SlideShare a Scribd company logo

La sécurité et php

neuros
neuros

Présentation effectuée lors du Rendez-vous AFUP Paris sur la sécurité Web/PHP/Owasp par Christophe Villeneuve

Internet
1 of 45
Download to read offline
La sécurité et PHP Christophe Villeneuve @hellosct1
Qui... est Christophe Villeneuve ?
Le 5 juin 2014 OWASP 2013 ✔ Failles d'injection ✔ Violation d'authentification et de Session ✔ Cross-Site Scripting (XSS) ✔ Référence directe non sécurisée à un objet ✔ Mauvaise configuration de sécurité ✔ Données sensibles accessible ✔ Manque de sécurité au niveau des rôles ✔ Falsification de requête (CSRF) ✔ Utilisation de composants connus vulnérables ✔ Redirections non validées
Le 5 juin 2014 A M P Rapport OWASP 2013
Le 5 juin 2014 Sommaire ● A => Apache => Architecture / Serveur ● M => MySQL => Base de données ● P => PHP => Langage / webService / API
Le 5 juin 2014 Architecture / Serveur
Le 5 juin 2014 ● A1 - Injection en ligne de commande ● A5 - Mauvaise configuration sécurité ● A6 - Exposition de données sensibles ● NC - Exécution fichiers malicieux
Le 5 juin 2014 ✔ Configuration non à jour ✔ Pas de maintenance ✔ Mise à disposition des fonctions ✔ Exec ✔ System ● Autre manière de prise en main du système ● Serveur Zombie ● Principe de l'attaque Conséquence Injection de ligne de commandes A1
Le 5 juin 2014 Désactiver dans php.ini – exec – passthru – shell_exec – system – proc_open – popen – curl_exec – curl_multi_exec – parse_ini_file – show_source A1 Affiche le nom de l'utilisateur <?php echo exec('whoami'); ?> Par conséquent : safe_mode = Off allow_url_fopen=Off allow_url_include=Off
Le 5 juin 2014 Cacher le contenu des dossiers ● Ex : http://votreURL.com/nomDossier ● Solution : fichier index.php <?php header("Location: ../index.php"); die() ; ?> A5
Le 5 juin 2014 ✔ Exécuter un fichier (ex : PHPShell) ✔ Accès en écriture ✔ FTP, SSH, HTTP PUT, WebDav... ✔ Absence de contrôle du dépôt des fichiers ✔ Fonction include() ● Prise en main du système ● Accéder à des informations non autorisées Principe de l'attaque Conséquence Exécution fichier malicieux NC
Le 5 juin 2014 Pour se protéger des fichiers malicieux ● <?php Include ($file) ; ?> – Ex : http://votreURL.com/file=toto.php ● Solution – http://votreURL.com/toto.php ● Ecraser le contenu de la variable – http://urlPirate.com/hack.gif ● Solution dans php.ini – allow_url_fopen = off A6
Le 5 juin 2014 php_self non bloqué © Source : D4FR
Le 5 juin 2014 php_self non bloqué (autre vue) © Source : D4FR
Le 5 juin 2014 Protection de base ● Php.ini – safe_mode = off ● Verrouillez les dossiers – .htaccess – Chmod (444)  ou 665 ou 775 ● HTTPs / SSL A6
Le 5 juin 2014 Base de données
Le 5 juin 2014 ● A1 - Injection SQL ● A4 - Référence direct non sécurisés à un objet
Le 5 juin 2014 ✔ Envoie du code SQL ✔ Formulaire ✔ GET / POST ✔ Cookies ✔ ... ✔ Contournement authentification ✔ Récupération des données de la base ✔ Récupération de fichiers ✔ Exécution de codes Principe de l'attaque Conséquence Injection SQL A1
Le 5 juin 2014 Utilisation du SQL ● Risque : Requête avec des simples quotes SELECT * FROM 'users' WHERE 'username'='$login' AND 'password'='$pass' ● Saisie : $login = hello $pass = hello SELECT * FROM 'users' WHERE 'username'='hello' AND 'password'='hello' ● Saisie : $login = ' OR '1'='1' $pass =  ' OR '1'='1' SELECT * FROM 'users' WHERE 'username'='' OR '1'='1'' AND 'password'='' OR '1'='1'' ● Saisie : $login = ' OR 1=1"); drop table users; $pass = SELECT * FROM 'users' WHERE 'username'='' OR 1=1"); drop table users;' AND 'password'='' TRUE TRUE TRUE Sauf si BDD lecture A1
Le 5 juin 2014 Se protéger contre injection SQL ● addslashes() – Ajoute des antislashs dans une chaîne SELECT * FROM 'users' WHERE 'username'=' ' OR '1'='1' ' AND 'password'=' ' OR '1'='1' ' mysqli_real_escape_string() – Protège les caractères spéciaux ● pdo_quote() – Place des guillemets simples autour d'une chaîne entrée A1 les guillemets simples ' les guillemets doubles " les slashes / les caractères NULL
Le 5 juin 2014 ✔ Absence de contrôle dans une requête ✔ Récupération d'une valeur visible + modification ✔ Trouver d'autres données et informations ✔ ✔ Usurpation d'identifiant ✔ Effectué des opérations non prévues initialement Principe de l'attaque Conséquence Modifier les arguments dynamiquement A4
Le 5 juin 2014 Comportement des objets ● Mauvaise utilisation <?php $sql = "SELECT * FROM users WHERE id = :id " ; $qid = $cnx->prepare($sql); $qid->execute (array (':id', $id) ) ; $rows = $qid->fecthAll(PDO::FETCH_ASSOC) ; ?> ● Exemple http://votreURL.com/compte?id=IdFalse A4 ● Une solution $qid->bindParam(':id', $id, PDO::PARAM_INT); $qid->bindParam(':id', $id, PDO::PARAM_STR, 12); $qid->execute () ; OU
Le 5 juin 2014 Langage / API / ...
Le 5 juin 2014 ● A1 – Injection API ● A2 -Violation de gestion d'authentification et de session ● A3 - Cross Site Scripting (XSS) ● A6 - Exposition de données sensibles ● A7 - Manque de contrôle d'accès au niveau fonctionnel ● A8 - Falsification de requête intersites (CSRF) ● A9 - Utilisation de composants vulnérable ● A10 - Redirections et renvois non validés
Le 5 juin 2014 Provenance coté front ● Navigation ● Formulaire – Champs : Input, upload,... ● Des API Couche Métier
Le 5 juin 2014 ✔ XSS ✔ Risque applicatif ✔ Langage de requête ✔ Ldap / Xpath ✔ Langage interprété du type ✔ eval, system, consorts ✔ Vol de sessions (cookies) ✔ Redirection de pages ✔ Scanner des pages ✔ Usurpation d'identitée / Phishing ✔ Contrôle du navigateur Principe de l'attaque Conséquence Naviguer dans les pages webs A3
Le 5 juin 2014 La navigation en mode tranquille ● Absence de protection <?php echo "Un petit risque de <script>alert ('hack')</script>"; ?> ● Avec une protection <?php echo htmlentities("Un petit risque de <script>alert ('hack')</script>"); ?> A3
