Ejercicio de la Semana: Login de usuarios y actualización de datos

Por: alex | 15 Enero 2007 | Ver comentarios |

A partir de ahora, cada semana haré el intento de poner los quiz los días lunes o martes, así tendremos más tiempo para comentar estos pequeños ejercicios.

Esta vez, se trata de dos páginas: la primera que se encarga de realizar el login de los usuarios y la segunda se encarga de mostrar y actualizar el perfil del usuario que accede a la página.

<?php
session_start();

/* 
 session.php: 
  Se encarga de validar los datos del usuario y 
  que exista una sesión válida para acceder a user.php
*/

include_once './config.php';
include_once './db.php';

if ( !empty($_REQUEST['action']) ) {
	switch ($_REQUEST['action']) {
		case 'login':
			if ( !empty($_SESSION['user']) ) {
				header('Location: http://sitio/user.php');
				exit();
			}
			
			$username = $db->escape($_POST['user']);
			$pass = md5($secret_key . $_POST['password']);
			
			if ( $user = $db->get_row("SELECT * FROM users WHERE user='$username' AND password='$pass'") ) {
				session_regenerate_id();
				$_SESSION['user'] = $user;
				header('Location: http://sitio/user.php');
				exit();
			}
			die('Usuario no válido');
		case 'logout':
			// ...
	}
}

?>

<?php
/* 
 user.php: 
   Se encarga de mostrar y actualizar el perfil de un usuario
*/

include_once './session.php';

if ( empty($_SESSION['user']) ) {
	header('Location: http://sitio/session.php');
	exit();
}

if ( !empty($_REQUEST['action']) ) {
	switch ($_REQUEST['action']) {
		case 'update-profile':
			
			// Limpiar los datos
			$_POST['name'] = htmlspecialchars(strip_tags($_POST['name']), ENT_QUOTES, 'utf-8');
			$_POST['email'] = preg_replace('/[^a-z0-9.@-]/i', '', $_POST['email']);			

			// Escapar los valores
			$user = $db->escape($_SESSION['user']->user);
			$name = $db->escape($_POST['name']);
			$email = $db->escape($_POST['email']);
			$password = md5($secret_key . $_POST['password']);
			
			$sql = "UPDATE users SET name = '%s', email = '%s', password = '%s' WHERE user = '%s'";
			
			$db->query(sprintf($sql, $name, $email, $password, $user));
			
			break;
		case 'recover-password':
			// ...
	}
}

?>

¿Existe algún bug en el código mostrado?

Actualización:

Cambio de $_POST['user'] por $_SESSION['user']->user en user.php
Cambio de ubicación de la comprobación de la variable user en la sesión

¿Todavía queda algún problema de seguridad?

Entradas relacionadas

menéame añadir a del.icio.us digg it

Comentarios | Escribe el tuyo →

1

aporreador
16 de Enero de 2007, 10:07:30 am

He me has copiado la idea.

Yo de estos quiz se cero pero me puede servir el código para aprender a mejorar el mío.
2

alter
16 de Enero de 2007, 01:21:18 pm

Yo diría que lo mismo que escapas la varible “$user” para usarla en sendas consultas SQL deberías también escapar la variable “$password”. Vaya, no creo que sea este el “bug”, porque sería acertar y tengo últimamente una suerte…
3

alex
16 de Enero de 2007, 02:07:11 pm

No importa escapar el valor de $password, puesto que este valor siempre será una cadena de 32 caracteres alfanuméricos (gracias a md5).
4

jdeveloper
16 de Enero de 2007, 02:12:19 pm

alter, no, lo del password no es una vulnerabilidad ya que al aplicarle un md5 el resultado consiste solo en letras y numeros.

Yo por mi parte no he encontrado ningun bug, solo un error de información que no creo fuera tu objetivo que se encontrase ese error lo encuentro cuando procedes a validar el login cuando llegas a esta porción de código:
```
if ( $user = $db->get_row("SELECT * FROM users WHERE user='$username' AND password='$pass'") ) {
         session_regenerate_id();
	 $_SESSION['user'] = $user;
}
die('Usuario no válido');
```
ya que session_regerate_id no refresca la página, aunque el usuario se válido das el mensaje usuario no válido.
5

alex
16 de Enero de 2007, 02:14:15 pm

Gracias por hacer notar el error, ya lo corregí
6

jdeveloper
16 de Enero de 2007, 02:22:13 pm

no se si sera un bug pero al modificar los datos, sobre todo por lo de modificar la contraseña, no pides la contraseña antigua, un usuario maligno podria iniciar session, y despues manipular el html de su navegador para cambiar el valor del campo user para cambiar la contraseña de otro usuario, creo que existe alguna extension en firefox que permite modificar el formulario.

