Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Curso de Introducción a PHP 5 Bloque I: Seguridad web *POO = Programación Orientada a Objetos 1. ¿Por qué es importante la...
Curso de Introducción a PHP 5 Bloque I: Seguridad web *POO = Programación Orientada a Objetos 1. ¿Por qué es importante la...
Desarrollo web avanzado con PHP 5 3.1. ¿Por qué es importante la seguridad? Bloque I: Seguridad web Un gran poder conlleva...
Desarrollo web avanzado con PHP 5 3.1. ¿Por qué es importante la seguridad? Bloque I: Seguridad web Prácticamente todas la...
Desarrollo web avanzado con PHP 5 3.1. ¿Por qué es importante la seguridad? Bloque I: Seguridad web Las principales prácti...
Curso de Introducción a PHP 5 Bloque I: Seguridad web *POO = Programación Orientada a Objetos 1. ¿Por qué es importante la...
Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Todos los datos de entrada están “contaminados” ...
Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Mis entradas de datos Formularios Query string h...
Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web ¿Por qué hay que validar los datos de entrada? E...
Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Register Globals Es una directiva de configuraci...
Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Un ejemplo < form   action = ”process.php”  meth...
Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Validación numérica Todos los datos recibidos po...
Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Validación de texto PHP viene por defecto con CT...
Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Validación complejas if (! preg_match ( '/^w+@[a...
Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Numérico (¿+34?), máx 9 números Con letra? Españ...
Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Validación en cliente vs servidor Validación cli...
Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Burlando formularios 1. Deshabilitar Javascript ...
Curso de Introducción a PHP 5 Bloque I: Seguridad web *POO = Programación Orientada a Objetos 1. ¿Por qué es importante la...
Desarrollo web avanzado con PHP 5 3.3. Escapado Bloque I: Seguridad web ¿En que consiste? ¿En que consiste? ¿En que consis...
Desarrollo web avanzado con PHP 5 3.3. Escapado Bloque I: Seguridad web Escapando datos para generar HTML htmlentities() E...
Desarrollo web avanzado con PHP 5 3.3. Escapado Bloque I: Seguridad web Escapando datos para generar SQL  *_escape_string(...
Desarrollo web avanzado con PHP 5 3.3. Escapado Bloque I: Seguridad web Evitad cosas como estas $query   =  “SELECT  *  FR...
Desarrollo web avanzado con PHP 5 3.3. Escapado Bloque I: Seguridad web $sql   =  'SELECT * FROM users  WHERE username = :...
Curso de Introducción a PHP 5 Bloque I: Seguridad web *POO = Programación Orientada a Objetos 1. ¿Por qué es importante la...
Desarrollo web avanzado con PHP 5 3.4. Ataque XSS Bloque I: Seguridad web XSS = Cross Site Scripting Estos ataques se apro...
Desarrollo web avanzado con PHP 5 3.4. Ataque XSS Bloque I: Seguridad web Algunas cosas que podría lograr mediante un ataq...
Mostrar una página falsa de login en tu web (phising)
Llevar a cabo cualquier acción como si fuera otro usuario </li></ul>
Desarrollo web avanzado con PHP 5 3.4. Ataque XSS Bloque I: Seguridad web Dos tipos de ataques XSS Persistentes Reflejados...
Desarrollo web avanzado con PHP 5 3.4. Ataque XSS Bloque I: Seguridad web Algunos ejemplos... …  malignos
Desarrollo web avanzado con PHP 5 3.4. Ataque XSS Bloque I: Seguridad web ¿Quién es Samy? http://namb.la/popular/ Un aguje...
Curso de Introducción a PHP 5 Bloque I: Seguridad web *POO = Programación Orientada a Objetos 1. ¿Por qué es importante la...
Desarrollo web avanzado con PHP 5 3.5. Ataque CSRF Bloque I: Seguridad web CSRF = Cross site request forgery Explota la co...
