SlideShare uma empresa Scribd logo
Construindo uma aplicação PHP à Prova de Balas  Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 “ Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas” (Mateus 6.33)
Pauta Um pouco sobre segurança Conhecendo os meios de ataque Outros tipos de ameaça Mais alguns cuidados Perguntas
Um pouco sobre segurança 1
O que é segurança? Segurança baseia-se em três pontos: CONFIDENCIALIDADE INTEGRIDADE DISPONIBILIDADE
O que é segurança? Não se iluda. Não existem aplicações 100% seguras. Não ouse dizer isso... Você poderá ter sérios problemas.
O quão segura deve ser a sua aplicação? Você deve encontrar um equilíbrio entre a segurança e a usabilidade do seu sistema. Crie um sistema com  pouca  segurança e ele será  invadido . Crie um sistema com  muita  segurança e ele será  impossível de usar .
O quão segura deve ser a sua aplicação? Evite investir esforços onde não é necessário. Sempre revise o que você projetou.
Os custos que envolvem uma aplicação segura Aplicações seguras tendem a custar caro... Aplicações não seguras tendem a custar  mais  caro ainda...
Os custos que envolvem uma aplicação segura Maior tempo de projeto e pesquisa Programação extendida Testes mais minuciosos Maior uso de hardware Maior uso de banda Treinamento de pessoal interno Treinamento do usuário Entre os custos envolvidos no desenvolvimento da aplicação, temos os seguintes pontos:
não sacrifique a usabilidade do projeto
Conhecendo os meios de ataque 2
Quais os tipos de ataque que posso sofrer? XSS (Cross-site Scripting) SQL Injection Session Hijacking Cookie Theft Existem diversos tipos de ataque através da internet. Eis alguns: Brute Force Rainbow Table Password Sniffing Entre outros...
XSS Cross-site Scripting O que é? Injeção de código arbitrário em uma página. Como ocorre? Geralmente através de brechas em formulários onde os dados enviados ao servidor não são devidamente filtrados.
XSS Cross-site Scripting Exemplo
XSS Cross-site Scripting Exemplo
XSS Cross-site Scripting Como evitar Existem funções prontas no PHP para filtrar strings. Utilizando-as, além de evitar um XSS, você garante que o usuário conseguirá expressar o que realmente intentou.
XSS Cross-site Scripting Como evitar Funções que você pode utilizar: htmlspecialchars() htmlentities() filter_input() Leia mais sobre XSS:  http://tinyurl.com/mais-sobre-xss
SQL Injection O que é? Injeção de código SQL arbitrário dentro de uma consulta legítima. Como ocorre? Na maioria das vezes a injeção de código SQL se dá a partir de formulários não filtrados, em que os dados recebidos vão diretamente para dentro da consulta.
SQL Injection Exemplo
SQL Injection Exemplo 1' OR 1='1
SQL Injection Exemplo fulano'#  ou  fulano' --
SQL Injection Como evitar Novamente... Filtrando os dados enviados pelo usuário é possível evitar que seja injetado código dentro do seu SQL.
SQL Injection Como evitar Funções que você pode utilizar: addslashes() mysql_real_escape_string() Leia mais sobre XSS:  http://tinyurl.com/mais-sobre-sql-injection
Session Hijacking O que é? Quando o invasor obtém acesso à sessão de um usuário autenticado. Como ocorre? Sempre que os dados do cliente são armazenados em sessão é gerado um ID. Caso alguém o descubra, poderá navegar pelo site como se fosse o usuário real.
Session Hijacking Atenção... Hoje, com as configurações padrão do PHP é bem pouco provável que você sofra um ataque  de roubo de sessão no seu site. Para tanto você deve estar atento às seguintes configurações:
Session Hijacking Atenção... session.use_cookies session.use_only_cookies
Session Hijacking Exemplo algumapagina.php?PHPSESSID=1234
Session Hijacking Como evitar Nunca confie 100% no ID de sessão recebido. Você pode fazer algumas verificações redudantes, como comparar o IP e o User-Agent. Em casos mais  vitais  você pode sugerir ao usuário que utilize cookies, intruindo-o e falando da sua importância para uma navegação mais segura no site. Leia mais sobre Sess. Hijacking:  http://tinyurl.com/mais-sobre-sess-hijacking