En caso de que no se pueda usar el navegador podrias crear una url con los mismos campos del formulario ya que el cambiar de pagina en la misma ventana del navegador no expira la session. No compruebas el referrer para averiguar si el envio del formulario proviene de la misma pagina.

Pienso que los tiros van por ahi.

jdeveloper
16 de Enero de 2007, 02:40:42 pm

Cambiando

$user = $db->escape($_POST['user']); 

//sustituir por 

$user = $db->escape($_SESSION['user']->user);

Se soluciona el problema, ya solo se pueden cambiar los datos que te corresponden y ya no puedes cambiar el nombre del usuario. Ya no seria necesario pedir la clave antigua, aunque seria un buen mecanismo para evitar que el usuario pusiese accidentalmente una clave nueva, ademas, no compruebas si la pass es vacia, lo cual cambias siempre la clave.

pongo mi version sin confirmacion de la clave antigua

escape($_SESSION['user']); //solo permitimos modificar el usuario logueado
			$name = $db->escape($_POST['name']);
			$email = $db->escape($_POST['email']);
			$_POST['password']==''?$password='':$password = md5($secret_key . $_POST['password']);
			//me gusta inicializar variables sobre todo cuando son criticas

			$sql = "UPDATE users SET name = '%s', email = '%s'";
			if($password!='')
				$sql.=', password = '%s'
			$sql.=' WHERE user = '%s'";

			if($password=='')
				$db->query(sprintf($sql, $name, $email, $user));
			else
				$db->query(sprintf($sql, $name, $email, $password, $user));

			break;
		case 'recover-password':
			// ...
	}
}

?>

jdeveloper
16 de Enero de 2007, 02:46:35 pm

$sql.=’, password = ‘%s’ me equivoke

la comilla que abre la cadena deberia ser doble, y deberia cerrar la cadena y poner ;

y en $sql.=’ WHERE … la comilla que abre la cadena deberia ser doble

queda algo feo el codigo todo rojo voy a ponerlo otra vez

escape($_SESSION['user']); //solo permitimos modificar el usuario logueado
			$name = $db->escape($_POST['name']);
			$email = $db->escape($_POST['email']);
			$_POST['password']==''?$password='':$password = md5($secret_key . $_POST['password']);
			//me gusta inicializar variables sobre todo cuando son criticas

			$sql = "UPDATE users SET name = '%s', email = '%s'";
			if($password!='')
				$sql.=", password = '%s'";
			$sql.=" WHERE user = '%s'";

			if($password=='')
				$db->query(sprintf($sql, $name, $email, $user));
			else
				$db->query(sprintf($sql, $name, $email, $password, $user));

			break;
		case 'recover-password':
			// ...
	}
}

?>

9

jdeveloper
16 de Enero de 2007, 02:53:03 pm

copie y pegue el codigo pero me corto el trozo de arriba el cual permaneceria igual

y donde pone

$user = $db->escape($_SESSION[’user’]);

habria que poner

$user = $db->escape($_SESSION[’user’]->user);

Pido disculpas por tantos posts y tantas erratas por mi parte.
10

alter
16 de Enero de 2007, 03:13:38 pm

Pues tenéis razón, menudo corte.
11

alex
16 de Enero de 2007, 06:12:47 pm

jdeveloper, en el comentario #6 tienes razón, pero cuál sería la forma de cambiar el password sin necesidad de acceder o tener las credenciales del ejemplo mostrado.
12

jdeveloper
16 de Enero de 2007, 07:29:04 pm

Voy a escribir una tonteria pero bueno.

Suponiendo que las sessiones se manejan por cockies, tambien se pueden conifgurar para que funcione exclusivamente de lado del servidor si mal no recuerdo, el procedimiento seria hacer lo siguiente:

1) crear la cookie user en el navegador que seguro que hai forma
2) mandar el post a user.php para modificar.

Pero eso queriria decir que en la mayoria de las paginas en internet seria posible asi que casi que descarto la idea.

Un saludo.
13

alex
16 de Enero de 2007, 07:54:33 pm

Lo que se guarda en las cookies, es el ID de la sesión (PHPSESSID), no los datos en si.
14

swas
17 de Enero de 2007, 06:57:46 am

Hola!