Le 5 juin 2014 Contre mesures ● Données entrantes : – Valider chaque valeur (longueur, type...) filter_var() ou filter_input() – strip_tags // supprime caractère NULL – Htmlentities // balise html ● Données en sortie : – Htmlspecialchars() ; A3
Le 5 juin 2014 ✔ Suivi des utilisateurs par SESSION ID ✔ Caractéristiques utilisateur stockées coté serveur par une variable de session ✔ Gestion des états : Cookies / Get / Post ✔ Chiffrement faible ✔ Vol des données SESSION_ID si elles ne sont pas cryptées ✔ Utilisation ailleurs Principe de l'attaque Conséquence Gestion des données entrées A2
Le 5 juin 2014 Solution de contrôle (1/3) ● Prévoir la présence d'une clef de hashage caché – Générer une clef cryptée de hachage ● IP ● Navigateur utilisé ● Une durée de validité ● ... – Différencier les formulaires – Eviter la protection en MD5 pour HASH A2
Le 5 juin 2014 Solution de contrôle (2/3) ● Remède contre Session ID – Cryptage par HASH – Eviter le MD5 avec la date de connexion – Contenu aléatoire ● Oublier les champs Hidden avec des caractéristiques utilisateur A2
Le 5 juin 2014 Solution de contrôle (3/3) ● Lors de l'envoie d'un formulaire, quelques bases – If isset($_POST['string'])  { /* … */ } – If sizeof ($_POST['string'])>0 { /* ... */ } ● Attention aux superglobales $GLOBALS, $_SERVER, $_GET, $_POST, $_FILES, $_SESSION, $_REQUEST, $_ENV – $str=htmlentities ($_COOKIE['string'],ENT_QUOTES) ; A2
Le 5 juin 2014 Se protéger de PHP_SELF Exemple : <form action="<?php echo $_SERVER['PHP_SELF']; ?>"> <input type="text" name="exemple" value="reussi" /> <input type="submit" value="Submit" /> </form> ● Dans un formulaire ou construction d'une URL <?php echo htmlentities($_SERVER['PHP_SELF']); ?> A6
Le 5 juin 2014 ✔ Accéder à des pages non autorisés ✔ Modifier les droits ✔ Prise de contrôle du site ✔ Générer des actions non autorisés Principe de l'attaque Conséquence Contrôle d'accès au niveau fonctionnel A7
Le 5 juin 2014 Solution contrôle d'accès ● Exemple – http://urlSite.com/getpage – http://urlSite.com/admin_getpage ● Solutions – Vérifier le contrôle d'accès (principe identification) – Vérifier les URLs A7
Le 5 juin 2014 ✔ Trouver ✔ des données stockés / archivés en clair ✔ Espace privée non partagée ✔ Communication avec la banque ✔ Déterminer les algorithmes de cryptage faible ✔ Cible principale ✔ Mot de passes ✔ Données sensibles non chiffrées ✔ Carte bleu Principe de l'attaque Conséquence Exposition de données sensibles A6- A9- A10
Le 5 juin 2014 Filtrer les données sensibles ● Utilisation du port https if($_SERVER['SERVER_PORT'] != 443) { header('Location: https://urlDuSite.com/prive.php'); exit; } ● Vérifier le certificat A6- A9- A10 <?php if (!isset($_SERVER['SSL_CLIENT_M_SERIAL']) || !isset($_SERVER['SSL_CLIENT_V_END']) || !isset($_SERVER['SSL_CLIENT_VERIFY']) || $_SERVER['SSL_CLIENT_VERIFY'] !== 'SUCCESS' || !isset($_SERVER['SSL_CLIENT_I_DN']) ) { //FALSE; } if ($_SERVER['SSL_CLIENT_V_REMAIN'] <= 0) { // FALSE; } // TRUE; ?>
Le 5 juin 2014 ✔ Falsification de requêtes (CSRF) ✔ Modification du contenu d'une page ✔ But éviter de passer par le formulaire ✔ Conduire l'utilisateur vers un site malveillant ✔ Lui forcer la main ✔ Ex : download Principe de l'attaque Conséquence Modifier le comportement A8
Le 5 juin 2014 Imposer un comportement ● Créer un token ou un jeton de sécurité (toutes les pages) A8 <?php session_start(); $token = uniqid(rand(), true); // jeton unique $_SESSION['token'] = $token; // stockage // heure de création du jeton $_SESSION['token_time'] = time(); ?> <html><body> <form id="form" name="form" method="post" action="traitement.php"> ... <input type="hidden" name="token" id="token" value="<?php echo $token;?>"/> ... </form> </body></html> <?php session_start(); if(isset($_SESSION['token']) && isset($_SESSION['token_time']) && isset($_POST['token'])) { //Si jeton session = au formulaire if($_SESSION['token'] == $_POST['token']) { // exécution du code } } // sinon erreur ?> Passage 1 Passage 2
Le 5 juin 2014 ✔ Envoie du code SQL ● Formulaire ● GET / POST ● Cookies ● ... ✔ Contournement authentification ✔ Récupération des données de la base ✔ Récupération de fichiers ✔ Exécution de codes Principe de l'attaque Conséquence API Métier : connexion LDAP A1
Le 5 juin 2014 Comportement injection LDAP ● Formulaire exemple <input type="text" size=20 name="username"> ● Connexion Ldap String ldapSearchQuery = "(cn=" + $username + ")"; System.out.println(ldapSearchQuery); ● Solution – Valider les données avant de générer une requête de recherche A1
Le 5 juin 2014 Webservices A1 function encrypt_decrypt($action, $string) { $output = false; $encrypt_method = "AES-256-CBC"; $secret_key = 'votre clef secrete'; $secret_iv = 'vecteur aleatoire secret'; $key = hash('sha256', $secret_key); // hash // prepare une methode de cryptage sur 16 caractères $iv = substr(hash('sha256', $secret_iv), 0, 16); if( $action == 'encrypt' ) { $output = openssl_encrypt($string, $encrypt_method, $key, 0, $iv); $output = base64_encode($output); } else if( $action == 'decrypt' ){ $output = openssl_decrypt(base64_decode($string), $encrypt_method, $key, 0, $iv); } return $output; } PHP 5.4.x
Le 5 juin 2014
Le 5 juin 2014 Résumé des impacts pour PHP Classement OWASP 2013 Serveur PHPBDD X X X X X X X X A1-Failles d'injection A2-Violation d'authentification et de Session A3-Cross-Site Scripting (XSS) A4-Référence directe non sécurisée à un objet A5-Mauvaise configuration de sécurité A6-Données sensibles accessible A7-Manque de sécurité au niveau des rôles A8-Falsification de requête (CSRF) A9-Utilisation de composants connus vulnérables A10-Redirections non validées X X X NC- Exécution fichiers malicieux X X X
Le 5 juin 2014 Merci... et protégez-vous avec... @hellosct1 Réf : www.owasp.org