Desarrollo web avanzado con PHP 5 3.5. Ataque CSRF Bloque I: Seguridad web Un ejemplo de ataque CSRF
Desarrollo web avanzado con PHP 5 3.5. Ataque CSRF Bloque I: Seguridad web Cómo protegerse de este tipo de ataques <?php  ...
Desarrollo web avanzado con PHP 5 3.5. Ataque CSRF Bloque I: Seguridad web Cómo protegerse de este tipo de ataques <?php i...
Desarrollo web avanzado con PHP 5 3.5. Ataque CSRF Bloque I: Seguridad web Google tampoco se salva http://www.securiteam.c...
Curso de Introducción a PHP 5 Bloque I: Seguridad web *POO = Programación Orientada a Objetos 1. ¿Por qué es importante la...
Desarrollo web avanzado con PHP 5 3.6. SQL Injections Bloque I: Seguridad web SQL injections o inyección de SQL Un usuario...
Desarrollo web avanzado con PHP 5 3.6. SQL Injections Bloque I: Seguridad web Un ejemplo (un clásico) Formulario de acceso...
Desarrollo web avanzado con PHP 5 3.6. SQL Injections Bloque I: Seguridad web Un ejemplo (un clásico) En algún lugar de nu...
Upcoming SlideShare
Loading in …5
×

PHP Avanzado: Seguridad Web

40,573 views

Published on

Seguridad Web
Conceptos y buenas prácticas.
Ataques XSS
Ataques CSRF
Ataques SQL-injection
Ataques de sesión: Session riding
Inyección remota de código

Published in: Technology
  • DOWNLOAD THE BOOK INTO AVAILABLE FORMAT (New Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THE can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THE is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBOOK .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookBOOK, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, EBOOK, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THE Helped Ignite a Movement,-- Atomic Habits: An Easy &amp; Proven Way to Build Good Habits &amp; Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THE the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THE Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THE BOOK INTO AVAILABLE FORMAT (New Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THE can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THE is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBOOK .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookBOOK, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, EBOOK, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THE Helped Ignite a Movement,-- Atomic Habits: An Easy &amp; Proven Way to Build Good Habits &amp; Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THE the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THE Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy &amp; Proven Way to Build Good Habits &amp; Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy &amp; Proven Way to Build Good Habits &amp; Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy &amp; Proven Way to Build Good Habits &amp; Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

PHP Avanzado: Seguridad Web

  1. 1. Curso de Introducción a PHP 5 Bloque I: Seguridad web *POO = Programación Orientada a Objetos 1. ¿Por qué es importante la seguridad? 2. Validación 3. Escapado 4. Ataques XSS 5. Ataques CSRF 5. SQL-Injection 6. Code Injection 7. Session riding
  2. 2. Curso de Introducción a PHP 5 Bloque I: Seguridad web *POO = Programación Orientada a Objetos 1. ¿Por qué es importante la seguridad? 2. Validación 3. Escapado 4. Ataques XSS 5. Ataques CSRF 5. SQL-Injection 6. Code Injection 7. Session riding
  3. 3. Desarrollo web avanzado con PHP 5 3.1. ¿Por qué es importante la seguridad? Bloque I: Seguridad web Un gran poder conlleva Una gran responsabilidad