Cookie Theft O que é? A tradução literal é “Roubo de Cookie”. Na verdade a literal  mesmo  é “Roubo de Biscoito”. :P Trata-se capturar cookies na máquina da vítima e utilizá-los para acessar o local desejado. Como ocorre? O roubo de cookie pode possuir duas naturezas: XSS e vulnerabilidades no próprio browser.
Cookie Theft Como evitar O script que foi apresentado anteriormente no exemplo de XSS é responsável por roubar um cookie. Atualmente não são muito comuns falhas de browsers que permitam o roubo de cookies, mas no passado houveram  muitos .
Cookie Theft Como evitar No site do  PHP Security Consortium  [1]   você pode consultar o resumo da newsletter da  SecurityFocus  [2], que possui sempre anúncio de novas vulnerabilidades encontradas. A partir disso você pode conscientizar os seus usuários caso perceba que os mesmos utilizem um browser vulnerável. [1]  http://phpsec.org/projects/vulnerabilities/securityfocus.html [2]  http://securityfocus.com/vulnerabilities
Brute Force Attack O que é? O ataque por força bruta baseia-se na busca exaustiva da informação procurada, através de tentativa e erro com todas as possibilidades existentes. Como ocorre? O usuário mal intencionado acessa o formulário no qual irá tentar o ataque e utiliza um programa, estipulando uma cadeia de caracteres e um tamanho máximo para a frase. O programa irá tentar todas as combinações possíveis até que uma dê certo.
Brute Force Attack Atenção... Este tipo de ataque é bastante semelhante ao Ataque de Dicionário . A diferença é que o dicionário esgota suas possibilidades mais rápido utilizando apenas palavras existentes e senhas comuns.
Brute Force Attack Como evitar Existem dois meios bastante comuns de evitar este tipo de ataque: limite de tentativas e limite de tempo entre uma tentativa e outra. Leia mais sobre Sess. Hijacking:  http://tinyurl.com/mais-sobre-brute-force
Rainbow Table O que é? Semelhante ao ataque de força bruta, porém diretamente a um hash (md5, sha1, etc). Como ocorre? É a mistura de um ataque de força bruta com um ataque de dicionário. De posse do hash, o invasor utiliza este ataque para testar combinações que possam gerar o hash procurado até que se chegue à resposta correta.
Rainbow Table Exemplo Caso o usuário malicioso obtenha acesso aos hashs de senha (apenas visualizar), ele ainda assim terá de descobrir a senha que está ali. O problema está em confiar apenas na criptografia de hashs comuns como  md5  e  sha1 .
Rainbow Table Exemplo Vamos pegar como exemplo a palavra  abacaxi . O hash md5 referente é  4b96d5c1ff312eea069ddc760794963d . Supondo que obtemos este hash do banco de dados, basta digitá-lo no Google e em alguns segundos estamos prontos.
Rainbow Table Exemplo
Rainbow Table Como evitar A técnica mais utilizada e que reduz drasticamente a chance de este ataque dar certo, é “temperar” suas senhas. Ao inserir uma string arbitrária antes de criptografar a senha, este ataque torna-se praticamente inefetivo. À essa string arbitrária damos o nome de  salt .
Rainbow Table Como evitar Digamos que seu salt será  rocknroll . Ao aplicar a criptografia na sua string, você deverá concatenar com o seu salt. md5('rocknroll' . $senha) Se a senha for  abacaxi  teremos o seguinte hash:  0a5cefae5c742e8a914f486db9ea45ef . E pra esse o Google não tem resposta! ;) Leia mais sobre Rainbow Table:  http://tinyurl.com/mais-sobre-rainbow-table
Password Sniffing O que é? Este ataque baseia-se em capturar na rede um pacote descriptografado com os dados de autenticação de algum usuário. Como ocorre? Monitorando a rede pode-se visualizar todos os pacotes. Todas as requisições via POST e GET normalmente estão abertas à visualização.
Password Sniffing Como evitar Proteja a sua conexão com SSL. Utilizando este protocolo você irá assegurar que a comunicação entre o cliente e o servidor, mesmo que interceptada, não possa ser decifrada. Utilize sempre o POST (por ser uma forma mais segura) e lembre-se de sempre colocar o protocolo  HTTPS .