Mi amigo jdeveloper y yo hemos estado rayando profundamente sobre el tema, llegamos a la conclusión de que un posible error esta en el basename($_SERVER[’PHP_SELF’]) del archivo session.php ya que podríamos burlar la condición llamando a una url del tipo http://sitio/user.php/session.php. Esto nos retornaria el basename session.php, con lo cual podríamos modificar nuestros datos sin loguearnos previamente.

Por ahora, que seguro que más mal se pude hacer es todo.

Saludos.
15

Agustí
17 de Enero de 2007, 07:24:00 am

¿Se supono que tenemos usuario en el sistema?
¿El objetivo es entrar como otro usuario?

Si salimos de la premisa que tenemos un usuario y el objetivo es entrar como otro.

1) Entraremos en nuestro usuario.
2) Y enviamos tipo POST a la pagina de registro las siguientes variables:
user = usuario_victima
password = el_que_queramos
3) entramos de nuevo como usuario_victima

(la solución la ha dado jdeveloper)
16

Agustí
17 de Enero de 2007, 07:25:10 am

Por cierto, primero pense que era un bug de formato. Por el sprintf…
17

alex
17 de Enero de 2007, 07:40:13 am

Agustí, tienes razón -no me había dado cuenta de ese detalle :), ya hice las correcciones planteadas por jdeveloper (excepto lo de la comprobación del password vacío)
18

Agustí
17 de Enero de 2007, 07:45:07 am

Perdón salieron los 3 mal, si este sale mal, please alex arreglalo… os envio el “exploit” del bug…

en #14 ya han dado la pista definitva, yo no me habia fijado en que el fichero session.php es el primero…. así que el include nos obliga a hacer la llamada al la pagina user.php tal y como dicen ellos…
```
<html>
<body>
<form action="http://sitio/user.php/session.php" method=POST>
user: <input name="user" /><br/>
pass: <input name="password" /> <br/>
email: <input name="email" /> <br/>
name: <input name="name" /> <br/>

<input name="action" value="update-profile" type="hidden" />
<input type="submit" />
</form>
</body>
</html>
```
19

alex
17 de Enero de 2007, 07:50:02 am

Muy bien amigos, dieron con el clavo

Modifiqué nuevamente el código, ¿es posible hacer algo más?
20

Agustí
17 de Enero de 2007, 07:53:18 am

Propuesta, para el proximo quiz, hacer un espacio para probar. A parte de mostrar el codigo
21

alex
17 de Enero de 2007, 07:58:28 am

Perfecto, de ahora en adelante lo haré.
22

Agustí
20 de Enero de 2007, 04:20:29 am

Pues como no des una pista, yo no veo ninguno más
23

alex
20 de Enero de 2007, 07:45:14 am

Jeje, mejor lo dejamos para futuros ejemplos y comentamos sobre ese problema en particular
24

MIGUEL
12 de Octubre de 2007, 01:55:12 am

ALGUIEN E PODRIA DECIR COMO AVERIGUAR LA CONTRASENA DE UN EMAIL????

ESCRIBANME A :gimtaras55@gmail.COM

ADEMAS YO TENGO ACCESO A ESE ORDENADOR: NECESITO DE UN EMAIL, Y DE SKIPE

Puedes usar las etiquetas <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong> . Para formatear código encierra el mismo entre elementos [lang]código[/lang], donde lang puede ser: css, javascript, php, html, csharp, vbnet, sql o code.

Deja un comentario

Acerca de esta entrada

Esta entrada fué publicada el Lunes, Enero 15th, 2007 a las 9:58 pm bajo PHP, Quiz, Seguridad. Puedes seguir los comentarios de esta entrada mediante el feed RSS 2.0. También dejar un comentario, o hacer un trackback desde tu sitio.

Patrocinados

Divagaciones etílicas

Últimos comentarios

Victor en Office 2007 RTM
Neo en Unir documentos PDF con .NET
Jorge en Cusco
Cobra en Exportar reportes Crystal Reports en ASP.NET
ANGELICA en Versión final de Visual Studio 2008

Buayacorp

Diseño y Programación

Ejercicio de la Semana: Login de usuarios y actualización de datos

Entradas relacionadas

Comentarios | Escribe el tuyo →

Deja un comentario

Acerca de esta entrada

Patrocinados

Últimos comentarios

Sindicar

Minibanners