  4. 4. Desarrollo web avanzado con PHP 5 3.1. ¿Por qué es importante la seguridad? Bloque I: Seguridad web Prácticamente todas las aplicaciones PHP están desarrolladas para la web Y la web es un sitio peligroso PHP es gratuito y fácil de aprender PHP es muy atractivo para amateurs PHP está siendo utilizado cada vez en sitios más grandes Y la información que gestiona es cada vez más sensible
  5. 5. Desarrollo web avanzado con PHP 5 3.1. ¿Por qué es importante la seguridad? Bloque I: Seguridad web Las principales prácticas se puede agrupar en dos ideas Validación Escapado
  6. 6. Curso de Introducción a PHP 5 Bloque I: Seguridad web *POO = Programación Orientada a Objetos 1. ¿Por qué es importante la seguridad? 2. Validación 3. Escapado 4. Ataques XSS 5. Ataques CSRF 5. SQL-Injection 6. Code Injection 7. Session riding
  7. 7. Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Todos los datos de entrada están “contaminados” TODOS LOS DATOS DE ENTRADA
  8. 8. Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Mis entradas de datos Formularios Query string http://www.google.com/ ?search=hola Canales RSS http://www.loalf.com/feed.rss API's de terceros http://dev.twitter.com Cookies
  9. 9. Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web ¿Por qué hay que validar los datos de entrada? Evitar comportamientos no esperados de la aplicación Evitar ganar acceso a una aplicación a la que no está autorizado Evitar que la aplicación “se rompa” de manera malintencionada
  10. 10. Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Register Globals Es una directiva de configuración que automáticamente inyecta variables en el script. < ?php // http://www.misitio.com/index.php?name=javi echo $name ; // javi ? > Desactivado por defecto desde PHP 4.2.0 y no debería activarse
  11. 11. Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Un ejemplo < form action = ”process.php” method = ”post” > Nombre: < input type = ” text ” name = ”nombre” / >< br / > Edad: < input type = ” text ” name = ”edad” / >< br / > Color preferido: < select name = ” color ” > < option value = ”azul”>Azul< / option > < option value = ”verde”>Verde< / option > < option value = ”amarillo”>Amarillo< / option > < option value = ”rojo”>Rojo< / option > < / select > < input type = ”submit” / > < / form >
  12. 12. Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Validación numérica Todos los datos recibidos por PHP (GET/POST/COOKIE) son cadenas de texto. Hay que convertirlos a números para que sea más eficiente y menos peligroso. Deben ser convertidos a números mediante un casting (int) $_POST ['edad' ]; (float) $_POST ['precio' ];
  13. 13. Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Validación de texto PHP viene por defecto con CTYPE, una extensión que permite de manera cómoda validar cadenas de texto if (! ctype_alnum ( $_POST ['password' ])){ echo “Sólo caracteres A-Za-z0- 9 permitidos”; } if (! ctype_alpha ( $_POST ['username' ])){ echo “Sólo caracteres A-Za-z permitidos”; } Y otras muchas más funciones http://php.net/manual/en/book.ctype.php PHP viene por defecto con CTYPE, una extensión que permite de manera cómoda validar cadenas de texto
  14. 14. Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Validación complejas if (! preg_match ( '/^w+@[a-zA-Z_]+?.[a-zA-Z]{2,3}$/' , $_POST ['email' ] ) ){ echo “Email no válido”; } No hace falta saber expresiones regulares, sólo saber dónde encontrarlas http://regexlib.com ¿Como validar un email, una URL, una IP, un DNI, una fecha? Expresiones regulares.
  15. 15. Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Numérico (¿+34?), máx 9 números Con letra? España? Todo cambia Un email Igual que el otro Obligatorio Más campos ...