Password Sniffing Como evitar Você pode também redirecionar o usuário para a página de login (o formulário em si) sempre com HTTPS. Não existe nenhuma razão técnica para isso, apenas psicológica. O usuário costuma sentir-se mais seguro quando está colocando sua senha em uma página com cadeado. :) Leia mais sobre Sniffing:  http://tinyurl.com/mais-sobre-sniffing
Outros tipos de ameaça 3
Outros tipos de ameaça Includes Abuso de formulários Diretrizes  (register_globlals, display_errors, etc) Exposição do phpinfo Existem outras ameaças que vão além da alçada do programador. Outras podem ser evitadas se alguns cuidados forem tomados.
Outros tipos de ameaça A inclusão de arquivos via  include()  e  require() , embora muito útil, pode ter consequencias muito ruins se não utilizada corretamente. É muito comum a inclusão de arquivos recebidos via URL sem que a string seja filtrada. Includes
Outros tipos de ameaça Outro ponto que você deve estar atento é quanto ao uso de extensões que o seu servidor web não “conheça”. Evite extensões do tipo  .inc . Se for fazê-lo, prefira algo do tipo  meuarquivo.inc.php . Includes
Outros tipos de ameaça Funções que você pode utilizar para filtrar os dados recebidos e evitar um ataque de XSS ou a exposição do seu código: basename() file_exists() Includes
Outros tipos de ameaça Esteja sempre atento ao uso de seus formulários.  O maior erro que você pode cometer é colocar os possíveis e-mails dentro do seu formulário. Isto abrirá uma brecha em que o usuário mal intencionado poderá inserir endereços arbitrários e utilizar o seu formulário como disseminador de SPAM. Abuso de formulários
Outros tipos de ameaça Algumas diretrizes, quando bem configuradas, podem aumentar a segurança da sua aplicação. register_globals display_errors log_errors Diretrizes
Outros tipos de ameaça É incrível o número de páginas espalhadas pela web que possuem um arquivo  phpinfo.php  em sua raiz. A primeira ação tomada por um usuário mal intencionado é verificar a existência desse arquivo e de variantes do seu nome como  info.php ,  php.php , etc. Exposição do phpinfo
Mais alguns cuidados 4
Mais alguns cuidados Lei do menor privilégio (SQL) Ocultação de cabeçalhos HTTP Examine sempre os logs Existem mais alguns cuidados que você pode tomar para assegurar que será mais difícil conseguir realizar um ataque bem sucedido contra a sua aplicação.
Mais alguns cuidados Lei do menor privilégio (SQL) Sempre que possível, crie mais de um usuário para acesso ao banco de dados. Não é uma boa idéia utilizar o usuário administrador (root) para acessar o banco através do site.
Mais alguns cuidados Lei do menor privilégio (SQL) Crie usuários que só tenham permissão de  leitura  e usuários que só tenham permissão de  escrita . Caso, devido a algum infortuno do destino, alguém consiga invadir o seu sistema terá apenas permissões limitadas.
Mais alguns cuidados Ocultação de cabeçalhos HTTP Sempre que você acessa uma página, o servidor envia cabeçalhos HTTP para o seu browser. Dentro deste cabeçalhos podemos encontrar algumas informações interessantes.
Mais alguns cuidados Ocultação de cabeçalhos HTTP
Mais alguns cuidados Ocultação de cabeçalhos HTTP Dentro do arquivo  httpd.conf  do Apache você pode alterar o nível de exposição da versão das aplicações instaladas no seu servidor. Para tanto, você deve alterar a diretiva  ServerTokens .
Mais alguns cuidados Ocultação de cabeçalhos HTTP ServerTokens  valor_desejado Prod:  Apache Major:  Apache/2 Minor:  Apache/2.0 Min:  Apache/2.0.59 OS:  Apache/2.0.59 (Unix) Full:  Apache/2.0.59 (Unix) PHP/5.2.6
Mais alguns cuidados Examine sempre os logs Esteja atento aos logs e, se possível, utilize ferramentas de monitoramento de tráfego (como AWStats e Webalizer) para analisar possíveis tentativas de ataque à sua página.
?
Obrigado! :) Rafael Jaques Site: phpit.com.br E-mail: rafa@php.net Twitter: @rafajaques

