SlideShare ist ein Scribd-Unternehmen logo

Segurança PHP em

C
Campus Party Brasil

O documento discute princípios e técnicas de segurança em PHP, incluindo aplicar camadas de segurança, classificar informações confidenciais, filtrar inputs, escapar outputs, e configurações de segurança como register_globals e magic_quotes_gpc.

Technologie
1 von 61
Downloaden Sie, um offline zu lesen
SEGURANÇA EM PHP Augusto Pascutti Friday, January 29, 2010
Augusto Pascutti 4 anos de experiência Zend Certified Engineer Co-Fundador PHPSP Host PHPSPCast Habari,CakePHP Friday, January 29, 2010
Segurança Friday, January 29, 2010
Princípios Se mantenha a eles e você terá: Um usuário feliz Um patrão feliz Finais de Semana e quem sabe férias Friday, January 29, 2010
Segurança é ... Friday, January 29, 2010
como um ogro ... Friday, January 29, 2010
Que são como cebolas ! Friday, January 29, 2010
Segurança em camadas Segurança nunca é demais Segurança em profundidade Aplique camadas de segurança em tudo que puder Não conte com a bondade no mundo Friday, January 29, 2010
Informação Confidencial Friday, January 29, 2010
Informação Confidencial Classifique tudo que for sensível Impeça o acesso a essa informação Lei do menor privilégio Se o usuário não precisa ver, não deixe. Friday, January 29, 2010
Segurança x Usabilidade Shozu.com Friday, January 29, 2010
Segurança x Usabilidade reCaptcha Friday, January 29, 2010
Segurança x Usabilidade Procure implementar segurança transparente ao usuário Se não for possível: Pense no Risco e na Usabilidade Tenha em mente que dependemos de usuários felizes NUNCA esqueça da usabilidade Friday, January 29, 2010
Segurança x Usabilidade Qual o animal da figura ? Friday, January 29, 2010
Vigie sempre Nunca confie no usuário Nunca confie em outras aplicações Nunca confie. Mantenha registro da onde, de quem e quando a informação for gerada Friday, January 29, 2010
Filtre o INPUT Identifique o input Filtre o input Friday, January 29, 2010
Identificando Input O input pode vir de diversos lugares Formulário Outra aplicação Sistema Friday, January 29, 2010
Filtrando Friday, January 29, 2010
Filtrando Friday, January 29, 2010
Filtrando Friday, January 29, 2010
Filtrando Friday, January 29, 2010
Filtrando Friday, January 29, 2010
Filtrando Friday, January 29, 2010
Filtrando Friday, January 29, 2010
Filtrando Friday, January 29, 2010
Filtrando Friday, January 29, 2010
Escape o Output O que é output ? echo, print, sprintf <?= Na grande maioria, o destino é o navegador Escapar HTML Friday, January 29, 2010
Escape o Output Friday, January 29, 2010
Escape o Output Friday, January 29, 2010
Escape o Output Friday, January 29, 2010
htmlentities() Converte TODO caractere para entidade HTML correspondente Segundo e terceiro parâmetro são opcionais Segundo: como as aspas (duplas e simples) seão tratadas Padrão: ENT_COMPAT ENT_QUOTES: Converte ambas para entidade HTML Terceiro: encoding do output Padrão: ISO-8859-1 Friday, January 29, 2010
Escape o Output Friday, January 29, 2010
Brindes Extensão dos arquivos sempre “.php” Dentro do DocRoot, só o necessário Mantenha seu código simples e encapsulado Favoreça Orientação a Objetos Friday, January 29, 2010
TOP 10 OWASP Lista de riscos de Segurança (rc1) de 2010 Injection XSS Quebra de Autenticação e Problemas de Sessões Referências não seguras a Objetos CSRF Erros de Configuração Falhas ao restringir acesso a URLs Redirecionamentos e Encaminhamentos não seguros Métodos de criptografia não seguros Segurança insuficiente no transporte de dados Friday, January 29, 2010