Recommended

La sécurité et php
La sécurité et phpLa sécurité et php
La sécurité et phpChristophe Villeneuve
 
La securite pour les développeurs au RMLL 2015
La securite pour les développeurs au RMLL 2015La securite pour les développeurs au RMLL 2015
La securite pour les développeurs au RMLL 2015Christophe Villeneuve
 
PSES - La securite pour les développeurs
PSES - La securite pour les développeursPSES - La securite pour les développeurs
PSES - La securite pour les développeursChristophe Villeneuve
 
La sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFLa sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFChristophe Villeneuve
 
Sécuriser mes applications avec ZF2
Sécuriser mes applications avec ZF2Sécuriser mes applications avec ZF2
Sécuriser mes applications avec ZF2Cyrille Grandval
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
Comprendre la securite web 2017
Comprendre la securite web 2017Comprendre la securite web 2017
Comprendre la securite web 2017Christophe Villeneuve
 
Sécurité et Quaité de code PHP
Sécurité et Quaité de code PHPSécurité et Quaité de code PHP
Sécurité et Quaité de code PHPJean-Marie Renouard
 

Recommended

La sécurité et php
La sécurité et phpLa sécurité et php
La sécurité et phpChristophe Villeneuve
 
La securite pour les développeurs au RMLL 2015
La securite pour les développeurs au RMLL 2015La securite pour les développeurs au RMLL 2015
La securite pour les développeurs au RMLL 2015Christophe Villeneuve
 
PSES - La securite pour les développeurs
PSES - La securite pour les développeursPSES - La securite pour les développeurs
PSES - La securite pour les développeursChristophe Villeneuve
 
La sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFLa sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFChristophe Villeneuve
 
Sécuriser mes applications avec ZF2
Sécuriser mes applications avec ZF2Sécuriser mes applications avec ZF2
Sécuriser mes applications avec ZF2Cyrille Grandval
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
Comprendre la securite web 2017
Comprendre la securite web 2017Comprendre la securite web 2017
Comprendre la securite web 2017Christophe Villeneuve
 
Sécurité et Quaité de code PHP
Sécurité et Quaité de code PHPSécurité et Quaité de code PHP
Sécurité et Quaité de code PHPJean-Marie Renouard
 
Mvc (5)
Mvc (5)Mvc (5)
Mvc (5)imane el mostaad
 
DDD17 - Web Applications Automated Security Testing in a Continuous Delivery...
DDD17 - Web Applications Automated Security Testing in a Continuous Delivery... DDD17 - Web Applications Automated Security Testing in a Continuous Delivery...
DDD17 - Web Applications Automated Security Testing in a Continuous Delivery...Fedir RYKHTIK
 
Solution pour un Réseau Social d'Entreprise (RSE)
Solution pour un Réseau Social d'Entreprise (RSE)Solution pour un Réseau Social d'Entreprise (RSE)
Solution pour un Réseau Social d'Entreprise (RSE)neuros
 
MVC / Frameworks PHP
MVC / Frameworks PHPMVC / Frameworks PHP
MVC / Frameworks PHPJean-Marie Renouard
 
Client base de données en PHP5
Client base de données en PHP5Client base de données en PHP5
Client base de données en PHP5Jean-Marie Renouard
 
rapport_stage_issame
rapport_stage_issamerapport_stage_issame
rapport_stage_issameAMAL Issame
 
Introduction au webmapping au-dela de google maps
Introduction au webmapping au-dela de google mapsIntroduction au webmapping au-dela de google maps
Introduction au webmapping au-dela de google mapsVisionGÉOMATIQUE2012
 
Presentation Spring, Spring MVC
Presentation Spring, Spring MVCPresentation Spring, Spring MVC
Presentation Spring, Spring MVCNathaniel Richand
 
Click and deploy - Continuous delivery avec Zend Server et Jenknins
Click and deploy - Continuous delivery avec Zend Server et JenkninsClick and deploy - Continuous delivery avec Zend Server et Jenknins
Click and deploy - Continuous delivery avec Zend Server et JenkninsSophie Beaupuis
 
Zf2++ Quelques idées sur l'avenir proche de ZF2
Zf2++ Quelques idées sur l'avenir proche de ZF2Zf2++ Quelques idées sur l'avenir proche de ZF2
Zf2++ Quelques idées sur l'avenir proche de ZF2Sophie Beaupuis
 
How Much Further Will Internet Stocks Fall? (Share Price Performance)
How Much Further Will Internet Stocks Fall? (Share Price Performance)How Much Further Will Internet Stocks Fall? (Share Price Performance)
How Much Further Will Internet Stocks Fall? (Share Price Performance)Mahesh Vellanki
 