Mais conteúdo relacionado

Mais procurados

Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4
William Costa
 
Xss
XssXss
Segurança em Aplicações ASP.NET (XSS e CSRF)
Segurança em Aplicações ASP.NET (XSS e CSRF)Segurança em Aplicações ASP.NET (XSS e CSRF)
Segurança em Aplicações ASP.NET (XSS e CSRF)
Luciano Gerhardt
 
Segurança Web com PHP5
Segurança Web com PHP5Segurança Web com PHP5
Segurança Web com PHP5
Douglas V. Pasqua
 
Escrevendo códigos php seguros
Escrevendo códigos php segurosEscrevendo códigos php seguros
Escrevendo códigos php seguros
Douglas V. Pasqua
 
Palestra criando aplicações seguras com php (2)
Palestra  criando aplicações seguras com php (2)Palestra  criando aplicações seguras com php (2)
Palestra criando aplicações seguras com php (2)
Leandro Lugaresi
 
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBFIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
Erick Belluci Tedeschi
 
Segurança no desenvolvimento web
Segurança no desenvolvimento webSegurança no desenvolvimento web
Segurança no desenvolvimento web
Rafael Monteiro
 
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)
Carlos Henrique Martins da Silva
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
Augusto Lüdtke
 
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2
William Costa
 
PHP Desenvolvimento Seguro
PHP Desenvolvimento SeguroPHP Desenvolvimento Seguro
PHP Desenvolvimento Seguro
Flávio Lisboa
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
SegInfo
 
Segurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSegurança PHP - por Samyr Abdo
Segurança PHP - por Samyr Abdo
Samyr Abdo
 
Invasão e correção em sites
Invasão e correção em sitesInvasão e correção em sites
Invasão e correção em sites
Daskonet Dasko
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e Segurança
Carlos Henrique Martins da Silva
 
Segurança Web: O MMA da Tecnologia
Segurança Web: O MMA da TecnologiaSegurança Web: O MMA da Tecnologia
Segurança Web: O MMA da Tecnologia
Carlos Nilton Araújo Corrêa
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de Redes
Bruno Alexandre
 
Qualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHPQualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHP
Quality Press
 
Segurança em Rails
Segurança em RailsSegurança em Rails
Segurança em Rails
Juan Maiz
 

Mais procurados (20)

Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4
 
Xss
XssXss
Xss
 
Segurança em Aplicações ASP.NET (XSS e CSRF)
Segurança em Aplicações ASP.NET (XSS e CSRF)Segurança em Aplicações ASP.NET (XSS e CSRF)
Segurança em Aplicações ASP.NET (XSS e CSRF)
 
Segurança Web com PHP5
Segurança Web com PHP5Segurança Web com PHP5
Segurança Web com PHP5
 
Escrevendo códigos php seguros
Escrevendo códigos php segurosEscrevendo códigos php seguros
Escrevendo códigos php seguros
 
Palestra criando aplicações seguras com php (2)
Palestra  criando aplicações seguras com php (2)Palestra  criando aplicações seguras com php (2)
Palestra criando aplicações seguras com php (2)
 
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBFIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
 
Segurança no desenvolvimento web
Segurança no desenvolvimento webSegurança no desenvolvimento web
Segurança no desenvolvimento web
 
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
 
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2
 
PHP Desenvolvimento Seguro
PHP Desenvolvimento SeguroPHP Desenvolvimento Seguro
PHP Desenvolvimento Seguro
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 
Segurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSegurança PHP - por Samyr Abdo
Segurança PHP - por Samyr Abdo
 
Invasão e correção em sites
Invasão e correção em sitesInvasão e correção em sites
Invasão e correção em sites
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e Segurança
 
Segurança Web: O MMA da Tecnologia
Segurança Web: O MMA da TecnologiaSegurança Web: O MMA da Tecnologia
Segurança Web: O MMA da Tecnologia
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de Redes
 
Qualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHPQualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHP
 
Segurança em Rails
Segurança em RailsSegurança em Rails
Segurança em Rails
 

Semelhante a Construindo uma Aplicação PHP à Prova de Balas

Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
Sergio Henrique
 
Segurança e Auditoria de sistemas
Segurança e Auditoria de sistemasSegurança e Auditoria de sistemas
Segurança e Auditoria de sistemas
Wesley Gimenes
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
Kaito Queiroz
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
Kaito Queiroz
 
Website security
Website securityWebsite security
Website security
thiagosenac
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
Synergia - Engenharia de Software e Sistemas
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Edlaine Zamora
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Clavis Segurança da Informação
 
Resenha o que é um hacker
Resenha o que é um hackerResenha o que é um hacker
Resenha o que é um hacker
nilsonsq
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
Alex Hübner
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
Alex Camargo
 
Segurança em php
Segurança em phpSegurança em php
Segurança em php
COTIC-PROEG (UFPA)
 
ataque_bruteforce_com_hydra_parte_1.pdf
ataque_bruteforce_com_hydra_parte_1.pdfataque_bruteforce_com_hydra_parte_1.pdf
ataque_bruteforce_com_hydra_parte_1.pdf
xererenhosdominaram
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigos
Mauricio Corrêa
 
Segurança de código
Segurança de códigoSegurança de código
Segurança de código
Wanderlei Silva do Carmo
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da Informação
Vinicius Marangoni
 
7 modos fáceis para evitar ser hackeado
7 modos fáceis para evitar ser hackeado7 modos fáceis para evitar ser hackeado
7 modos fáceis para evitar ser hackeado
Paulo Pagliusi, PhD, CISM
 
Segurança & Ruby on Rails
Segurança & Ruby on RailsSegurança & Ruby on Rails
Segurança & Ruby on Rails
Julio Monteiro
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
Alan Carlos
 

Semelhante a Construindo uma Aplicação PHP à Prova de Balas (20)

Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
 
Segurança e Auditoria de sistemas
Segurança e Auditoria de sistemasSegurança e Auditoria de sistemas
Segurança e Auditoria de sistemas
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
 
