Er Galvão Abbott, profile picture
Carregado porEr Galvão Abbott
838 visualizações

Segurança PHP em 2016

A evolução da segurança PHP em 2016 se resume a: - Melhorias nos algoritmos de hashing de senhas; - Nova função de números aleatórios e geração de bytes aleatórios; - Suporte a criptografia simétrica com libsodium e OpenSSL; - Uso obrigatório do PDO para acesso a bancos de dados.

Incorporar apresentação

Baixado 27 vezes
Segurança em 2016 Segurança PHP em 2016 www.galvao.eti.br CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 1 / 37
Presidente da ABRAPHP – Associação Brasileira de Profissionais PHP Diretor da PHP Conference Brasil Contribui para a tradução da documentação oficial Atua como Zend Framework Evangelist para o ZTeam, da Zend. Professor Especialista de Pós-Graduação UNOESC (SC) e Faculdade Alfa (PR) 20+ anos desenvolvendo sistemas e aplicações com interface web 15+ destes com PHP 7+ com Zend Framework Palestrante em eventos nacionais e internacionais Instrutor de cursos presenciais e a distância Fundador e líder do GU PHPBR Fundador* e membro do GU PHPRS Site: http://www.galvao.eti.br/ http://people.php.net/galvao Twitter: @galvao Slides e Documentos: http://slideshare.net/ergalvao Github: http://github.com/galvao Posts: https://medium.com/@galvao Quem?! CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 2 / 37 www.galvao.eti.brSegurança PHP em 2016
Sumário CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 3 / 37 www.galvao.eti.br O status da Segurança PHP em 2016 ● Hashing ● PRNG ● Criptografia ● Banco de Dados ● Tipagem Segurança PHP em 2016
Sumário CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 4 / 37 www.galvao.eti.brSegurança PHP em 2016 Tudo se resume a evolução
Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 5 / 37 www.galvao.eti.brSegurança PHP em 2016 md5('my_password'); sha1('my_password'); crypt('my_password', 'my_salt');
Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 6 / 37 www.galvao.eti.br md5('my_password'); sha1('my_password'); crypt('my_password', 'my_salt'); Segurança PHP em 2016
Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 7 / 37 www.galvao.eti.br md5('my_password'); sha1('my_password'); crypt('my_password', 'my_salt'); Segurança PHP em 2016
Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 8 / 37 www.galvao.eti.br <?php $hash = password_hash('my_password', PASSWORD_BCRYPT, ['cost' => 10, 'salt' => 'this_is_my_salt_is_my_salt'] ); Segurança PHP em 2016
Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 9 / 37 www.galvao.eti.br <?php $hash = password_hash('my_password', PASSWORD_BCRYPT, ['cost' => 10, 'salt' => 'this_is_my_salt_is_my_salt'] ); if (password_verify('my_password', $hash)) { // YAY! } Segurança PHP em 2016
Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 10 / 37 www.galvao.eti.br <?php $pass = 'my_password'; $options = ['cost' => 10]; $hash = password_hash($pass, PASSWORD_DEFAULT, $options ); if (password_verify($pass, $hash)) { if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options)) { $newHash = password_hash($pass, PASSWORD_DEFAULT, $options); } } Segurança PHP em 2016
Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 11 / 37 www.galvao.eti.br <?php $pass = 'my_password'; $options = ['cost' => 10]; $hash = password_hash($pass, PASSWORD_DEFAULT, $options ); if (password_verify($pass, $hash)) { if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options)) { $newHash = password_hash($pass, PASSWORD_DEFAULT, $options); } } Segurança PHP em 2016
Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 12 / 37 www.galvao.eti.br <?php $pass = 'my_password'; $options = ['cost' => 10]; $hash = password_hash($pass, PASSWORD_DEFAULT, $options ); if (password_verify($pass, $hash)) { if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options)) { $newHash = password_hash($pass, PASSWORD_DEFAULT, $options); } } Segurança PHP em 2016
PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 13 / 37 www.galvao.eti.br rand($min, $max); mt_rand($min, $max); // Implementação qualquer de randomização // de strings, tipo essa Segurança PHP em 2016
PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 14 / 37 www.galvao.eti.br rand($min, $max); mt_rand($min, $max); // Implementação qualquer de randomização // de strings, tipo essa Segurança PHP em 2016
PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 15 / 37 www.galvao.eti.br rand($min, $max); mt_rand($min, $max); // Implementação qualquer de randomização // de strings, tipo essa Segurança PHP em 2016
PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 16 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php $randomInt = random_int(0, 10);
PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 17 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php $randomInt = random_int(0, 10); $randomStr = random_bytes(22);
PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 18 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php $randomInt = random_int(0, 10); $randomStr = random_bytes(22); echo $randomInt . PHP_EOL; echo base64_encode($randomStr);
PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 19 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php try { $randomInt = random_int(0, 10); echo $randomInt . PHP_EOL; } catch (Exception $e) { die('Lib de randomização não encontrada: ' . $e->getMessage()); } try { $randomStr = random_bytes(22); echo base64_encode($randomStr); } catch (Exception $e) { die('Lib de randomização não encontrada: ' . $e->getMessage()); }
PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 20 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php try { $randomInt = random_int(0, 10); echo $randomInt . PHP_EOL; } catch (Exception $e) { die('Lib de randomização não encontrada: ' . $e->getMessage()); } try { $randomStr = random_bytes(22); echo base64_encode($randomStr); } catch (Exception $e) { die('Lib de randomização não encontrada: ' . $e->getMessage()); }