  16. 16. Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Validación en cliente vs servidor Validación cliente Usabilidad Validación cliente Seguridad Nadie dijo que se excluyentes
  17. 17. Desarrollo web avanzado con PHP 5 3.2. Validación Bloque I: Seguridad web Burlando formularios 1. Deshabilitar Javascript 2. Enviar formularios desde web 3. Instalando Firebug
  18. 18. Curso de Introducción a PHP 5 Bloque I: Seguridad web *POO = Programación Orientada a Objetos 1. ¿Por qué es importante la seguridad? 2. Validación 3. Escapado 4. Ataques XSS 5. Ataques CSRF 5. SQL-Injection 6. Code Injection 7. Session riding
  19. 19. Desarrollo web avanzado con PHP 5 3.3. Escapado Bloque I: Seguridad web ¿En que consiste? ¿En que consiste? ¿En que consiste? ¿En que consiste? ¿En que consiste? Evitar que el código generado por nuestra aplicación pueda resultar dañino Dependiendo del dónde imprimamos la información las reglas de escapado son diferentes
  20. 20. Desarrollo web avanzado con PHP 5 3.3. Escapado Bloque I: Seguridad web Escapando datos para generar HTML htmlentities() Ejemplo echo htmlentities ('<b>Texto en negrita</b>' ); // &gt;b&lt;Texto en negrita&gt;/b&lt;
  21. 21. Desarrollo web avanzado con PHP 5 3.3. Escapado Bloque I: Seguridad web Escapando datos para generar SQL *_escape_string() Para el caso concreto de mysql echo mysql_escape_string (“WHERE name='javi'” ); // WHERE name = 'javi'
  22. 22. Desarrollo web avanzado con PHP 5 3.3. Escapado Bloque I: Seguridad web Evitad cosas como estas $query = “SELECT * FROM users WHERE username = '{$_POST[' username ']}' ”; Utilizad en su lugar Prepared Statements http://www.slideshare.net/flaiwebnected/iniciacin-php-5-php-y-mysql
  23. 23. Desarrollo web avanzado con PHP 5 3.3. Escapado Bloque I: Seguridad web $sql = 'SELECT * FROM users WHERE username = :username' ; $stmt = $dbh -> prepare ( $sql ); $stmt -> bindParam (':username' , $clean ['username' ]) $stmt -> execute (); $results = $stmt -> fetchAll ();
  24. 24. Curso de Introducción a PHP 5 Bloque I: Seguridad web *POO = Programación Orientada a Objetos 1. ¿Por qué es importante la seguridad? 2. Validación 3. Escapado 4. Ataques XSS 5. Ataques CSRF 5. SQL-Injection 6. Code Injection 7. Session riding
  25. 25. Desarrollo web avanzado con PHP 5 3.4. Ataque XSS Bloque I: Seguridad web XSS = Cross Site Scripting Estos ataques se aprovechan de la confianza del usuario en la aplicación El atacante inyecta código JavaScript en nuestra web
  26. 26. Desarrollo web avanzado con PHP 5 3.4. Ataque XSS Bloque I: Seguridad web Algunas cosas que podría lograr mediante un ataque XSS <ul><li>Robar las cookies de un usuario y entrar en su lugar
  27. 27. Mostrar una página falsa de login en tu web (phising)
  28. 28. Llevar a cabo cualquier acción como si fuera otro usuario </li></ul>
  29. 29. Desarrollo web avanzado con PHP 5 3.4. Ataque XSS Bloque I: Seguridad web Dos tipos de ataques XSS Persistentes Reflejados Datos introducidos por el usuario son utilizados INMEDIATAMENTE para generar una página HTML Son los más frecuentes Datos introducidos por el usuario son almacenados de manera PERSISTENTE (db) y utilizados para generar una página HTML Son “menos” frecuentes
  30. 30. Desarrollo web avanzado con PHP 5 3.4. Ataque XSS Bloque I: Seguridad web Algunos ejemplos... … malignos
  31. 31. Desarrollo web avanzado con PHP 5 3.4. Ataque XSS Bloque I: Seguridad web ¿Quién es Samy? http://namb.la/popular/ Un agujero XSS en el filtro HTML de MySpace Cuando visitabas el perfil de Samy - Te añadía a tí como amigo suyo - Se clonaba en tu propio perfil En 20 y tras un millón de peticiones amigos MySpace se vino abajo
  32. 32. Curso de Introducción a PHP 5 Bloque I: Seguridad web *POO = Programación Orientada a Objetos 1. ¿Por qué es importante la seguridad? 2. Validación 3. Escapado 4. Ataques XSS 5. Ataques CSRF 5. SQL-Injection 6. Code Injection 7. Session riding
  33. 33. Desarrollo web avanzado con PHP 5 3.5. Ataque CSRF Bloque I: Seguridad web CSRF = Cross site request forgery Explota la confianza de un sitio web en un usuario La víctima del ataque lanza una petición HTTP sin saberlo, normalmente a URLs Que requieren de un acceso privilegiado. El escapado evitará que tu aplicación sirva de vehículo para ataques CSRF pero no evitará que los recibas.