Website security
Website securityWebsite security
Website security
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Resenha o que é um hacker
Resenha o que é um hackerResenha o que é um hacker
Resenha o que é um hacker
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
 
Segurança em php
Segurança em phpSegurança em php
Segurança em php
 
ataque_bruteforce_com_hydra_parte_1.pdf
ataque_bruteforce_com_hydra_parte_1.pdfataque_bruteforce_com_hydra_parte_1.pdf
ataque_bruteforce_com_hydra_parte_1.pdf
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigos
 
Segurança de código
Segurança de códigoSegurança de código
Segurança de código
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da Informação
 
7 modos fáceis para evitar ser hackeado
7 modos fáceis para evitar ser hackeado7 modos fáceis para evitar ser hackeado
7 modos fáceis para evitar ser hackeado
 
Segurança & Ruby on Rails
Segurança & Ruby on RailsSegurança & Ruby on Rails
Segurança & Ruby on Rails
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 

Mais de Rafael Jaques

PHP na Tela Escura: Aplicações Poderosas em Linha de Comando
PHP na Tela Escura: Aplicações Poderosas em Linha de ComandoPHP na Tela Escura: Aplicações Poderosas em Linha de Comando
PHP na Tela Escura: Aplicações Poderosas em Linha de Comando
Rafael Jaques
 
Segurança na Era Digital: ensinando novos hábitos aos indivíduos digitais - F...
Segurança na Era Digital: ensinando novos hábitos aos indivíduos digitais - F...Segurança na Era Digital: ensinando novos hábitos aos indivíduos digitais - F...
Segurança na Era Digital: ensinando novos hábitos aos indivíduos digitais - F...
Rafael Jaques
 
Utilizando a Internet de Maneira Consciente
Utilizando a Internet de Maneira ConscienteUtilizando a Internet de Maneira Consciente
Utilizando a Internet de Maneira Consciente
Rafael Jaques
 
Engenharia Social: A Doce Arte de Hackear Mentes
Engenharia Social: A Doce Arte de Hackear MentesEngenharia Social: A Doce Arte de Hackear Mentes
Engenharia Social: A Doce Arte de Hackear Mentes
Rafael Jaques
 
Engenharia Social: Amiguinhos Virtuais, Ameaças Reais
Engenharia Social: Amiguinhos Virtuais, Ameaças ReaisEngenharia Social: Amiguinhos Virtuais, Ameaças Reais
Engenharia Social: Amiguinhos Virtuais, Ameaças Reais
Rafael Jaques
 
Explorando O Potencial Das Linguagens De Programação Open Source
Explorando O Potencial Das Linguagens De Programação Open SourceExplorando O Potencial Das Linguagens De Programação Open Source
Explorando O Potencial Das Linguagens De Programação Open Source
Rafael Jaques
 

Mais de Rafael Jaques (6)

PHP na Tela Escura: Aplicações Poderosas em Linha de Comando
PHP na Tela Escura: Aplicações Poderosas em Linha de ComandoPHP na Tela Escura: Aplicações Poderosas em Linha de Comando
PHP na Tela Escura: Aplicações Poderosas em Linha de Comando
 
Segurança na Era Digital: ensinando novos hábitos aos indivíduos digitais - F...
Segurança na Era Digital: ensinando novos hábitos aos indivíduos digitais - F...Segurança na Era Digital: ensinando novos hábitos aos indivíduos digitais - F...
Segurança na Era Digital: ensinando novos hábitos aos indivíduos digitais - F...
 
Utilizando a Internet de Maneira Consciente
Utilizando a Internet de Maneira ConscienteUtilizando a Internet de Maneira Consciente
Utilizando a Internet de Maneira Consciente
 
Engenharia Social: A Doce Arte de Hackear Mentes
Engenharia Social: A Doce Arte de Hackear MentesEngenharia Social: A Doce Arte de Hackear Mentes
Engenharia Social: A Doce Arte de Hackear Mentes
 
Engenharia Social: Amiguinhos Virtuais, Ameaças Reais
Engenharia Social: Amiguinhos Virtuais, Ameaças ReaisEngenharia Social: Amiguinhos Virtuais, Ameaças Reais
Engenharia Social: Amiguinhos Virtuais, Ameaças Reais
 
Explorando O Potencial Das Linguagens De Programação Open Source
Explorando O Potencial Das Linguagens De Programação Open SourceExplorando O Potencial Das Linguagens De Programação Open Source
Explorando O Potencial Das Linguagens De Programação Open Source
 

Último

Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de   DevOps/CLoudFerramentas que irão te ajudar a entrar no mundo de   DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ismael Ash
 
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdfEletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
barbosajucy47
 
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
Faga1939
 
ExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão 2024 - Desvendando um mundo em ebuliçãoExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão
 