Sql Injection O que é ? Envio de comandos não tratados pela aplicação para o interpretador Impacto Toda a base de dados pode ser lida ou modificada Pode garantir acesso ao banco de dados ou até ao Sistema Operacional Friday, January 29, 2010
Cross Site Scripting (XSS) O que é ? Dados do atacante são enviados ao navegador do cliente Impacto Roubo de sessão, de dados sensíveis, phishing Friday, January 29, 2010
Cross Site Request Forgery (CSRF) O que é ? O navegador é “enganado” e envia um comando a um site vulnerável Impacto Iniciar transações (tranferência, logout, cancelamento) Acesso sensível a dados Mudança de dados da conta Friday, January 29, 2010
CSRF Friday, January 29, 2010
CSRF Friday, January 29, 2010
CSRF <img src="http://loja/comprar.php?quant=100" /> Friday, January 29, 2010
CSRF Friday, January 29, 2010
CSRF Friday, January 29, 2010
CSRF Friday, January 29, 2010
Problemas de Configuração O que é ? Configuração de rede e do servidor de aplicação Impacto Acesso ao Sistema Operacional através de um problema conhecido Acesso a dados da aplicação Friday, January 29, 2010
allow_url_fopen Permite acesso a recursos remotos Valor padrão: On Aliado ao ‘allow_url_include’ (> 5.2) é muito perigoso Friday, January 29, 2010
allow_url_fopen $conteudo = file_get_contents(“http://www.google.com”) Friday, January 29, 2010
allow_url_fopen include “http://www.bad-bad-site.com” Friday, January 29, 2010
register_globals Exporta índices de super globais para variáveis comuns Impede que se identifique a origem do dado Padrão < 4.2: On >4.2: Off Friday, January 29, 2010
register_globals Friday, January 29, 2010
register_globals Friday, January 29, 2010
register_globals Friday, January 29, 2010
magic_quotes_gpc Escapa todos os dados em $_GET, $_POST e $_COOKIE Usa addslashes() e não escape nativo do seu banco Complica seu algoritmo de filtro Padrão: On Obsoleto no PHP 5.3 Removido do PHP 6 Friday, January 29, 2010
display_errors Exibe no output erros do PHP DEVE ser usado no desenvolvimento DEVE ser desligado na produção Padrão: On Friday, January 29, 2010
error_reporting Controla os níveis de erros que devem ser exibidos Ajuda na identificação de erros e boas práticas Recomendado: -1 Friday, January 29, 2010
safe_mode Restringe algumas funcões tidas como prejudiciais Verifica se o dono do arquivo a ser executado é o mesmo do script em execução Melhora a segurança Não é suficiente Padrão: Off Friday, January 29, 2010
Acesso a URLs Restritas O que é? Permitir que um usuário possa forjar uma autorização a uma URL sensível Impacto Permitir ações privilegiadas a qualquer pessoa Friday, January 29, 2010
Redirecionamentos Inválidos O que é? Enviar o usuário para uma URL não valida Impacto Phishing Friday, January 29, 2010
Criptografia Não Segura O que é? Falha na identificação de todos os dados que devem ser criptografados Uso de criptografia não segura (md5, sha1) Impacto Acesso a dados sensíveis Solução mcrypt Friday, January 29, 2010
Transporte de dados O que é? Falta de segurança na troca de informações sensíveis Impacto Acesso a dados sensíveis Solução SSL ou TLS para transporte dos dados Friday, January 29, 2010
Perguntas ? Augusto Pascutti augusto@phpsp.org.br @augustohp Friday, January 29, 2010
Referências Essential PHP Security - Chris Chiflett - O’Reilly http://www.owasp.org/ http://phpsp.org.br/category/phpsp/phpspcast/ Segurança em PHP - Márcio Pessoa - Novatec Friday, January 29, 2010

Empfohlen

25 years of cool space projects
25 years of cool space projects25 years of cool space projects
25 years of cool space projectsCampus Party Brasil
 