REX Devops Docker
REX Devops DockerREX Devops Docker
REX Devops DockerRomain Chalumeau
 
Alphorm.com Formation le langage SQL
Alphorm.com Formation le langage SQLAlphorm.com Formation le langage SQL
Alphorm.com Formation le langage SQLAlphorm
 
Meetup CakePHP Amiens / 25 mars 2015
Meetup CakePHP Amiens / 25 mars 2015Meetup CakePHP Amiens / 25 mars 2015
Meetup CakePHP Amiens / 25 mars 2015Benjamin Lampérier
 
Designing Teams for Emerging Challenges
Designing Teams for Emerging ChallengesDesigning Teams for Emerging Challenges
Designing Teams for Emerging ChallengesAaron Irizarry
 
Présentation de nos MVP - F5 devCentral - Event 09-10-18
Présentation de nos MVP - F5 devCentral - Event 09-10-18Présentation de nos MVP - F5 devCentral - Event 09-10-18
Présentation de nos MVP - F5 devCentral - Event 09-10-18e-Xpert Solutions SA
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
Integrons en mode continu
Integrons en mode continuIntegrons en mode continu
Integrons en mode continuneuros
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Asma Messaoudi
 
Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceFrederic Leger
 
Accélérez le développement de vos interfaces web
Accélérez le développement de vos interfaces webAccélérez le développement de vos interfaces web
Accélérez le développement de vos interfaces webGrégoire Larreur de Farcy
 
La sécurité : ange ou démon ?
La sécurité : ange ou démon ?La sécurité : ange ou démon ?
La sécurité : ange ou démon ?Christophe Villeneuve
 

More Related Content

Viewers also liked

DDD17 - Web Applications Automated Security Testing in a Continuous Delivery...
DDD17 - Web Applications Automated Security Testing in a Continuous Delivery... DDD17 - Web Applications Automated Security Testing in a Continuous Delivery...
DDD17 - Web Applications Automated Security Testing in a Continuous Delivery...Fedir RYKHTIK
 
Solution pour un Réseau Social d'Entreprise (RSE)
Solution pour un Réseau Social d'Entreprise (RSE)Solution pour un Réseau Social d'Entreprise (RSE)
Solution pour un Réseau Social d'Entreprise (RSE)neuros
 
rapport_stage_issame
rapport_stage_issamerapport_stage_issame
rapport_stage_issameAMAL Issame
 
Introduction au webmapping au-dela de google maps
Introduction au webmapping au-dela de google mapsIntroduction au webmapping au-dela de google maps
Introduction au webmapping au-dela de google mapsVisionGÉOMATIQUE2012
 
Presentation Spring, Spring MVC
Presentation Spring, Spring MVCPresentation Spring, Spring MVC
Presentation Spring, Spring MVCNathaniel Richand
 
Click and deploy - Continuous delivery avec Zend Server et Jenknins
Click and deploy - Continuous delivery avec Zend Server et JenkninsClick and deploy - Continuous delivery avec Zend Server et Jenknins
Click and deploy - Continuous delivery avec Zend Server et JenkninsSophie Beaupuis
 
Zf2++ Quelques idées sur l'avenir proche de ZF2
Zf2++ Quelques idées sur l'avenir proche de ZF2Zf2++ Quelques idées sur l'avenir proche de ZF2
Zf2++ Quelques idées sur l'avenir proche de ZF2Sophie Beaupuis
 
How Much Further Will Internet Stocks Fall? (Share Price Performance)
How Much Further Will Internet Stocks Fall? (Share Price Performance)How Much Further Will Internet Stocks Fall? (Share Price Performance)
How Much Further Will Internet Stocks Fall? (Share Price Performance)Mahesh Vellanki
 
Alphorm.com Formation le langage SQL
Alphorm.com Formation le langage SQLAlphorm.com Formation le langage SQL
Alphorm.com Formation le langage SQLAlphorm
 
Meetup CakePHP Amiens / 25 mars 2015
Meetup CakePHP Amiens / 25 mars 2015Meetup CakePHP Amiens / 25 mars 2015
Meetup CakePHP Amiens / 25 mars 2015Benjamin Lampérier
 
Designing Teams for Emerging Challenges
Designing Teams for Emerging ChallengesDesigning Teams for Emerging Challenges
Designing Teams for Emerging ChallengesAaron Irizarry
 

Viewers also liked (15)

Mvc (5)
Mvc (5)Mvc (5)
Mvc (5)
 
DDD17 - Web Applications Automated Security Testing in a Continuous Delivery...
DDD17 - Web Applications Automated Security Testing in a Continuous Delivery... DDD17 - Web Applications Automated Security Testing in a Continuous Delivery...
DDD17 - Web Applications Automated Security Testing in a Continuous Delivery...
 
Solution pour un Réseau Social d'Entreprise (RSE)
Solution pour un Réseau Social d'Entreprise (RSE)Solution pour un Réseau Social d'Entreprise (RSE)
Solution pour un Réseau Social d'Entreprise (RSE)
 
MVC / Frameworks PHP
MVC / Frameworks PHPMVC / Frameworks PHP
MVC / Frameworks PHP
 
Client base de données en PHP5
Client base de données en PHP5Client base de données en PHP5
Client base de données en PHP5
 
rapport_stage_issame
rapport_stage_issamerapport_stage_issame
rapport_stage_issame
 
Introduction au webmapping au-dela de google maps
Introduction au webmapping au-dela de google mapsIntroduction au webmapping au-dela de google maps
Introduction au webmapping au-dela de google maps
 
Presentation Spring, Spring MVC
Presentation Spring, Spring MVCPresentation Spring, Spring MVC
Presentation Spring, Spring MVC
 
Click and deploy - Continuous delivery avec Zend Server et Jenknins
Click and deploy - Continuous delivery avec Zend Server et JenkninsClick and deploy - Continuous delivery avec Zend Server et Jenknins
Click and deploy - Continuous delivery avec Zend Server et Jenknins
 
Zf2++ Quelques idées sur l'avenir proche de ZF2
Zf2++ Quelques idées sur l'avenir proche de ZF2Zf2++ Quelques idées sur l'avenir proche de ZF2
Zf2++ Quelques idées sur l'avenir proche de ZF2
 