Segurança da Informação - Onde estou e para onde eu vou.pptx
Segurança da Informação - Onde estou e para onde eu vou.pptxSegurança da Informação - Onde estou e para onde eu vou.pptx
Segurança da Informação - Onde estou e para onde eu vou.pptx
Divina Vitorino
 
Subindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWSSubindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWS
Ismael Ash
 
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docxse38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
ronaldos10
 

Último (7)

Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de   DevOps/CLoudFerramentas que irão te ajudar a entrar no mundo de   DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
 
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdfEletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
 
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
 
ExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão 2024 - Desvendando um mundo em ebuliçãoExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão 2024 - Desvendando um mundo em ebulição
 
Segurança da Informação - Onde estou e para onde eu vou.pptx
Segurança da Informação - Onde estou e para onde eu vou.pptxSegurança da Informação - Onde estou e para onde eu vou.pptx
Segurança da Informação - Onde estou e para onde eu vou.pptx
 
Subindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWSSubindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWS
 
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docxse38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
 

Construindo uma Aplicação PHP à Prova de Balas

  • 1. Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 “ Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas” (Mateus 6.33)
  • 2. Pauta Um pouco sobre segurança Conhecendo os meios de ataque Outros tipos de ameaça Mais alguns cuidados Perguntas
  • 3. Um pouco sobre segurança 1
  • 4. O que é segurança? Segurança baseia-se em três pontos: CONFIDENCIALIDADE INTEGRIDADE DISPONIBILIDADE
  • 5. O que é segurança? Não se iluda. Não existem aplicações 100% seguras. Não ouse dizer isso... Você poderá ter sérios problemas.
  • 6. O quão segura deve ser a sua aplicação? Você deve encontrar um equilíbrio entre a segurança e a usabilidade do seu sistema. Crie um sistema com pouca segurança e ele será invadido . Crie um sistema com muita segurança e ele será impossível de usar .
  • 7. O quão segura deve ser a sua aplicação? Evite investir esforços onde não é necessário. Sempre revise o que você projetou.
  • 8. Os custos que envolvem uma aplicação segura Aplicações seguras tendem a custar caro... Aplicações não seguras tendem a custar mais caro ainda...
  • 9. Os custos que envolvem uma aplicação segura Maior tempo de projeto e pesquisa Programação extendida Testes mais minuciosos Maior uso de hardware Maior uso de banda Treinamento de pessoal interno Treinamento do usuário Entre os custos envolvidos no desenvolvimento da aplicação, temos os seguintes pontos:
  • 10. não sacrifique a usabilidade do projeto
  • 11. Conhecendo os meios de ataque 2
  • 12. Quais os tipos de ataque que posso sofrer? XSS (Cross-site Scripting) SQL Injection Session Hijacking Cookie Theft Existem diversos tipos de ataque através da internet. Eis alguns: Brute Force Rainbow Table Password Sniffing Entre outros...
  • 13. XSS Cross-site Scripting O que é? Injeção de código arbitrário em uma página. Como ocorre? Geralmente através de brechas em formulários onde os dados enviados ao servidor não são devidamente filtrados.
  • 16. XSS Cross-site Scripting Como evitar Existem funções prontas no PHP para filtrar strings. Utilizando-as, além de evitar um XSS, você garante que o usuário conseguirá expressar o que realmente intentou.
  • 17. XSS Cross-site Scripting Como evitar Funções que você pode utilizar: htmlspecialchars() htmlentities() filter_input() Leia mais sobre XSS: http://tinyurl.com/mais-sobre-xss
  • 18. SQL Injection O que é? Injeção de código SQL arbitrário dentro de uma consulta legítima. Como ocorre? Na maioria das vezes a injeção de código SQL se dá a partir de formulários não filtrados, em que os dados recebidos vão diretamente para dentro da consulta.
  • 20. SQL Injection Exemplo 1' OR 1='1
  • 21. SQL Injection Exemplo fulano'# ou fulano' --
  • 22. SQL Injection Como evitar Novamente... Filtrando os dados enviados pelo usuário é possível evitar que seja injetado código dentro do seu SQL.
  • 23. SQL Injection Como evitar Funções que você pode utilizar: addslashes() mysql_real_escape_string() Leia mais sobre XSS: http://tinyurl.com/mais-sobre-sql-injection
