Segurança com PHP

Segurança com PHP Theoziran Lima

Definição de segurança • Segurança é definir os limites e as responsabilidades dos processos. • Exemplo: – No uso de modificadores de acesso – Gerenciamento de processos na memória (área do processo) – Permissões de usuários

Principais tipo de ataque • SQL Injection – Uma das técnicas de fraude mais conhecida pelos desenvolvedores web é a SQL Injection. Trata-se da manipulação de uma instrução SQL através das variáveis quem compõem os parâmetros recebidos por um script server-side (que pode ser qualquer linguagem), no nosso caso PHP.

Principais tipo de ataque • XSS – Sua ação parte de um princípio simples, um código malicioso (inserido em tempo de execução ou chamado a partir de outro local ou site) é executado a fim de roubar informações ou enviar dados falsos servidor.

Como melhorar seus itens de configuração?

Itens de configuração • Por padrão o PHP exibe os erros é recomendado quando colocar o sistema em produção suprimir os erros. Essas configurações podem ser alteradas no php.ini ou em tempo de execução php.ini display_errors = On display_erros = Off

Itens de configuração • Não permitir listagens de diretórios e arquivos, quanto menos informações o invasor tiver melhor.

Itens de configuração • Não permitir listagens de diretórios e arquivos, quanto menos informações o invasor tiver melhor. .htaccess Options All -Indexes

Itens de configuração • Não colocar nomes comuns para arquivos e diretórios que contenham informações importantes.

Itens de configuração • Register Globals é melhor estar desativado... php.ini register_globals = Off

Itens de configuração • ... Surtiria o mesmo efeito...

Itens de configuração • Para não se preocupar em escapar todas as entradas é só “ativar” o Magic Quotes php.ini magic_quotes_gpc = On

Boas práticas • Utilize se possível a versão mais nova PHP.

Boas práticas • Nunca confie no usuário, nunca confie no usuário, todas as entradas devem ser filtradas e todas as saídas deve sem escapadas.

Boas práticas • Quando trabalhar com números em querys SQL use filter_var() e casts.

Boas práticas • Sempre que puder use o session_regenerate_id(true), o ideal toda vez que “startar” executar essa função.

Funcionamento da seção • Como funciona a seção ??? sdWEDfds46346 – Logado – Pedro dsfKJKJdfds342 - Logado - Maria PC3 - null – Joãozinho PC01 - sdWEDfds46346 - Pedro PC02 – dsfKJKJdfds342 – Maria

Funcionamento da seção • Após roubo dos dados da seção (XSS)... sdWEDfds46346 – Logado – Pedro dsfKJKJdfds342 - Logado - Maria PC3 - sdWEDfds46346 – Joãozinho PC01 - sdWEDfds46346 - Pedro PC02 – dsfKJKJdfds342 – Maria

Funcionamento da seção • O que o session_regenerate_id(true) faz? sdWEDfds46346 – Logado – Pedro kNFKLlldfs32sd – Logado – Pedro PC3 - sdWEDfds46346 – Joãozinho dsfKJKJdfds342 - Logado - Maria PC01 – kNFKLlldfs32sd - Pedro PC02 – dsfKJKJdfds342 – Maria

Boas práticas • Mantenha um nível de usuários muito bem projetado, não permitindo que ninguém veja nada mais do que lhe é permitido. Em muitos frameworks isso é feito já, considere estudar um. • ACL (Access Control Level) – Zend – Cake ...

Boas práticas • Utilizar alguma ferramenta para monitorar as possíveis vulnerabilidades do sistema. Scrawlr Ratproxy WebInspect

Boas práticas • Quando usar a função mail(), filtre e valide para evitar uma injeção de códigos nos headers.

Boas práticas enviarEmail.php

Boas práticas • Cuidado ao usar a função eval() a função eval(), mesmo filtrando e validando os dados, vai que descobrem algum jeito de burlar... :P

Boas práticas • Deixe seus arquivos de configurações indisponíveis no webserver

Boas práticas • Sabe aquele arquivo temporário que você criou para testar alguma funcionalidade? Então lembre-se de tirá- lo depois.

Boas práticas • Escolha um framework maduro que está sempre sendo atualizado e tenha certeza de sempre atualiza-lo.

Boas práticas • Não use arquivos com extensão .inc* nos arquivos que serão incluídos a não ser que esteja configurado para ser interpretado como php. * ou qualquer tipo de arquivo que o servidor identifique como não interpretado. Adicionar essa linha nas configurações do Apache AddType application/x-httpd-php .inc

Boas práticas (nem tanto)

Boas práticas • Quando você permitir o upload de arquivos para o servidor, faça com filtros e validações, não permita o upload de arquivos .php, .htaccess entre outros. Uma dica, use Fileinfo para fazer validações no arquivo.

Boas práticas • Se seu sistema precisa de uma segurança a mais pense em adotar https.

Boas práticas • Formulários públicos use as famosas letrinhas (Captcha)

Boas práticas • Tenha sempre por perto referências de como melhorar a segurança de seus sistemas. http://www.phpsec.org

Obrigado a todos pela atenção! Theoziran Lima theoziran@gmail.com theoziran.org (83)8842-7653

http://blog.theoziran.com.br	150
http://edertaveira.wordpress.com	143
http://static.slideshare.net	118
http://jckronbauer.blogspot.com	53
http://theoziran.org	39
http://www.slideshare.net	30
http://jckronbauer.blogspot.com.br	9
file://	3
http://static.slidesharecdn.com	3
url_unknown	1

Segurança com PHP

by Felipe Ribeiro on Nov 30, 2008

Accessibility

Categories

Tags

Upload Details

Usage Rights

10 Embeds 549

Statistics

Segurança com PHP — Presentation Transcript