How Much Further Will Internet Stocks Fall? (Share Price Performance)
How Much Further Will Internet Stocks Fall? (Share Price Performance)How Much Further Will Internet Stocks Fall? (Share Price Performance)
How Much Further Will Internet Stocks Fall? (Share Price Performance)
 
REX Devops Docker
REX Devops DockerREX Devops Docker
REX Devops Docker
 
Alphorm.com Formation le langage SQL
Alphorm.com Formation le langage SQLAlphorm.com Formation le langage SQL
Alphorm.com Formation le langage SQL
 
Meetup CakePHP Amiens / 25 mars 2015
Meetup CakePHP Amiens / 25 mars 2015Meetup CakePHP Amiens / 25 mars 2015
Meetup CakePHP Amiens / 25 mars 2015
 
Designing Teams for Emerging Challenges
Designing Teams for Emerging ChallengesDesigning Teams for Emerging Challenges
Designing Teams for Emerging Challenges
 

Similar to La sécurité et php

Présentation de nos MVP - F5 devCentral - Event 09-10-18
Présentation de nos MVP - F5 devCentral - Event 09-10-18Présentation de nos MVP - F5 devCentral - Event 09-10-18
Présentation de nos MVP - F5 devCentral - Event 09-10-18e-Xpert Solutions SA
 
Integrons en mode continu
Integrons en mode continuIntegrons en mode continu
Integrons en mode continuneuros
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Asma Messaoudi
 
Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceFrederic Leger
 
Accélérez le développement de vos interfaces web
Accélérez le développement de vos interfaces webAccélérez le développement de vos interfaces web
Accélérez le développement de vos interfaces webGrégoire Larreur de Farcy
 
Epitech securite-2012.key
Epitech securite-2012.keyEpitech securite-2012.key
Epitech securite-2012.keyDamien Seguy
 
php2 : formulaire-session-PDO
php2 : formulaire-session-PDOphp2 : formulaire-session-PDO
php2 : formulaire-session-PDOAbdoulaye Dieng
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceCertilience
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité webdavystoffel
 
Guide de securite php
Guide de securite phpGuide de securite php
Guide de securite phpbelfkih
 
Les Web Services en 60 diapos chrono !
Les Web Services en 60 diapos chrono !Les Web Services en 60 diapos chrono !
Les Web Services en 60 diapos chrono !Olivier Le Goaër
 
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihmTelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihmMarc Hage Chahine
 

Similar to La sécurité et php (20)

Présentation de nos MVP - F5 devCentral - Event 09-10-18
Présentation de nos MVP - F5 devCentral - Event 09-10-18Présentation de nos MVP - F5 devCentral - Event 09-10-18
Présentation de nos MVP - F5 devCentral - Event 09-10-18
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
 
Integrons en mode continu
Integrons en mode continuIntegrons en mode continu
Integrons en mode continu
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02
 
Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a Service
 
Accélérez le développement de vos interfaces web
Accélérez le développement de vos interfaces webAccélérez le développement de vos interfaces web
Accélérez le développement de vos interfaces web
 
La sécurité : ange ou démon ?
La sécurité : ange ou démon ?La sécurité : ange ou démon ?
La sécurité : ange ou démon ?
 
Epitech securite-2012.key
Epitech securite-2012.keyEpitech securite-2012.key
Epitech securite-2012.key
 
php2 : formulaire-session-PDO
php2 : formulaire-session-PDOphp2 : formulaire-session-PDO
php2 : formulaire-session-PDO
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Des tests modernes pour Drupal
Des tests modernes pour DrupalDes tests modernes pour Drupal
Des tests modernes pour Drupal
 
Les tests de securite devops
Les tests de securite devopsLes tests de securite devops
Les tests de securite devops
 
Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open Source
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité web
 
Guide de securite php
Guide de securite phpGuide de securite php
Guide de securite php
 
Cakephp
CakephpCakephp
Cakephp
 
Les Web Services en 60 diapos chrono !
Les Web Services en 60 diapos chrono !Les Web Services en 60 diapos chrono !
Les Web Services en 60 diapos chrono !
 
Les tests de sécurité
Les tests de sécuritéLes tests de sécurité
Les tests de sécurité
 
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihmTelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
 
Sécurité MySQL
Sécurité MySQLSécurité MySQL
Sécurité MySQL
 

More from neuros

Le service workers
Le service workersLe service workers
Le service workersneuros
 
Proteger votre vie privee sur internet
Proteger votre vie privee sur internetProteger votre vie privee sur internet
Proteger votre vie privee sur internetneuros
 
Le pouvoir d'être Visible ou Invisible sur Internet
Le pouvoir d'être Visible ou Invisible sur InternetLe pouvoir d'être Visible ou Invisible sur Internet
Le pouvoir d'être Visible ou Invisible sur Internetneuros
 
Vos projets web sur les plateformes ouvertes
Vos projets web sur les plateformes ouvertesVos projets web sur les plateformes ouvertes
Vos projets web sur les plateformes ouvertesneuros
 
Livre Drupal avance, un CMS pour développeurs
Livre Drupal avance, un CMS pour développeursLivre Drupal avance, un CMS pour développeurs
Livre Drupal avance, un CMS pour développeursneuros
 
Http2 les impacts dans le web
Http2 les impacts dans le webHttp2 les impacts dans le web
Http2 les impacts dans le webneuros
 
Php 7 Think php7
Php 7 Think php7Php 7 Think php7
Php 7 Think php7neuros
 
RGAA 3 dans un Web Accessible
RGAA 3 dans un Web AccessibleRGAA 3 dans un Web Accessible
RGAA 3 dans un Web Accessibleneuros
 
Les effets de la loi Hamon
Les effets de la loi HamonLes effets de la loi Hamon
Les effets de la loi Hamonneuros
 
Les protocoles temps réels
Les protocoles temps réelsLes protocoles temps réels
Les protocoles temps réelsneuros
 
Vectoriel et 3d en html5 - Animation newschool (partie 2)
Vectoriel et 3d en html5 - Animation newschool (partie 2)Vectoriel et 3d en html5 - Animation newschool (partie 2)
Vectoriel et 3d en html5 - Animation newschool (partie 2)neuros
 
