Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 1 / 35
Unbreakable PHP www.galvao.eti.br
Quem?!
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 2 / 35
www.galvao.eti.brUnbreakable ...
Objetivo
Esta palestra tem por objetivo demonstrar técnicas de programação PHP que minimizam
os principais riscos de segur...
Cenário atual...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 4 / 35
www.galvao.eti.brUn...
Cenário atual...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 5 / 35
www.galvao.eti.brUn...
Cenário atual...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 6 / 35
www.galvao.eti.brUn...
Cenário atual...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 7 / 35
www.galvao.eti.brUn...
Cenário atual...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 8 / 35
www.galvao.eti.brUn...
Cenário atual...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 9 / 35
www.galvao.eti.brUn...
Cenário atual...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 10 / 35
www.galvao.eti.brU...
Falhas de Segurança
Dos 10 Riscos mais comuns
a Aplicações Web...
CC Attribution-ShareAlike 3.0 Unported License by Er Gal...
Os 3 primeiros problemas...
Injeção (SQL, Client-side, etc...)
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão...
Com uma solução em comum...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 13 / 35
www.gal...
Filtragem e Validação FTW!
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 14 / 35
www.galv...
Filtragem e Validação NATIVAS FTW!
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 15 / 35
...
Quem tem medo de Injeção de SQL?! PDO FTW!
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - ...
Criptografia FTW!
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 17 / 35
www.galvao.eti.br...
Mcrypt FTW!
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 18 / 35
www.galvao.eti.brUnbrea...
O(s) problema(s) com segurança?
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 19 / 35
www...
O(s) problema(s) com segurança?
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 20 / 35
www...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 21 / 35
Unbreakable PHP www.galvao.eti.br
M...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 22 / 35
Unbreakable PHP www.galvao.eti.br
P...
O(s) problema(s) com segurança?
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 23 / 35
www...
O(s) problema(s) com segurança?
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 24 / 35
www...
O(s) problema(s) com segurança?
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 25 / 35
www...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 26 / 35
www.galvao.eti.brUnbreakable PHP
A ...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 27 / 35
www.galvao.eti.brUnbreakable PHP
O ...
Culpa de quem, mesmo?
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 28 / 35
www.galvao.et...
Culpa de quem, mesmo?
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 29 / 35
www.galvao.et...
Culpa de quem, mesmo?
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 30 / 35
www.galvao.et...
Culpa de quem, mesmo?
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 31 / 35
www.galvao.et...
Culpa de quem, mesmo?
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 32 / 35
www.galvao.et...
Culpa de quem, mesmo?
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 33 / 35
www.galvao.et...
E se não estiver convencido(a) ainda, tem outra...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10...
Obrigado! (… e “desculpa qualquer coisa!”)
? Dúvidas?
↓ Críticas?
↑ Elogios?!
CC Attribution-ShareAlike 3.0 Unported Licen...
Nächste SlideShare
Wird geladen in …5
×

Unbreakeable php

Será que os problemas de segurança tem apenas causas técnicas? De quem é a culpa de tanto ataque?

