Precisamos conversar sobre a segurança de sua aplicação PHP

Transcript

1. Precisamos conversar sobre a segurança de sua Gustavo Pereira @

   phpspsantos talks #01

2. Objetivo do dia Encorajar a criação e manutenção de código

   seguro através de boas práticas!

3. Gustavo Pereira 12 anos na área de TI Bacharel em

   Ciências da Computação Tecnólogo em Processamento de Dados Zend Certified PHP Engineer 5.5 Desenvolvedor PL na MT4 Networks http://www.mt4networks.com.br

4. Gosto pra caramba de Comunidades (e você também deveria)

5. None
6. None

7. Sua opinião é importante!

8. Verdade ou mito?

9. PHP é uma linguagem insegura

10. PHP é uma linguagem insegura

11. Linguagem X é mais segura ao PHP

12. Linguagem X é mais segura ao PHP

13. A segurança do seu código depende só de você

14. Seu código pode tornar uma aplicação insegura em segura, e

    vice-versa

15. Seu código pode tornar uma aplicação insegura em segura, e

    vice-versa

16. Então vamos partir de alguns princípios Não existe sistema 100%

    seguro Um dia seu sistema será invadido (pode não ser no seu mandato) mesmo que seja por você mesmo em um pentest

17. Equilibre segurança x usabilidade

18. Equilibre segurança x usabilidade

19. Equilibre segurança x usabilidade

20. Aplicação insegura custa caro!

21. Configs do php.ini

22. Display_errors em dev Display_errors = 1 Em prod Display_errors =

    0 Log_errors = 1 error_log = ’[arquivo.log]’
23. None

24. allow_url_fopen e allow_url_include Tudo on = RFI (Remote File Inclusion)

25. None
26. None

27. http://localhost:8888/?mensagem=http://local host:8887/index

28. None
29. None

30. Timeouts max_execution_time max_input_time set_time_limit

31. None

32. expose_php O PHP ”expõe” sua versão no response header

33. expose_php Até onde isso é um problema?

34. None

35. Filtre o input do usuário... e o output também!

36. Não confie em NENHUM DADO que não tenha sido gerado

    pelo PHP no contexto atual

37. Resumindo melhor Não confie em nada que venha de maneira

    inesperada/indesejada ou não filtrada
38. None

39. filter_var ($var, FILTER_VALIDATE_ ); php.net/manual/en/filter.filters.validate.php FILTER_VALIDATE_FLOAT FILTER_VALIDATE_BOOLEAN FILTER_VALIDATE_IP FILTER_VALIDATE_URL (...)

40. filter_var ($var, FILTER_VALIDATE_ ); <?php $email = "[email protected]"; var_dump(filter_var($email,FILTER_VALIDATE_EMAIL)); $email

    = " [email protected]` OR 1=1; /* "; var_dump(filter_var($email,FILTER_VALIDATE_EMAIL)); PS: O var_dump é apenas para exemplificar

41. filter_var ($var, FILTER_VALIDATE_ );

42. filter_var ($var, FILTER_VALIDATE_ ); <?php $url= ”http://www.facebook.com"; var_dump(filter_var($url, FILTER_VALIDATE_URL)); $url=

    ”javascript://comment%0Aalert(1)"; var_dump(filter_var($url, FILTER_VALIDATE_URL)); PS: O var_dump é apenas para exemplificar

43. filter_var ($var, FILTER );

44. filter_var($var, FILTER_SANITIZE_) FILTER_SANITIZE_EMAIL FILTER_SANITIZE_ENCODED FILTER_SANITIZE_STRING FILTER_SANITIZE_NUMBER_INT FILTER_SANITIZE_NUMBER_FLOAT FILTER_SANITIZE_URL (...) http://php.net/manual/en/filter.filters.sanitize.php

45. XSS!

46. Não tenha medo de usar mais de uma regra! htmlentities()

    utf8_decode() strip_tags()

47. E/Ou ainda de usar o Respect Validation =) https://github.com/Respect/Validation

48. v::url() ->contains('http') ->validate( 'javascript://comment%0Aalert(1)'); NE: Apenas um exemplo, ok?

49. Filtrar o input para evitar SQL Injection!

50. None

51. PDO Sempre ( + prepared statement) Compila as consultas SQL

    e usa placeholders select nome from produto where id = ? insert into carro values (?,?,?)

52. PDO Sempre ( + prepared statement) <?php /* Execute a

    prepared statement by binding PHP variables */ $calories = 150; $colour = 'red'; $sth = $dbh->prepare('SELECT name, colour, calories FROM fruit WHERE calories < :calories AND colour = :colour'); $sth->bindParam(':calories', $calories, PDO::PARAM_INT); $sth->bindParam(':colour', $colour, PDO::PARAM_STR, 12); $sth->execute(); //http://php.net/manual/pt_BR/pdostatement.bindparam.php

53. https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

54. Ou ainda um ORM! Mapeamento entidade-relacionamento

55. ORM facilita a adoção de boas práticas Table Data Gateway

    Row Data Gateway Data Mapper Active Record

56. ORM facilita a adoção de boas práticas

57. Cuidado REDOBRADO com sistemas legados!

58. mysql_connect() mysql_escape_string() mysql_*

59. exec(), shellexec(), system(), passthru() escapeshellcmd() escapeshellarg()

60. Eu queria falar do register_globals em sistemas legados mas acho

    que não é preciso.

61. Tire o arquivo conexao.php do dir raiz do seu app!

62. Refatore! NE: O máximo que puder/conseguir ok

63. None

64. Cuidado com libs de terceiros

65. Lembram do site do Trump? http://bit.ly/trumphackeado

66. Lembram do site do Trump? Era só fazer um PR

    e...
67. None

68. Procure saber de onde vem a sua lib favorita O

    que ela faz, como se comporta...

69. Cuidado com libs de terceiros

70. WebGoatPHP https://www.owasp.org/index.php/WebGoatPHP

71. WebGoatPHP https://github.com/OWASP/OWASPWebGoatPHP

72. WebGoatPHP DEMO (*)

73. Enfim, segurança de aplicações (PHP) é um assunto extenso! (e

    eu com certeza não falei de tudo)

74. Mas você viu que giramos em torno de um único

    assunto?

75. Qualidade de código.

76. Ela é fundamental para o princípio da defesa em profundidade!

77. None

78. Dúvidas?

79. Obrigado! [email protected] @gustavosteam

80. Hey, fale sobre o PHPeste... http://phpeste.net/