Mvc
MvcMvc
MvcCampus Party Brasil
 
De uma garagem para a democratização do comércio on-line
De uma garagem para a democratização do comércio on-lineDe uma garagem para a democratização do comércio on-line
De uma garagem para a democratização do comércio on-lineCampus Party Brasil
 
Momento telefônica steve crocker
Momento telefônica steve crockerMomento telefônica steve crocker
Momento telefônica steve crockerCampus Party Brasil
 
Music hack day
Music hack day Music hack day
Music hack day Campus Party Brasil
 
Cpbr2011
Cpbr2011Cpbr2011
Cpbr2011Campus Party Brasil
 
A Tecnologia Java Livre
A Tecnologia Java LivreA Tecnologia Java Livre
A Tecnologia Java LivreCampus Party Brasil
 
Momento telefonica
Momento telefonicaMomento telefonica
Momento telefonicaCampus Party Brasil
 

Empfohlen

25 years of cool space projects
25 years of cool space projects25 years of cool space projects
25 years of cool space projectsCampus Party Brasil
 
Mvc
MvcMvc
MvcCampus Party Brasil
 
De uma garagem para a democratização do comércio on-line
De uma garagem para a democratização do comércio on-lineDe uma garagem para a democratização do comércio on-line
De uma garagem para a democratização do comércio on-lineCampus Party Brasil
 
Momento telefônica steve crocker
Momento telefônica steve crockerMomento telefônica steve crocker
Momento telefônica steve crockerCampus Party Brasil
 
Music hack day
Music hack day Music hack day
Music hack day Campus Party Brasil
 
Cpbr2011
Cpbr2011Cpbr2011
Cpbr2011Campus Party Brasil
 
A Tecnologia Java Livre
A Tecnologia Java LivreA Tecnologia Java Livre
A Tecnologia Java LivreCampus Party Brasil
 
Momento telefonica
Momento telefonicaMomento telefonica
Momento telefonicaCampus Party Brasil
 
Azure Services Platform Overview
Azure Services Platform OverviewAzure Services Platform Overview
Azure Services Platform OverviewCampus Party Brasil
 
Computação acelerada – a era das ap us roberto brandão, ciência
Computação acelerada – a era das ap us roberto brandão, ciênciaComputação acelerada – a era das ap us roberto brandão, ciência
Computação acelerada – a era das ap us roberto brandão, ciênciaCampus Party Brasil
 
Arduino cp
Arduino cpArduino cp
Arduino cpCampus Party Brasil
 
Asp Net 4 0 Para Iniciantes Cp 2010
Asp Net 4 0 Para Iniciantes Cp 2010Asp Net 4 0 Para Iniciantes Cp 2010
Asp Net 4 0 Para Iniciantes Cp 2010Campus Party Brasil
 
Adptando sites paradispositivos moveis
Adptando sites paradispositivos moveisAdptando sites paradispositivos moveis
Adptando sites paradispositivos moveisCampus Party Brasil
 
Ginga ncl-cpbr4
Ginga ncl-cpbr4Ginga ncl-cpbr4
Ginga ncl-cpbr4Campus Party Brasil
 
Utilização de APIs do Windows Live
Utilização de APIs do Windows LiveUtilização de APIs do Windows Live
Utilização de APIs do Windows LiveCampus Party Brasil
 
DESIGN Palestra: Motion Design
DESIGN Palestra: Motion DesignDESIGN Palestra: Motion Design
DESIGN Palestra: Motion DesignCampus Party Brasil
 
Jono mozilla-talk
Jono mozilla-talkJono mozilla-talk
Jono mozilla-talkCampus Party Brasil
 
Perspectives On Microsoft And Open Source F Y 10 Customer Presentation
Perspectives On Microsoft And Open Source F Y 10 Customer PresentationPerspectives On Microsoft And Open Source F Y 10 Customer Presentation
Perspectives On Microsoft And Open Source F Y 10 Customer PresentationCampus Party Brasil
 
