conseguirse de varias formas, aínda que neste artigo centrarémonos nas que teñen que ver cas vulnerabilidades das sesións e nalgunhas técnicas para mitigalas.

Instalar varias versións de PHP nun servidor con Linux (Debian)

19 Nov 2010 por Jose

Comentarios en Instalar varias versións de PHP nun servidor con Linux (Debian): 4

Apache + PHP + ¿PHP?

Recentemente instalei un novo servidor en un equipo con Debian squeeze. O servidor web (Apache 2), PHP e MySQL instaleinos de forma automática con apt.

A versión de PHP instalada foi a 5.3.2 e dado que viña traballando nunha 5.2.14 empecei a detectar algúns erros, que puiden solucionar facilmente. O problema é que sigo necesitando a versión antiga. Entóns éntrame a dúbida: ¿podo ter dúas versións distintas de PHP nun mesmo servidor?

A resposta é si, e dunha forma sinxela.

Sesións en PHP: que son e como funcionan

19 Nov 2010 por Luis

Comentarios en Sesións en PHP: que son e como funcionan: 19

Descubre as sesións

En este artigo intentarei explicar, da forma máis simple posible, que son as sesións en PHP, como funcionan e como as implementa o servidor web. O obxectivo deste artigo non é explicar como usar sesións, senón comprender a mecánica do funcionamento, para entender como actúan os ataques contra elas.

Este artigo está orientado a xente con poucos coñecementos sobre o tema, así que en ocasións simplificarei certos detalles sabendo que o que digo é só media verdade (como cando che ensinaban que non existía a raíz cadrada dun número negativo).