  • 24. Session Hijacking O que é? Quando o invasor obtém acesso à sessão de um usuário autenticado. Como ocorre? Sempre que os dados do cliente são armazenados em sessão é gerado um ID. Caso alguém o descubra, poderá navegar pelo site como se fosse o usuário real.
  • 25. Session Hijacking Atenção... Hoje, com as configurações padrão do PHP é bem pouco provável que você sofra um ataque de roubo de sessão no seu site. Para tanto você deve estar atento às seguintes configurações:
  • 26. Session Hijacking Atenção... session.use_cookies session.use_only_cookies
  • 27. Session Hijacking Exemplo algumapagina.php?PHPSESSID=1234
  • 28. Session Hijacking Como evitar Nunca confie 100% no ID de sessão recebido. Você pode fazer algumas verificações redudantes, como comparar o IP e o User-Agent. Em casos mais vitais você pode sugerir ao usuário que utilize cookies, intruindo-o e falando da sua importância para uma navegação mais segura no site. Leia mais sobre Sess. Hijacking: http://tinyurl.com/mais-sobre-sess-hijacking
  • 29. Cookie Theft O que é? A tradução literal é “Roubo de Cookie”. Na verdade a literal mesmo é “Roubo de Biscoito”. :P Trata-se capturar cookies na máquina da vítima e utilizá-los para acessar o local desejado. Como ocorre? O roubo de cookie pode possuir duas naturezas: XSS e vulnerabilidades no próprio browser.
  • 30. Cookie Theft Como evitar O script que foi apresentado anteriormente no exemplo de XSS é responsável por roubar um cookie. Atualmente não são muito comuns falhas de browsers que permitam o roubo de cookies, mas no passado houveram muitos .
  • 31. Cookie Theft Como evitar No site do PHP Security Consortium [1] você pode consultar o resumo da newsletter da SecurityFocus [2], que possui sempre anúncio de novas vulnerabilidades encontradas. A partir disso você pode conscientizar os seus usuários caso perceba que os mesmos utilizem um browser vulnerável. [1] http://phpsec.org/projects/vulnerabilities/securityfocus.html [2] http://securityfocus.com/vulnerabilities
  • 32. Brute Force Attack O que é? O ataque por força bruta baseia-se na busca exaustiva da informação procurada, através de tentativa e erro com todas as possibilidades existentes. Como ocorre? O usuário mal intencionado acessa o formulário no qual irá tentar o ataque e utiliza um programa, estipulando uma cadeia de caracteres e um tamanho máximo para a frase. O programa irá tentar todas as combinações possíveis até que uma dê certo.
  • 33. Brute Force Attack Atenção... Este tipo de ataque é bastante semelhante ao Ataque de Dicionário . A diferença é que o dicionário esgota suas possibilidades mais rápido utilizando apenas palavras existentes e senhas comuns.
  • 34. Brute Force Attack Como evitar Existem dois meios bastante comuns de evitar este tipo de ataque: limite de tentativas e limite de tempo entre uma tentativa e outra. Leia mais sobre Sess. Hijacking: http://tinyurl.com/mais-sobre-brute-force
  • 35. Rainbow Table O que é? Semelhante ao ataque de força bruta, porém diretamente a um hash (md5, sha1, etc). Como ocorre? É a mistura de um ataque de força bruta com um ataque de dicionário. De posse do hash, o invasor utiliza este ataque para testar combinações que possam gerar o hash procurado até que se chegue à resposta correta.
  • 36. Rainbow Table Exemplo Caso o usuário malicioso obtenha acesso aos hashs de senha (apenas visualizar), ele ainda assim terá de descobrir a senha que está ali. O problema está em confiar apenas na criptografia de hashs comuns como md5 e sha1 .
  • 37. Rainbow Table Exemplo Vamos pegar como exemplo a palavra abacaxi . O hash md5 referente é 4b96d5c1ff312eea069ddc760794963d . Supondo que obtemos este hash do banco de dados, basta digitá-lo no Google e em alguns segundos estamos prontos.
  • 39. Rainbow Table Como evitar A técnica mais utilizada e que reduz drasticamente a chance de este ataque dar certo, é “temperar” suas senhas. Ao inserir uma string arbitrária antes de criptografar a senha, este ataque torna-se praticamente inefetivo. À essa string arbitrária damos o nome de salt .
  • 40. Rainbow Table Como evitar Digamos que seu salt será rocknroll . Ao aplicar a criptografia na sua string, você deverá concatenar com o seu salt. md5('rocknroll' . $senha) Se a senha for abacaxi teremos o seguinte hash: 0a5cefae5c742e8a914f486db9ea45ef . E pra esse o Google não tem resposta! ;) Leia mais sobre Rainbow Table: http://tinyurl.com/mais-sobre-rainbow-table