2011 01-18 mongo-db
2011 01-18 mongo-db2011 01-18 mongo-db
2011 01-18 mongo-dbCampus Party Brasil
 
Coding dojo
Coding dojoCoding dojo
Coding dojoCampus Party Brasil
 
Orientação a Objetos na prática em php
Orientação a Objetos na prática em phpOrientação a Objetos na prática em php
Orientação a Objetos na prática em phpCampus Party Brasil
 
Apache OFBiz: Real-World Open Source Java Platform ERP
Apache OFBiz: Real-World Open Source Java Platform ERPApache OFBiz: Real-World Open Source Java Platform ERP
Apache OFBiz: Real-World Open Source Java Platform ERPCampus Party Brasil
 
Wordpress
WordpressWordpress
WordpressCampus Party Brasil
 
Buracos negros
Buracos negrosBuracos negros
Buracos negrosCampus Party Brasil
 
Programação para Atari 2600
Programação para Atari 2600Programação para Atari 2600
Programação para Atari 2600Campus Party Brasil
 
Desenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineDesenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineCampus Party Brasil
 
Técnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosTécnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosCampus Party Brasil
 
Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Campus Party Brasil
 
Tempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesTempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesCampus Party Brasil
 
A busca por planetas além do sistema solar
A busca por planetas além do sistema solarA busca por planetas além do sistema solar
A busca por planetas além do sistema solarCampus Party Brasil
 

Weitere ähnliche Inhalte

Andere mochten auch

Azure Services Platform Overview
Azure Services Platform OverviewAzure Services Platform Overview
Azure Services Platform OverviewCampus Party Brasil
 
Computação acelerada – a era das ap us roberto brandão, ciência
Computação acelerada – a era das ap us roberto brandão, ciênciaComputação acelerada – a era das ap us roberto brandão, ciência
Computação acelerada – a era das ap us roberto brandão, ciênciaCampus Party Brasil
 
Asp Net 4 0 Para Iniciantes Cp 2010
Asp Net 4 0 Para Iniciantes Cp 2010Asp Net 4 0 Para Iniciantes Cp 2010
Asp Net 4 0 Para Iniciantes Cp 2010Campus Party Brasil
 
Adptando sites paradispositivos moveis
Adptando sites paradispositivos moveisAdptando sites paradispositivos moveis
Adptando sites paradispositivos moveisCampus Party Brasil
 
Utilização de APIs do Windows Live
Utilização de APIs do Windows LiveUtilização de APIs do Windows Live
Utilização de APIs do Windows LiveCampus Party Brasil
 
Perspectives On Microsoft And Open Source F Y 10 Customer Presentation
Perspectives On Microsoft And Open Source F Y 10 Customer PresentationPerspectives On Microsoft And Open Source F Y 10 Customer Presentation
Perspectives On Microsoft And Open Source F Y 10 Customer PresentationCampus Party Brasil
 
Orientação a Objetos na prática em php
Orientação a Objetos na prática em phpOrientação a Objetos na prática em php
Orientação a Objetos na prática em phpCampus Party Brasil
 
Apache OFBiz: Real-World Open Source Java Platform ERP
Apache OFBiz: Real-World Open Source Java Platform ERPApache OFBiz: Real-World Open Source Java Platform ERP
Apache OFBiz: Real-World Open Source Java Platform ERPCampus Party Brasil
 

Andere mochten auch (14)

Azure Services Platform Overview
Azure Services Platform OverviewAzure Services Platform Overview
Azure Services Platform Overview
 
Computação acelerada – a era das ap us roberto brandão, ciência
Computação acelerada – a era das ap us roberto brandão, ciênciaComputação acelerada – a era das ap us roberto brandão, ciência
Computação acelerada – a era das ap us roberto brandão, ciência
 
Arduino cp
Arduino cpArduino cp
Arduino cp
 
Asp Net 4 0 Para Iniciantes Cp 2010
Asp Net 4 0 Para Iniciantes Cp 2010Asp Net 4 0 Para Iniciantes Cp 2010
Asp Net 4 0 Para Iniciantes Cp 2010
 