Améliorer les performances SQL
Améliorer les performances SQLAméliorer les performances SQL
Améliorer les performances SQLneuros
 
Newschool partie1 methode HTML5
Newschool partie1 methode HTML5Newschool partie1 methode HTML5
Newschool partie1 methode HTML5neuros
 
Effectuer des tests modernes pour drupal
Effectuer des tests modernes pour drupalEffectuer des tests modernes pour drupal
Effectuer des tests modernes pour drupalneuros
 
Integration Drupal systemes d'informations
Integration Drupal systemes d'informationsIntegration Drupal systemes d'informations
Integration Drupal systemes d'informationsneuros
 
La maitrise des contenus hors internet
La maitrise des contenus hors internetLa maitrise des contenus hors internet
La maitrise des contenus hors internetneuros
 
La mémoire et PHP
La mémoire et PHPLa mémoire et PHP
La mémoire et PHPneuros
 
Pourquoi Firefox OS
Pourquoi Firefox OSPourquoi Firefox OS
Pourquoi Firefox OSneuros
 
Un CRM...sugarCRM
Un CRM...sugarCRMUn CRM...sugarCRM
Un CRM...sugarCRMneuros
 
Neuros Digital
Neuros DigitalNeuros Digital
Neuros Digitalneuros
 

More from neuros (20)

Le service workers
Le service workersLe service workers
Le service workers
 
Proteger votre vie privee sur internet
Proteger votre vie privee sur internetProteger votre vie privee sur internet
Proteger votre vie privee sur internet
 
Le pouvoir d'être Visible ou Invisible sur Internet
Le pouvoir d'être Visible ou Invisible sur InternetLe pouvoir d'être Visible ou Invisible sur Internet
Le pouvoir d'être Visible ou Invisible sur Internet
 
Vos projets web sur les plateformes ouvertes
Vos projets web sur les plateformes ouvertesVos projets web sur les plateformes ouvertes
Vos projets web sur les plateformes ouvertes
 
Livre Drupal avance, un CMS pour développeurs
Livre Drupal avance, un CMS pour développeursLivre Drupal avance, un CMS pour développeurs
Livre Drupal avance, un CMS pour développeurs
 
Http2 les impacts dans le web
Http2 les impacts dans le webHttp2 les impacts dans le web
Http2 les impacts dans le web
 
Php 7 Think php7
Php 7 Think php7Php 7 Think php7
Php 7 Think php7
 
RGAA 3 dans un Web Accessible
RGAA 3 dans un Web AccessibleRGAA 3 dans un Web Accessible
RGAA 3 dans un Web Accessible
 
Les effets de la loi Hamon
Les effets de la loi HamonLes effets de la loi Hamon
Les effets de la loi Hamon
 
Les protocoles temps réels
Les protocoles temps réelsLes protocoles temps réels
Les protocoles temps réels
 
Vectoriel et 3d en html5 - Animation newschool (partie 2)
Vectoriel et 3d en html5 - Animation newschool (partie 2)Vectoriel et 3d en html5 - Animation newschool (partie 2)
Vectoriel et 3d en html5 - Animation newschool (partie 2)
 
Améliorer les performances SQL
Améliorer les performances SQLAméliorer les performances SQL
Améliorer les performances SQL
 
Newschool partie1 methode HTML5
Newschool partie1 methode HTML5Newschool partie1 methode HTML5
Newschool partie1 methode HTML5
 
Effectuer des tests modernes pour drupal
Effectuer des tests modernes pour drupalEffectuer des tests modernes pour drupal
Effectuer des tests modernes pour drupal
 
Integration Drupal systemes d'informations
Integration Drupal systemes d'informationsIntegration Drupal systemes d'informations
Integration Drupal systemes d'informations
 
La maitrise des contenus hors internet
La maitrise des contenus hors internetLa maitrise des contenus hors internet
La maitrise des contenus hors internet
 