  34. 34. Desarrollo web avanzado con PHP 5 3.5. Ataque CSRF Bloque I: Seguridad web Un ejemplo de ataque CSRF
  35. 35. Desarrollo web avanzado con PHP 5 3.5. Ataque CSRF Bloque I: Seguridad web Cómo protegerse de este tipo de ataques <?php session_start (); $token = md5 ( uniqid ( rand (), TRUE )); $_SESSION ['token' ] = $token ; ?> < form action = ”miform.php” method = ”POST”> ... < input type = ”hidden” name = ”token” value = ”<?php echo $token; ?>” /> < / form >
  36. 36. Desarrollo web avanzado con PHP 5 3.5. Ataque CSRF Bloque I: Seguridad web Cómo protegerse de este tipo de ataques <?php if ( isset ( $_SESSION ['token' ]) && isset ( $_POST ['token' ]) && $_POST ['token' ] == $_SESSION ['token' ] ){ //No es un ataque CSRF } ?>
  37. 37. Desarrollo web avanzado con PHP 5 3.5. Ataque CSRF Bloque I: Seguridad web Google tampoco se salva http://www.securiteam.com/securitynews/5ZP010UQKK.html Mediante un ataque CSRF se podía cambiar la contraseña de un usuario
  38. 38. Curso de Introducción a PHP 5 Bloque I: Seguridad web *POO = Programación Orientada a Objetos 1. ¿Por qué es importante la seguridad? 2. Validación 3. Escapado 4. Ataques XSS 5. Ataques CSRF 5. SQL-Injection 6. Code Injection 7. Session riding
  39. 39. Desarrollo web avanzado con PHP 5 3.6. SQL Injections Bloque I: Seguridad web SQL injections o inyección de SQL Un usuario utiliza alguna de las entradas (normalmente formularios) para modificar las sentencias SQL en la aplicación. Las entradas consisten en código SQL parcial, que combinado con el existente da lugar a un comportamiento no deseado Cómo protegerse: escapa los parámetros de tus sentencias SQL
  40. 40. Desarrollo web avanzado con PHP 5 3.6. SQL Injections Bloque I: Seguridad web Un ejemplo (un clásico) Formulario de acceso a una zona restriginda (formulario de login) < form action = ”login.php” action = ”POST”> usuario: < input type = ” text ” name = ”username” / > < br / > contraseñ a : < input type = ”password” name = ”password” / > < br / > < input type = ”submit” / > < / form >
  41. 41. Desarrollo web avanzado con PHP 5 3.6. SQL Injections Bloque I: Seguridad web Un ejemplo (un clásico) En algún lugar de nuestro script comprobamos que ese usuario existe de la siguiente manera $username = $_POST ['username' ]; $password = $_POST ['password' ]; $sql = “SELECT * FORM users WHERE username = '{$username}' AND password = '{$password}' ”; // Continuamos con el resto if ( count ( $results )> 0 ){ // login }
  42. 42. Desarrollo web avanzado con PHP 5 3.6. SQL Injections Bloque I: Seguridad web Un ejemplo (un clásico) Que ocurre si el usuario introduce username' OR 1=1 -- Tenemos esto SELECT * FORM users WHERE username = 'username' OR 1 = 1 --'AND password = 'contraseña'
  43. 43. Desarrollo web avanzado con PHP 5 3.6. SQL Injections Bloque I: Seguridad web

×