1. Segurança em PHP: o
que você precisa saber
Jota Júnior

2. Tolos ignoram complexidade, enquanto
pragmáticos sofrem com ela. Alguns até
conseguem evitar.
Gênios a removem.
Epigrams in Programming(http://www.cs.yale.edu/quotes.html)

3. Há duas formas de escrever programas sem erros;
só a terceira realmente funciona.
Epigrams in Programming(http://www.cs.yale.edu/quotes.html)

5. “Não confie em
estranhos.”
Sua mãe

6. Sempre haverá um
“ZzboladozZ”
Acreditem, já vi este nick! Ele se dizia “ráquer”

7. Vamos lá!
• OWASP
• SQL Injection
• XSS
• CSRF
• File Upload
• Path Traversal

8. Vamos lá!
• OWASP
• SQL Injection
• XSS
• CSRF
• File Upload
• Path Traversal

9. Uma boa fonte é mais importante do
que uma boa memória.
https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet
https://www.owasp.org/

10. Vamos lá!
• OWASP
• SQL Injection
• XSS
• CSRF
• File Upload
• Path Traversal

11. SQL Injection
Um dado proveniente do usuário nunca
pode virar código diretamente.

12. SQL Injection

13. SQL Injection

14. SQL Injection
Existe o jeito complexo e o jeito
certo. A escolha é sua.

15. SQL Injection
E quando a query é dinâmica, ou existe
alguma limitação para os prepared
statements?

16. SQL Injection

17. SQL Injection

18. Vamos lá!
• OWASP
• SQL Injection
• XSS
• CSRF
• File Upload
• Path Traversal

19. XSS
Cross-Site Scripting
- Permite inserir código que persiste na
página
- Usuário pode inserir código malicioso e
tornar seus outros usuários vítimas

20. XSS
<embed
src="http://www.orkut.com.br/GLogin.aspx
?cmd=logout"&gt;

21. XSS
Retirado do site da OWASP
Simples como essa função.
http://br2.php.net/htmlspecialchars

22. XSS
Novamente, várias ferramentas prontas
para facilitar.
Exemplo do framework CodeIgniter
(http://ellislab.com/codeigniter/user-guide/libraries/input.html)

23. Vamos lá!
• OWASP
• SQL Injection
• XSS
• CSRF
• File Upload
• Path Traversal

24. CSRF
Chega de proteger o sistema.
Proteja também seu usuário.

25. CSRF
Cross Site Request Forgery
Permite forjar requisições, levando seu
usuário
a executar ações indesejadas.

26. CSRF
Como?
<a
href=”http://bancoruim.com/usuario/transferir/jota/1000”>
Download
</a>

27. CSRF
Você tem um controller que modifica determinado
dado quando requisitado.
Como saber que é uma requisição legítima?

28. CSRF
1- Crie um token aleatório e complexo, como chave de
segurança, provavelmente na hora da autenticação.

29. CSRF
2- Armazene este token também em uma sessão (ou
outra fonte de dados persistente similar, não acessível
ao usuário).

30. CSRF
3- Ao executar qualquer ação dentro do site, como
submeter um formulário em AJAX, envie também o
token (que pode estar guardado em um hidden input).

31. CSRF
4- Ao receber alguma requisição, verifique se o token
foi enviado e, caso tenha sido, se é igual ao
armazenado em sessão. Se não, negue.

32. CSRF
Outras considerações:
Complicações podem existir caso o token seja
previsível ou acessível (normalmente se existe outra
falha associada, como do navegador ou de sessão).

33. CSRF
Como o Facebook trata CSRF no PHP SDK:
https://github.com/facebook/facebook-php-sdk/blob/master/src/base_facebook.php
Passo 1 e 2: Cria token e guarda em sessão

34. CSRF
Passo 3: Envia o token estabelecido para a requisição

35. CSRF
Passo 4: Ao receber a requisição, verifica se o código
enviado é o mesmo da sessão

36. Vamos lá!
• OWASP
• SQL Injection
• XSS
• CSRF
• File Upload
• Path Traversal

37. File Upload
Aquele upload de imagens inofensivo pode se tornar
uma grande dor de cabeça.

38. File Upload
Alguns dados, aparentemente confiáveis, podem ser
maliciosamente manipulados.
Entre eles, estão os cabeçalhos HTTP.

39. File Upload
Confira, sempre.

40. File Upload
Uma forma de verificar a imagem é verificando a
extensão
e o MIME-Type.

41. File Upload
A extensão é bem simples.

42. File Upload
O índice type do $_FILES traz o MIME-Type do arquivo,
mas o que ele diz ter. É manipulável e, portanto,
não pode ser utilizado.

43. File Upload
Código retirado do site da OWASP
Gasta mais recursos, mas faz uma verificação muito mai
confiável, pois obtém o real MIME-Type.

44. File Upload
Outras considerações:
- GIFs são do mal. Quando possível, não
aceite;
- O velho getimagesize(); é burlável
(por GIFs, inclusive!)

45. Vamos lá!
• OWASP
• SQL Injection
• XSS
• CSRF
• File Upload
• Path Traversal

46. Path Traversal
Imponha limites.

47. Path Traversal
Você recebe o caminho de um arquivo, e executa
alguma ação com isso.
http://www.site.com/download.php?arquivo=carro.jpg

48. Path Traversal
O que você recebe como parâmetro está em um
diretório específico, construído para esse fim.

49. Path Traversal
Mas eis que surge o “ZzboladozZ”...
http://www.site.com/download.php?arquivo=../../../../etc/shado
w

50. Path Traversal
É necessário impor limites, não deixar que o usuário
vá a qualquer lugar do sistema. Ele só pode inserir o
nome do arquivo, e não um caminho.

51. Path Traversal
Simplesmente não.

52. Path Traversal
Simples como isso, sem REGEX.
Dessa forma, ../../../anything vira só anything, e
nenhum arquivo indevido é acessado.

53. Path Traversal
1. Quando possível, pode usar identificadores
numéricos para os arquivos, e não caminhos.

54. Path Traversal
Não funciona para poucos casos, como arquivos Phar.
E realpath requer que o caminho exista (caso não
exista, retorna falso).
2. Caso queira que sejam permitidos diretórios no
caminho, mas só “abaixo”, pode usar o

55. Obrigado :-)