La mémoire et PHP
La mémoire et PHPLa mémoire et PHP
La mémoire et PHP
 
Pourquoi Firefox OS
Pourquoi Firefox OSPourquoi Firefox OS
Pourquoi Firefox OS
 
Un CRM...sugarCRM
Un CRM...sugarCRMUn CRM...sugarCRM
Un CRM...sugarCRM
 
Neuros Digital
Neuros DigitalNeuros Digital
Neuros Digital
 

La sécurité et php

  • 1. La sécurité et PHP Christophe Villeneuve @hellosct1
  • 2. Qui... est Christophe Villeneuve ?
  • 3. Le 5 juin 2014 OWASP 2013 ✔ Failles d'injection ✔ Violation d'authentification et de Session ✔ Cross-Site Scripting (XSS) ✔ Référence directe non sécurisée à un objet ✔ Mauvaise configuration de sécurité ✔ Données sensibles accessible ✔ Manque de sécurité au niveau des rôles ✔ Falsification de requête (CSRF) ✔ Utilisation de composants connus vulnérables ✔ Redirections non validées
  • 4. Le 5 juin 2014 A M P Rapport OWASP 2013
  • 5. Le 5 juin 2014 Sommaire ● A => Apache => Architecture / Serveur ● M => MySQL => Base de données ● P => PHP => Langage / webService / API
  • 6. Le 5 juin 2014 Architecture / Serveur
  • 7. Le 5 juin 2014 ● A1 - Injection en ligne de commande ● A5 - Mauvaise configuration sécurité ● A6 - Exposition de données sensibles ● NC - Exécution fichiers malicieux
  • 8. Le 5 juin 2014 ✔ Configuration non à jour ✔ Pas de maintenance ✔ Mise à disposition des fonctions ✔ Exec ✔ System ● Autre manière de prise en main du système ● Serveur Zombie ● Principe de l'attaque Conséquence Injection de ligne de commandes A1
  • 9. Le 5 juin 2014 Désactiver dans php.ini – exec – passthru – shell_exec – system – proc_open – popen – curl_exec – curl_multi_exec – parse_ini_file – show_source A1 Affiche le nom de l'utilisateur <?php echo exec('whoami'); ?> Par conséquent : safe_mode = Off allow_url_fopen=Off allow_url_include=Off
  • 10. Le 5 juin 2014 Cacher le contenu des dossiers ● Ex : http://votreURL.com/nomDossier ● Solution : fichier index.php <?php header("Location: ../index.php"); die() ; ?> A5
  • 11. Le 5 juin 2014 ✔ Exécuter un fichier (ex : PHPShell) ✔ Accès en écriture ✔ FTP, SSH, HTTP PUT, WebDav... ✔ Absence de contrôle du dépôt des fichiers ✔ Fonction include() ● Prise en main du système ● Accéder à des informations non autorisées Principe de l'attaque Conséquence Exécution fichier malicieux NC
  • 12. Le 5 juin 2014 Pour se protéger des fichiers malicieux ● <?php Include ($file) ; ?> – Ex : http://votreURL.com/file=toto.php ● Solution – http://votreURL.com/toto.php ● Ecraser le contenu de la variable – http://urlPirate.com/hack.gif ● Solution dans php.ini – allow_url_fopen = off A6
  • 13. Le 5 juin 2014 php_self non bloqué © Source : D4FR
  • 14. Le 5 juin 2014 php_self non bloqué (autre vue) © Source : D4FR
  • 15. Le 5 juin 2014 Protection de base ● Php.ini – safe_mode = off ● Verrouillez les dossiers – .htaccess – Chmod (444)  ou 665 ou 775 ● HTTPs / SSL A6
  • 16. Le 5 juin 2014 Base de données
  • 17. Le 5 juin 2014 ● A1 - Injection SQL ● A4 - Référence direct non sécurisés à un objet
  • 18. Le 5 juin 2014 ✔ Envoie du code SQL ✔ Formulaire ✔ GET / POST ✔ Cookies ✔ ... ✔ Contournement authentification ✔ Récupération des données de la base ✔ Récupération de fichiers ✔ Exécution de codes Principe de l'attaque Conséquence Injection SQL A1
  • 19. Le 5 juin 2014 Utilisation du SQL ● Risque : Requête avec des simples quotes SELECT * FROM 'users' WHERE 'username'='$login' AND 'password'='$pass' ● Saisie : $login = hello $pass = hello SELECT * FROM 'users' WHERE 'username'='hello' AND 'password'='hello' ● Saisie : $login = ' OR '1'='1' $pass =  ' OR '1'='1' SELECT * FROM 'users' WHERE 'username'='' OR '1'='1'' AND 'password'='' OR '1'='1'' ● Saisie : $login = ' OR 1=1"); drop table users; $pass = SELECT * FROM 'users' WHERE 'username'='' OR 1=1"); drop table users;' AND 'password'='' TRUE TRUE TRUE Sauf si BDD lecture A1
  • 20. Le 5 juin 2014 Se protéger contre injection SQL ● addslashes() – Ajoute des antislashs dans une chaîne SELECT * FROM 'users' WHERE 'username'=' ' OR '1'='1' ' AND 'password'=' ' OR '1'='1' ' mysqli_real_escape_string() – Protège les caractères spéciaux ● pdo_quote() – Place des guillemets simples autour d'une chaîne entrée A1 les guillemets simples ' les guillemets doubles " les slashes / les caractères NULL
  • 21. Le 5 juin 2014 ✔ Absence de contrôle dans une requête ✔ Récupération d'une valeur visible + modification ✔ Trouver d'autres données et informations ✔ ✔ Usurpation d'identifiant ✔ Effectué des opérations non prévues initialement Principe de l'attaque Conséquence Modifier les arguments dynamiquement A4
  • 22. Le 5 juin 2014 Comportement des objets ● Mauvaise utilisation <?php $sql = "SELECT * FROM users WHERE id = :id " ; $qid = $cnx->prepare($sql); $qid->execute (array (':id', $id) ) ; $rows = $qid->fecthAll(PDO::FETCH_ASSOC) ; ?> ● Exemple http://votreURL.com/compte?id=IdFalse A4 ● Une solution $qid->bindParam(':id', $id, PDO::PARAM_INT); $qid->bindParam(':id', $id, PDO::PARAM_STR, 12); $qid->execute () ; OU
  • 23. Le 5 juin 2014 Langage / API / ...
  • 24. Le 5 juin 2014 ● A1 – Injection API ● A2 -Violation de gestion d'authentification et de session ● A3 - Cross Site Scripting (XSS) ● A6 - Exposition de données sensibles ● A7 - Manque de contrôle d'accès au niveau fonctionnel ● A8 - Falsification de requête intersites (CSRF) ● A9 - Utilisation de composants vulnérable ● A10 - Redirections et renvois non validés
  • 25. Le 5 juin 2014 Provenance coté front ● Navigation ● Formulaire – Champs : Input, upload,... ● Des API Couche Métier
  • 26. Le 5 juin 2014 ✔ XSS ✔ Risque applicatif ✔ Langage de requête ✔ Ldap / Xpath ✔ Langage interprété du type ✔ eval, system, consorts ✔ Vol de sessions (cookies) ✔ Redirection de pages ✔ Scanner des pages ✔ Usurpation d'identitée / Phishing ✔ Contrôle du navigateur Principe de l'attaque Conséquence Naviguer dans les pages webs A3
  • 27. Le 5 juin 2014 La navigation en mode tranquille ● Absence de protection <?php echo "Un petit risque de <script>alert ('hack')</script>"; ?> ● Avec une protection <?php echo htmlentities("Un petit risque de <script>alert ('hack')</script>"); ?> A3