Adptando sites paradispositivos moveis
Adptando sites paradispositivos moveisAdptando sites paradispositivos moveis
Adptando sites paradispositivos moveis
 
Ginga ncl-cpbr4
Ginga ncl-cpbr4Ginga ncl-cpbr4
Ginga ncl-cpbr4
 
Utilização de APIs do Windows Live
Utilização de APIs do Windows LiveUtilização de APIs do Windows Live
Utilização de APIs do Windows Live
 
DESIGN Palestra: Motion Design
DESIGN Palestra: Motion DesignDESIGN Palestra: Motion Design
DESIGN Palestra: Motion Design
 
Jono mozilla-talk
Jono mozilla-talkJono mozilla-talk
Jono mozilla-talk
 
Perspectives On Microsoft And Open Source F Y 10 Customer Presentation
Perspectives On Microsoft And Open Source F Y 10 Customer PresentationPerspectives On Microsoft And Open Source F Y 10 Customer Presentation
Perspectives On Microsoft And Open Source F Y 10 Customer Presentation
 
2011 01-18 mongo-db
2011 01-18 mongo-db2011 01-18 mongo-db
2011 01-18 mongo-db
 
Coding dojo
Coding dojoCoding dojo
Coding dojo
 
Orientação a Objetos na prática em php
Orientação a Objetos na prática em phpOrientação a Objetos na prática em php
Orientação a Objetos na prática em php
 
Apache OFBiz: Real-World Open Source Java Platform ERP
Apache OFBiz: Real-World Open Source Java Platform ERPApache OFBiz: Real-World Open Source Java Platform ERP
Apache OFBiz: Real-World Open Source Java Platform ERP
 

Mehr von Campus Party Brasil

Desenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineDesenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineCampus Party Brasil
 
Técnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosTécnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosCampus Party Brasil
 
Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Campus Party Brasil
 
Tempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesTempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesCampus Party Brasil
 
A busca por planetas além do sistema solar
A busca por planetas além do sistema solarA busca por planetas além do sistema solar
A busca por planetas além do sistema solarCampus Party Brasil
 
Construção de uma luneta a baixo custo
Construção de uma luneta a baixo custoConstrução de uma luneta a baixo custo
Construção de uma luneta a baixo custoCampus Party Brasil
 
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livresHardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livresCampus Party Brasil
 
Robótica e educação inclusiva
Robótica e educação inclusivaRobótica e educação inclusiva
Robótica e educação inclusivaCampus Party Brasil
 
Fazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectXFazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectXCampus Party Brasil
 
Robótica e educação inclusiva
Robótica e educação inclusiva Robótica e educação inclusiva
Robótica e educação inclusivaCampus Party Brasil
 
Gestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software LivreGestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software LivreCampus Party Brasil
 
Confecção de Circuito Impresso
Confecção de Circuito ImpressoConfecção de Circuito Impresso
Confecção de Circuito ImpressoCampus Party Brasil
 
Virtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasVirtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasCampus Party Brasil
 

Mehr von Campus Party Brasil (20)

Wordpress
WordpressWordpress
Wordpress
 
Buracos negros
Buracos negrosBuracos negros
Buracos negros
 
Programação para Atari 2600
Programação para Atari 2600Programação para Atari 2600
Programação para Atari 2600
 
Desenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineDesenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App Engine
 
Técnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosTécnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivos
 
Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?
 
Tempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesTempestades solares: mitos e verdades
Tempestades solares: mitos e verdades
 
A busca por planetas além do sistema solar
A busca por planetas além do sistema solarA busca por planetas além do sistema solar
A busca por planetas além do sistema solar
 
Passeio virtual pelo LHC
Passeio virtual pelo LHCPasseio virtual pelo LHC
Passeio virtual pelo LHC
 
Construção de uma luneta a baixo custo
Construção de uma luneta a baixo custoConstrução de uma luneta a baixo custo
Construção de uma luneta a baixo custo
 
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livresHardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
 
Robótica e educação inclusiva
Robótica e educação inclusivaRobótica e educação inclusiva
Robótica e educação inclusiva
 
Fazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectXFazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectX
 
Blue Via
Blue ViaBlue Via
Blue Via
 
Linux para iniciantes
Linux para iniciantesLinux para iniciantes
Linux para iniciantes
 
Robótica e educação inclusiva
Robótica e educação inclusiva Robótica e educação inclusiva
Robótica e educação inclusiva
 
Gestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software LivreGestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software Livre
 
Confecção de Circuito Impresso
Confecção de Circuito ImpressoConfecção de Circuito Impresso
Confecção de Circuito Impresso
 
Vida de Programador
Vida de Programador Vida de Programador
Vida de Programador
 
Virtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasVirtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendencias
 