  • 41. Password Sniffing O que é? Este ataque baseia-se em capturar na rede um pacote descriptografado com os dados de autenticação de algum usuário. Como ocorre? Monitorando a rede pode-se visualizar todos os pacotes. Todas as requisições via POST e GET normalmente estão abertas à visualização.
  • 42. Password Sniffing Como evitar Proteja a sua conexão com SSL. Utilizando este protocolo você irá assegurar que a comunicação entre o cliente e o servidor, mesmo que interceptada, não possa ser decifrada. Utilize sempre o POST (por ser uma forma mais segura) e lembre-se de sempre colocar o protocolo HTTPS .
  • 43. Password Sniffing Como evitar Você pode também redirecionar o usuário para a página de login (o formulário em si) sempre com HTTPS. Não existe nenhuma razão técnica para isso, apenas psicológica. O usuário costuma sentir-se mais seguro quando está colocando sua senha em uma página com cadeado. :) Leia mais sobre Sniffing: http://tinyurl.com/mais-sobre-sniffing
  • 44. Outros tipos de ameaça 3
  • 45. Outros tipos de ameaça Includes Abuso de formulários Diretrizes (register_globlals, display_errors, etc) Exposição do phpinfo Existem outras ameaças que vão além da alçada do programador. Outras podem ser evitadas se alguns cuidados forem tomados.
  • 46. Outros tipos de ameaça A inclusão de arquivos via include() e require() , embora muito útil, pode ter consequencias muito ruins se não utilizada corretamente. É muito comum a inclusão de arquivos recebidos via URL sem que a string seja filtrada. Includes
  • 47. Outros tipos de ameaça Outro ponto que você deve estar atento é quanto ao uso de extensões que o seu servidor web não “conheça”. Evite extensões do tipo .inc . Se for fazê-lo, prefira algo do tipo meuarquivo.inc.php . Includes
  • 48. Outros tipos de ameaça Funções que você pode utilizar para filtrar os dados recebidos e evitar um ataque de XSS ou a exposição do seu código: basename() file_exists() Includes
  • 49. Outros tipos de ameaça Esteja sempre atento ao uso de seus formulários. O maior erro que você pode cometer é colocar os possíveis e-mails dentro do seu formulário. Isto abrirá uma brecha em que o usuário mal intencionado poderá inserir endereços arbitrários e utilizar o seu formulário como disseminador de SPAM. Abuso de formulários
  • 50. Outros tipos de ameaça Algumas diretrizes, quando bem configuradas, podem aumentar a segurança da sua aplicação. register_globals display_errors log_errors Diretrizes
  • 51. Outros tipos de ameaça É incrível o número de páginas espalhadas pela web que possuem um arquivo phpinfo.php em sua raiz. A primeira ação tomada por um usuário mal intencionado é verificar a existência desse arquivo e de variantes do seu nome como info.php , php.php , etc. Exposição do phpinfo
  • 53. Mais alguns cuidados Lei do menor privilégio (SQL) Ocultação de cabeçalhos HTTP Examine sempre os logs Existem mais alguns cuidados que você pode tomar para assegurar que será mais difícil conseguir realizar um ataque bem sucedido contra a sua aplicação.
  • 54. Mais alguns cuidados Lei do menor privilégio (SQL) Sempre que possível, crie mais de um usuário para acesso ao banco de dados. Não é uma boa idéia utilizar o usuário administrador (root) para acessar o banco através do site.
  • 55. Mais alguns cuidados Lei do menor privilégio (SQL) Crie usuários que só tenham permissão de leitura e usuários que só tenham permissão de escrita . Caso, devido a algum infortuno do destino, alguém consiga invadir o seu sistema terá apenas permissões limitadas.
  • 56. Mais alguns cuidados Ocultação de cabeçalhos HTTP Sempre que você acessa uma página, o servidor envia cabeçalhos HTTP para o seu browser. Dentro deste cabeçalhos podemos encontrar algumas informações interessantes.
  • 57. Mais alguns cuidados Ocultação de cabeçalhos HTTP
  • 58. Mais alguns cuidados Ocultação de cabeçalhos HTTP Dentro do arquivo httpd.conf do Apache você pode alterar o nível de exposição da versão das aplicações instaladas no seu servidor. Para tanto, você deve alterar a diretiva ServerTokens .
  • 59. Mais alguns cuidados Ocultação de cabeçalhos HTTP ServerTokens valor_desejado Prod: Apache Major: Apache/2 Minor: Apache/2.0 Min: Apache/2.0.59 OS: Apache/2.0.59 (Unix) Full: Apache/2.0.59 (Unix) PHP/5.2.6
  • 60. Mais alguns cuidados Examine sempre os logs Esteja atento aos logs e, se possível, utilize ferramentas de monitoramento de tráfego (como AWStats e Webalizer) para analisar possíveis tentativas de ataque à sua página.
  • 61. ?
  • 62. Obrigado! :) Rafael Jaques Site: phpit.com.br E-mail: rafa@php.net Twitter: @rafajaques