  • 28. Le 5 juin 2014 Contre mesures ● Données entrantes : – Valider chaque valeur (longueur, type...) filter_var() ou filter_input() – strip_tags // supprime caractère NULL – Htmlentities // balise html ● Données en sortie : – Htmlspecialchars() ; A3
  • 29. Le 5 juin 2014 ✔ Suivi des utilisateurs par SESSION ID ✔ Caractéristiques utilisateur stockées coté serveur par une variable de session ✔ Gestion des états : Cookies / Get / Post ✔ Chiffrement faible ✔ Vol des données SESSION_ID si elles ne sont pas cryptées ✔ Utilisation ailleurs Principe de l'attaque Conséquence Gestion des données entrées A2
  • 30. Le 5 juin 2014 Solution de contrôle (1/3) ● Prévoir la présence d'une clef de hashage caché – Générer une clef cryptée de hachage ● IP ● Navigateur utilisé ● Une durée de validité ● ... – Différencier les formulaires – Eviter la protection en MD5 pour HASH A2
  • 31. Le 5 juin 2014 Solution de contrôle (2/3) ● Remède contre Session ID – Cryptage par HASH – Eviter le MD5 avec la date de connexion – Contenu aléatoire ● Oublier les champs Hidden avec des caractéristiques utilisateur A2
  • 32. Le 5 juin 2014 Solution de contrôle (3/3) ● Lors de l'envoie d'un formulaire, quelques bases – If isset($_POST['string'])  { /* … */ } – If sizeof ($_POST['string'])>0 { /* ... */ } ● Attention aux superglobales $GLOBALS, $_SERVER, $_GET, $_POST, $_FILES, $_SESSION, $_REQUEST, $_ENV – $str=htmlentities ($_COOKIE['string'],ENT_QUOTES) ; A2
  • 33. Le 5 juin 2014 Se protéger de PHP_SELF Exemple : <form action="<?php echo $_SERVER['PHP_SELF']; ?>"> <input type="text" name="exemple" value="reussi" /> <input type="submit" value="Submit" /> </form> ● Dans un formulaire ou construction d'une URL <?php echo htmlentities($_SERVER['PHP_SELF']); ?> A6
  • 34. Le 5 juin 2014 ✔ Accéder à des pages non autorisés ✔ Modifier les droits ✔ Prise de contrôle du site ✔ Générer des actions non autorisés Principe de l'attaque Conséquence Contrôle d'accès au niveau fonctionnel A7
  • 35. Le 5 juin 2014 Solution contrôle d'accès ● Exemple – http://urlSite.com/getpage – http://urlSite.com/admin_getpage ● Solutions – Vérifier le contrôle d'accès (principe identification) – Vérifier les URLs A7
  • 36. Le 5 juin 2014 ✔ Trouver ✔ des données stockés / archivés en clair ✔ Espace privée non partagée ✔ Communication avec la banque ✔ Déterminer les algorithmes de cryptage faible ✔ Cible principale ✔ Mot de passes ✔ Données sensibles non chiffrées ✔ Carte bleu Principe de l'attaque Conséquence Exposition de données sensibles A6- A9- A10
  • 37. Le 5 juin 2014 Filtrer les données sensibles ● Utilisation du port https if($_SERVER['SERVER_PORT'] != 443) { header('Location: https://urlDuSite.com/prive.php'); exit; } ● Vérifier le certificat A6- A9- A10 <?php if (!isset($_SERVER['SSL_CLIENT_M_SERIAL']) || !isset($_SERVER['SSL_CLIENT_V_END']) || !isset($_SERVER['SSL_CLIENT_VERIFY']) || $_SERVER['SSL_CLIENT_VERIFY'] !== 'SUCCESS' || !isset($_SERVER['SSL_CLIENT_I_DN']) ) { //FALSE; } if ($_SERVER['SSL_CLIENT_V_REMAIN'] <= 0) { // FALSE; } // TRUE; ?>
  • 38. Le 5 juin 2014 ✔ Falsification de requêtes (CSRF) ✔ Modification du contenu d'une page ✔ But éviter de passer par le formulaire ✔ Conduire l'utilisateur vers un site malveillant ✔ Lui forcer la main ✔ Ex : download Principe de l'attaque Conséquence Modifier le comportement A8
  • 39. Le 5 juin 2014 Imposer un comportement ● Créer un token ou un jeton de sécurité (toutes les pages) A8 <?php session_start(); $token = uniqid(rand(), true); // jeton unique $_SESSION['token'] = $token; // stockage // heure de création du jeton $_SESSION['token_time'] = time(); ?> <html><body> <form id="form" name="form" method="post" action="traitement.php"> ... <input type="hidden" name="token" id="token" value="<?php echo $token;?>"/> ... </form> </body></html> <?php session_start(); if(isset($_SESSION['token']) && isset($_SESSION['token_time']) && isset($_POST['token'])) { //Si jeton session = au formulaire if($_SESSION['token'] == $_POST['token']) { // exécution du code } } // sinon erreur ?> Passage 1 Passage 2
  • 40. Le 5 juin 2014 ✔ Envoie du code SQL ● Formulaire ● GET / POST ● Cookies ● ... ✔ Contournement authentification ✔ Récupération des données de la base ✔ Récupération de fichiers ✔ Exécution de codes Principe de l'attaque Conséquence API Métier : connexion LDAP A1
  • 41. Le 5 juin 2014 Comportement injection LDAP ● Formulaire exemple <input type="text" size=20 name="username"> ● Connexion Ldap String ldapSearchQuery = "(cn=" + $username + ")"; System.out.println(ldapSearchQuery); ● Solution – Valider les données avant de générer une requête de recherche A1
  • 42. Le 5 juin 2014 Webservices A1 function encrypt_decrypt($action, $string) { $output = false; $encrypt_method = "AES-256-CBC"; $secret_key = 'votre clef secrete'; $secret_iv = 'vecteur aleatoire secret'; $key = hash('sha256', $secret_key); // hash // prepare une methode de cryptage sur 16 caractères $iv = substr(hash('sha256', $secret_iv), 0, 16); if( $action == 'encrypt' ) { $output = openssl_encrypt($string, $encrypt_method, $key, 0, $iv); $output = base64_encode($output); } else if( $action == 'decrypt' ){ $output = openssl_decrypt(base64_decode($string), $encrypt_method, $key, 0, $iv); } return $output; } PHP 5.4.x
  • 43. Le 5 juin 2014
  • 44. Le 5 juin 2014 Résumé des impacts pour PHP Classement OWASP 2013 Serveur PHPBDD X X X X X X X X A1-Failles d'injection A2-Violation d'authentification et de Session A3-Cross-Site Scripting (XSS) A4-Référence directe non sécurisée à un objet A5-Mauvaise configuration de sécurité A6-Données sensibles accessible A7-Manque de sécurité au niveau des rôles A8-Falsification de requête (CSRF) A9-Utilisation de composants connus vulnérables A10-Redirections non validées X X X NC- Exécution fichiers malicieux X X X
  • 45. Le 5 juin 2014 Merci... et protégez-vous avec... @hellosct1 Réf : www.owasp.org