Segurança PHP em

  • 1. SEGURANÇA EM PHP Augusto Pascutti Friday, January 29, 2010
  • 2. Augusto Pascutti 4 anos de experiência Zend Certified Engineer Co-Fundador PHPSP Host PHPSPCast Habari,CakePHP Friday, January 29, 2010
  • 4. Princípios Se mantenha a eles e você terá: Um usuário feliz Um patrão feliz Finais de Semana e quem sabe férias Friday, January 29, 2010
  • 5. Segurança é ... Friday, January 29, 2010
  • 6. como um ogro ... Friday, January 29, 2010
  • 7. Que são como cebolas ! Friday, January 29, 2010
  • 8. Segurança em camadas Segurança nunca é demais Segurança em profundidade Aplique camadas de segurança em tudo que puder Não conte com a bondade no mundo Friday, January 29, 2010
  • 10. Informação Confidencial Classifique tudo que for sensível Impeça o acesso a essa informação Lei do menor privilégio Se o usuário não precisa ver, não deixe. Friday, January 29, 2010
  • 11. Segurança x Usabilidade Shozu.com Friday, January 29, 2010
  • 12. Segurança x Usabilidade reCaptcha Friday, January 29, 2010
  • 13. Segurança x Usabilidade Procure implementar segurança transparente ao usuário Se não for possível: Pense no Risco e na Usabilidade Tenha em mente que dependemos de usuários felizes NUNCA esqueça da usabilidade Friday, January 29, 2010
  • 14. Segurança x Usabilidade Qual o animal da figura ? Friday, January 29, 2010
  • 15. Vigie sempre Nunca confie no usuário Nunca confie em outras aplicações Nunca confie. Mantenha registro da onde, de quem e quando a informação for gerada Friday, January 29, 2010
  • 16. Filtre o INPUT Identifique o input Filtre o input Friday, January 29, 2010
  • 17. Identificando Input O input pode vir de diversos lugares Formulário Outra aplicação Sistema Friday, January 29, 2010
  • 27. Escape o Output O que é output ? echo, print, sprintf <?= Na grande maioria, o destino é o navegador Escapar HTML Friday, January 29, 2010
  • 28. Escape o Output Friday, January 29, 2010
  • 29. Escape o Output Friday, January 29, 2010
  • 30. Escape o Output Friday, January 29, 2010
  • 31. htmlentities() Converte TODO caractere para entidade HTML correspondente Segundo e terceiro parâmetro são opcionais Segundo: como as aspas (duplas e simples) seão tratadas Padrão: ENT_COMPAT ENT_QUOTES: Converte ambas para entidade HTML Terceiro: encoding do output Padrão: ISO-8859-1 Friday, January 29, 2010
  • 32. Escape o Output Friday, January 29, 2010
  • 33. Brindes Extensão dos arquivos sempre “.php” Dentro do DocRoot, só o necessário Mantenha seu código simples e encapsulado Favoreça Orientação a Objetos Friday, January 29, 2010
  • 34. TOP 10 OWASP Lista de riscos de Segurança (rc1) de 2010 Injection XSS Quebra de Autenticação e Problemas de Sessões Referências não seguras a Objetos CSRF Erros de Configuração Falhas ao restringir acesso a URLs Redirecionamentos e Encaminhamentos não seguros Métodos de criptografia não seguros Segurança insuficiente no transporte de dados Friday, January 29, 2010
  • 35. Sql Injection O que é ? Envio de comandos não tratados pela aplicação para o interpretador Impacto Toda a base de dados pode ser lida ou modificada Pode garantir acesso ao banco de dados ou até ao Sistema Operacional Friday, January 29, 2010
  • 36. Cross Site Scripting (XSS) O que é ? Dados do atacante são enviados ao navegador do cliente Impacto Roubo de sessão, de dados sensíveis, phishing Friday, January 29, 2010
  • 37. Cross Site Request Forgery (CSRF) O que é ? O navegador é “enganado” e envia um comando a um site vulnerável Impacto Iniciar transações (tranferência, logout, cancelamento) Acesso sensível a dados Mudança de dados da conta Friday, January 29, 2010
  • 40. CSRF <img src="http://loja/comprar.php?quant=100" /> Friday, January 29, 2010
  • 44. Problemas de Configuração O que é ? Configuração de rede e do servidor de aplicação Impacto Acesso ao Sistema Operacional através de um problema conhecido Acesso a dados da aplicação Friday, January 29, 2010
  • 45. allow_url_fopen Permite acesso a recursos remotos Valor padrão: On Aliado ao ‘allow_url_include’ (> 5.2) é muito perigoso Friday, January 29, 2010
  • 46. allow_url_fopen $conteudo = file_get_contents(“http://www.google.com”) Friday, January 29, 2010
  • 47. allow_url_fopen include “http://www.bad-bad-site.com” Friday, January 29, 2010
  • 48. register_globals Exporta índices de super globais para variáveis comuns Impede que se identifique a origem do dado Padrão < 4.2: On >4.2: Off Friday, January 29, 2010
  • 52. magic_quotes_gpc Escapa todos os dados em $_GET, $_POST e $_COOKIE Usa addslashes() e não escape nativo do seu banco Complica seu algoritmo de filtro Padrão: On Obsoleto no PHP 5.3 Removido do PHP 6 Friday, January 29, 2010
  • 53. display_errors Exibe no output erros do PHP DEVE ser usado no desenvolvimento DEVE ser desligado na produção Padrão: On Friday, January 29, 2010
  • 54. error_reporting Controla os níveis de erros que devem ser exibidos Ajuda na identificação de erros e boas práticas Recomendado: -1 Friday, January 29, 2010
  • 55. safe_mode Restringe algumas funcões tidas como prejudiciais Verifica se o dono do arquivo a ser executado é o mesmo do script em execução Melhora a segurança Não é suficiente Padrão: Off Friday, January 29, 2010
  • 56. Acesso a URLs Restritas O que é? Permitir que um usuário possa forjar uma autorização a uma URL sensível Impacto Permitir ações privilegiadas a qualquer pessoa Friday, January 29, 2010
  • 57. Redirecionamentos Inválidos O que é? Enviar o usuário para uma URL não valida Impacto Phishing Friday, January 29, 2010
  • 58. Criptografia Não Segura O que é? Falha na identificação de todos os dados que devem ser criptografados Uso de criptografia não segura (md5, sha1) Impacto Acesso a dados sensíveis Solução mcrypt Friday, January 29, 2010
  • 59. Transporte de dados O que é? Falta de segurança na troca de informações sensíveis Impacto Acesso a dados sensíveis Solução SSL ou TLS para transporte dos dados Friday, January 29, 2010
  • 60. Perguntas ? Augusto Pascutti augusto@phpsp.org.br @augustohp Friday, January 29, 2010
  • 61. Referências Essential PHP Security - Chris Chiflett - O’Reilly http://www.owasp.org/ http://phpsp.org.br/category/phpsp/phpspcast/ Segurança em PHP - Márcio Pessoa - Novatec Friday, January 29, 2010