Unbreakeable php

  1. 1. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 1 / 35 Unbreakable PHP www.galvao.eti.br
  2. 2. Quem?! CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 2 / 35 www.galvao.eti.brUnbreakable PHP Er Galvão Abbott trabalha há mais de 18 anos desenvolvendo sistemas e aplicações com interface web, sendo 13 anos com PHP e 5 anos com Zend Framework. Trabalhou com diversas empresas de grande porte, tanto nacionais como internacionais. Palestra em eventos, dá cursos em diversas instituições e é Presidente da ABRAPHP – Associação Brasileira de Profissionais PHP e Diretor da PHP Conference Brasil, o principal evento de PHP da América Latina. É o fundador e líder do GU PHPBR, Grupo de Usuários de abrangência nacional, que hoje conta com mais de 1.200 usuários cadastrados. Site: http://www.galvao.eti.br/ Twitter: @galvao Slides e Documentos: http://slideshare.net/ergalvao https://speakerdeck.com/galvao Fork me @ http://github.com/galvao
  3. 3. Objetivo Esta palestra tem por objetivo demonstrar técnicas de programação PHP que minimizam os principais riscos de segurança a uma aplicação web, além de analisar as principais causas da alarmante frequência com que falhas de segurança são exploradas na web. Serão apresentados os seguintes tópicos: → Cenário atual → Falhas de segurança → Injeção → Autenticação e Criptografia → Causas para a situação atual → De quem é a culpa? → Soluções CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 3 / 35 www.galvao.eti.brUnbreakable PHP
  4. 4. Cenário atual... CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 4 / 35 www.galvao.eti.brUnbreakable PHP
  5. 5. Cenário atual... CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 5 / 35 www.galvao.eti.brUnbreakable PHP
  6. 6. Cenário atual... CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 6 / 35 www.galvao.eti.brUnbreakable PHP
  7. 7. Cenário atual... CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 7 / 35 www.galvao.eti.brUnbreakable PHP
  8. 8. Cenário atual... CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 8 / 35 www.galvao.eti.brUnbreakable PHP
  9. 9. Cenário atual... CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 9 / 35 www.galvao.eti.brUnbreakable PHP
  10. 10. Cenário atual... CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 10 / 35 www.galvao.eti.brUnbreakable PHP
  11. 11. Falhas de Segurança Dos 10 Riscos mais comuns a Aplicações Web... CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 11 / 35 www.galvao.eti.brUnbreakable PHP 8 são relacionados a código-fonte* Ah, então é culpa do programador! Será...? (*) Fonte: OWASP Top 10 2013
  12. 12. Os 3 primeiros problemas... Injeção (SQL, Client-side, etc...) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 12 / 35 www.galvao.eti.brUnbreakable PHP (*) Fonte: OWASP Top 10 2013 Autenticação e Gerenciamento de Sessão Falhos XSS
  13. 13. Com uma solução em comum... CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 13 / 35 www.galvao.eti.brUnbreakable PHP Isso é sabido desde antes de 2000 Filtrar e Validar Pra deixar bem claro... há mais de 13 anos
  14. 14. Filtragem e Validação FTW! CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 14 / 35 www.galvao.eti.brUnbreakable PHP (de uma palestra minha, há mais de 4 anos)
  15. 15. Filtragem e Validação NATIVAS FTW! CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 15 / 35 www.galvao.eti.brUnbreakable PHP (Nativas desde o PHP 5.2, lançado há praticamente 7 anos)
  16. 16. Quem tem medo de Injeção de SQL?! PDO FTW! CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 16 / 35 www.galvao.eti.brUnbreakable PHP (Nativa desde o PHP 5.1, lançado há praticamente 8 anos)
  17. 17. Criptografia FTW! CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 17 / 35 www.galvao.eti.brUnbreakable PHP Quem disse que Mcrypt é difícil?! 1. Escolha uma cifra 2. Defina uma chave 3. Defina um vetor de inicialização 4. Defina um modo 5. Divirta-se! É, divirta-se!
  18. 18. Mcrypt FTW! CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 18 / 35 www.galvao.eti.brUnbreakable PHP (disponível há muito tempo**)
  19. 19. O(s) problema(s) com segurança? CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 19 / 35 www.galvao.eti.brUnbreakable PHP Torna o sistema Lento Demanda muito Tempo É muito Complicado É um assunto muito Misterioso É um assunto pra Depois
  20. 20. O(s) problema(s) com segurança? CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 20 / 35 www.galvao.eti.brUnbreakable PHP Torna o sistema Lento Demanda muito Tempo É muito Complicado É um assunto muito Misterioso É um assunto pra Depois
  21. 21. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 21 / 35 Unbreakable PHP www.galvao.eti.br Misterioso?!?!?! OWASP FTW! www.owasp.org É um assunto muito Misterioso Top 10 Zed Attack Proxy ASVS Cheat Sheets
  22. 22. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 22 / 35 Unbreakable PHP www.galvao.eti.br Pra quando?! Security First, É um assunto pra Depois Security Always!
  23. 23. O(s) problema(s) com segurança? CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 23 / 35 www.galvao.eti.brUnbreakable PHP A Diretoria... só quer Sucesso
  24. 24. O(s) problema(s) com segurança? CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 24 / 35 www.galvao.eti.brUnbreakable PHP A Diretoria... só quer Sucesso O Gerente de Projetos... só quer Prazo
  25. 25. O(s) problema(s) com segurança? CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 25 / 35 www.galvao.eti.brUnbreakable PHP A Diretoria... só quer Sucesso O Comercial... só quer Vender O Gerente de Projetos... só quer Prazo
  26. 26. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 26 / 35 www.galvao.eti.brUnbreakable PHP A Infra... não quer se Incomodar O(s) problema(s) com segurança?
  27. 27. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 27 / 35 www.galvao.eti.brUnbreakable PHP O Programador... só quer programar! A Infra... não quer se Incomodar O(s) problema(s) com segurança?
  28. 28. Culpa de quem, mesmo? CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 28 / 35 www.galvao.eti.brUnbreakable PHP A culpa é da Diretoria? A culpa é do GP? A culpa é do Comercial? A culpa é da Infra? A culpa é do Programador?
  29. 29. Culpa de quem, mesmo? CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 29 / 35 www.galvao.eti.brUnbreakable PHP A culpa é da Diretoria? A culpa é do GP? A culpa é do Comercial? A culpa é da Infra? A culpa é do Programador? SIM!
  30. 30. Culpa de quem, mesmo? CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 30 / 35 www.galvao.eti.brUnbreakable PHP A culpa é da Diretoria? A culpa é do GP? A culpa é do Comercial? A culpa é da Infra? A culpa é do Programador? SIM!SIM! SIM!
  31. 31. Culpa de quem, mesmo? CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 31 / 35 www.galvao.eti.brUnbreakable PHP A culpa é da Diretoria? A culpa é do GP? A culpa é do Comercial? A culpa é da Infra? A culpa é do Programador? SIM! SIM! SIM!
  32. 32. Culpa de quem, mesmo? CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 32 / 35 www.galvao.eti.brUnbreakable PHP A culpa é da Diretoria? A culpa é do GP? A culpa é do Comercial? A culpa é da Infra? A culpa é do Programador? SIM! SIM! SIM! SIM!
  33. 33. Culpa de quem, mesmo? CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 33 / 35 www.galvao.eti.brUnbreakable PHP A culpa é da Diretoria? A culpa é do GP? A culpa é do Comercial? A culpa é da Infra? A culpa é do Programador? SIM! SIM! SIM! SIM! SIM!
  34. 34. E se não estiver convencido(a) ainda, tem outra... CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 34 / 35 www.galvao.eti.brUnbreakable PHP INGENUIDADE
  35. 35. Obrigado! (… e “desculpa qualquer coisa!”) ? Dúvidas? ↓ Críticas? ↑ Elogios?! CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 10/4/13 - 35 / 35 www.galvao.eti.brUnbreakable PHP

×