Nueva pregunta

Pregunta:

 
  1  
 
 
Roman Gonzalez Karma: 32 Panamá
 
 Fecha: 21-09-2017 17:24:39 (En Español)

sesiones en php[No resuelta]

Buenas noches. Las sesiones en php son seguras? Es decir, no hay posibilidad de que alguien entre o hacke la entrada a un sistema de base de datos hecho en php y haga modificaciones, por ejemolo un sistema de inventario o un sistema de prestamos? Etiquetas: Votos: 1 - Respuestas: 7 - Vistas: 27 Compartir en: Google Facebook Twitter LinkedIn Link
 

Respuestas:

  •  
      -1  
     
     
    Chrismart Anji Karma: 1473 México
     
    Fecha: 22-09-2017 00:49:26 Primero que nada compañero Saludos y Bienvenido a esta Comunidad de: PHP Central.

    Y respondiendo a su pregunta segun lo q yo pienso espero mis compañeros me hagan aprender si estoy bien o mal o me hagan aprender mas y aqui entra la famosa frase hacker:

    Ningun Sistema Es Seguro

    Y si asi es ni las sesiones son seguras mas sin embargo las sesiones no tienen nada que ver con hackear base de datos al menos que el q lo administra haga que un usuario tenga total acceso o demasiado para hacer secuescias SQL q comprometan la seguridad del mismo, por eso yo siempre he dicho si se van hacer cambios en la BD que sean manuales o bien desde otro servidor preferentemente local, osea lo q le trato de decir q las sesiones no comprometen la seguridad de la Base De Datos en si si no las malas secuencias SQL que un programador ponga en el codigo PHP.

    Las sesiones solo sirven para mantener viva cierta informacion algo asi como las cookies aunque sin duda las sesiones son mas seguras ademas de tener mayores ventajas que las cookies.

    Bueno Compañero Roman Gonzalez espero que con esto mas o menos hubiera aprendido para q existen las sesiones y su uso principal y espero mas Compañeros d esta comunidad aporten mas c":

    Saludos.       Votos: -1 - Link respuesta
     
  •  
      0  
     
     
    Jorge Zabala Karma: 517 Bolivia
     
    Fecha: 22-09-2017 06:20:04 Si se puede robar una sesion y hay formas de protegerla, revisa estos links:

    https://www.owasp.org/index.php/Session_hijacking_attack
    http://packetcode.com/article/preventing-session-hijacking-in-php
    http://www.arumeinformatica.es/blog/seguridad-de-las-sesiones-en-php-session-hijacking/
    http://php.net/manual/es/function.session-id.php
    http://www.arumeinformatica.es/blog/seguridad-de-las-sesiones-en-php-session-fixation/

    Te toca leer bastante, saludos :)       Votos: 0 - Link respuesta
     
  •  
      3  
     
     
    Ernesto Peimbert Karma: 5332 México
     
    Fecha: 22-09-2017 10:04:05 Chrismart Anji, discrepo contigo. Si robo una sesión y obtengo acceso a una aplicación que utiliza una base de datos puede darse el caso de que explote alguna otra vulnerabilidad y efectivamente vulnere el origen de los datos.

    Muchas veces una vulnerabilidad pequeña es una ventana a una vulnerabilidad más grande.

    Ramon, una aplicación es tan segura como su nodo más débil. Es importante que garantices que la sesión no guarde información delicada (He visto casos done guardan las contraseñas, nombres y toda clase de información personal), puedes renovar el session id cada cierto tiempo (hay quienes renuevan en cada petición), asegura el canal (SSL/TLS).

    Recuerda también que las cookies son compañeras de las sesiones asegúrate de protegerlas de igual manera.

    Recuerda que la seguridad no es exclusivamente en la sesión sino en toda tu aplicación.       Votos: 3 - Link respuesta
     
  •  
      0  
     
     
    Roman Gonzalez Karma: 32 Panamá
     
    Fecha: 22-09-2017 12:17:02 Muchas gracias comperos, lo preguntaba porque me vino a la memte esta duda con respecto a las sesiones. Ya que desarrolle un sistema de inventario de almacen, con varios usuarios y uno como administrador el cual puede ponerle o cambiar precios a los productos. Los demas usuarios estan limitados.
    La forma como controlo la seguridad es con codigo llamado seguridad en donde verifico la sesion activa el usuatio y su contradeña. Este archivo lo llamo desde todos los modulos. Ademas controlo el tiempo de inactividad. Si el usuario se levanta y no toca el computador este envia un mensaje : "despues de 20 minutos de inactividad su secion a caducado". Y lo revresa a la pagina para loguearse. Sus respuetas me ha aclarado muhcas cosas. Gracias compañeros       Votos: 0 - Link respuesta
     
  •  
      0  
     
     
    Ruben Osornio Karma: 281 México
     
    Fecha: 28-09-2017 09:35:00 Buena tarde mi comentario es el siguiente:

    Es bueno preocuparnos por la sesiones pero en cuanto a seguridad en ambiente web te sugiero que investigues sobre pentest por ejemplo buscar vulnerabilidades en tu aplicacion con sqlinjection, la forma en que navegas si es por get o post, las cosas que muestras en la url, encriptacion de contraseñas, es un tema amplio y mucho trabajo que hacer en nuestros sistemas web.

    espero mi opinion sea de ayuda.       Votos: 0 - Link respuesta
     
  •  
      0  
     
     
    Roman Gonzalez Karma: 32 Panamá
     
    Fecha: 02-10-2017 03:37:18 Gracias Ruben Osorio, tendré en cuenta su opinión. Ruben es que el temor se basa en que una persona que no sea usuario registrado, desde otra pc remota pueda entrar al sistema y altere algunos datos de inventario.   Votos: 0 - Link respuesta
     
  •  
      0  
     
     
    Jorge Zabala Karma: 517 Bolivia
     
    Fecha: 02-10-2017 04:24:15 Todo lo que dice Ruben Osornio se resume en: Revisa OWASP XD

    https://www.owasp.org/index.php/Top_10_2017-Top_10
    http://blog.segu-info.com.ar/2017/04/owasp-top-10-2017-rc.html       Votos: 0 - Link respuesta
     
Para participar activamente de la comunidad primero debes autenticarte, ingresa al sistema.Iniciar Sesión
 
frjcbbae garagebible.com