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 21 / 37 www.galvao.eti.br mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $str, MCRYPT_MODE_CBC, $iv ); mcrypt_decrypt(MCRYPT_RIJNDAEL_128, $key, $crypt, MCRYPT_MODE_CBC, $iv ); Segurança PHP em 2016 Criptografia
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 22 / 37 www.galvao.eti.br mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $str, MCRYPT_MODE_CBC, $iv ); mcrypt_decrypt(MCRYPT_RIJNDAEL_128, $key, $crypt, MCRYPT_MODE_CBC, $iv ); Segurança PHP em 2016 Criptografia
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 23 / 37 www.galvao.eti.br $key = Sodiumrandombytes_buf(SodiumCRYPTO_SECRETBOX_KEYBYTES); $nonce = Sodiumrandombytes_buf(SodiumCRYPTO_SECRETBOX_NONCEBYTES); $ciphertext = Sodiumcrypto_secretbox('test', $nonce, $key); Segurança PHP em 2016 Criptografia $plaintext = Sodiumcrypto_secretbox_open($ciphertext, $nonce, $key);
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 24 / 37 www.galvao.eti.br $crypt = openssl_encrypt('teste', 'blowfish', 'foo', 0, '11122233'); Segurança PHP em 2016 Criptografia $plaintext = openssl_decrypt($crypt, 'blowfish', 'foo', 0, '11122233');
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 25 / 37 www.galvao.eti.brSegurança PHP em 2016 Banco de Dados mysql_*(); Queries com valores diretos; Entre outras coisas...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 26 / 37 www.galvao.eti.brSegurança PHP em 2016 Banco de Dados mysql_*(); Queries com valores diretos; Entre outras coisas...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 27 / 37 www.galvao.eti.brSegurança PHP em 2016 Banco de Dados $dsn = 'mysql:dbname=nome_do_banco;host=127.0.0.1'; $user = 'usuario_do_banco'; $password = 'senha_do_banco'; $value = 'ABC' try { $dbh = new PDO($dsn, $user, $password); } catch (PDOException $e) { echo 'Conexão falhou: ' . $e->getMessage(); } $sql = 'SELECT * FROM produto WHERE nome=:clause'; $sth = $dbh->prepare($sql); $sth->bindParam(':clause', $value, PDO::PARAM_STR); $sth->execute(); $red = $sth->fetchAll(); var_dump($red[0]['nome']); $dbh = NULL;
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 28 / 37 www.galvao.eti.brSegurança PHP em 2016 Banco de Dados $dsn = 'mysql:dbname=nome_do_banco;host=127.0.0.1'; $user = 'usuario_do_banco'; $password = 'senha_do_banco'; $value = 'ABC' try { $dbh = new PDO($dsn, $user, $password); } catch (PDOException $e) { echo 'Conexão falhou: ' . $e->getMessage(); } $sql = 'SELECT * FROM produto WHERE nome=:clause'; $sth = $dbh->prepare($sql); $sth->bindParam(':clause', $value, PDO::PARAM_STR); $sth->execute(); $red = $sth->fetchAll(); var_dump($red[0]['nome']); $dbh = NULL;
Tipagem CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 29 / 37 www.galvao.eti.br <?php declare(strict_types=1); function foo(int $x, int $y) { return $x + $y; } echo foo('1', 2); Segurança PHP em 2016
Tipagem CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 30 / 37 www.galvao.eti.br <?php declare(strict_types=1); function foo(int $x, int $y) { return $x + $y; } echo foo('1', 2); Segurança PHP em 2016 Fatal error: Uncaught TypeError: Argument 1 passed to foo() must be of the type integer, string given, called in /home/vagrant/php7tests/t1.php on line 9 and defined in /home/vagrant/php7tests/t1.php:4 Stack trace: ...
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 31 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Nem tudo muda… … ou o que eu quero dizer com “outras coisas”
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 32 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Imagem by nixCraft
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 33 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Segurança deixa a aplicação lenta? Segurança é difícil de aprender? Segurança é difícil de implementar? A resposta continua sendo a mesma:
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 34 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Segurança deixa a aplicação lenta? Segurança é difícil de aprender? Segurança é difícil de implementar? A resposta continua sendo a mesma: NÃO IMPORTA!
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 35 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Notegraphy, Galvão
INFORME-SE! CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 36 / 37 www.galvao.eti.brSegurança PHP em 2016 Acompanhe as mudanças da linguagem https://wiki.php.net/rfc Usando libsodium com PHP https://paragonie.com/book/pecl-libsodium Pesquise e ESTUDE! https://www.owasp.org/ RTFM!!! http://php.net/manual/en
Muito obrigado! CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 37 / 37 www.galvao.eti.br ? Dúvidas? ↓ Críticas? ↑ Elogios?! Segurança PHP em 2016

Mais conteúdo relacionado

PDF
Tudo o que você precisa saber sobre o php7
porEr Galvão Abbott
 
PDF
DRYing the Skeleton: Reducing code repetition in ZF2
porEr Galvão Abbott
 
ODP
Php7 esta chgando! O que você precisa saber
porEr Galvão Abbott
 
PPTX
PHP 7 - A Maioridade do PHP
porDaniel Archer Marques Cramer
 
PDF
Muito prazer, eu sou PHP
porLuís Cobucci
 
PDF
Unbreakeable php
porEr Galvão Abbott
 
PDF
15 coisas sobre php para saber antes de morrer
porMichele Silva
 
PDF
PHP para aplicações Web de grande porte
porFelipe Ribeiro
 
Tudo o que você precisa saber sobre o php7
porEr Galvão Abbott
 
DRYing the Skeleton: Reducing code repetition in ZF2
porEr Galvão Abbott
 
Php7 esta chgando! O que você precisa saber
porEr Galvão Abbott
 
PHP 7 - A Maioridade do PHP
porDaniel Archer Marques Cramer
 
Muito prazer, eu sou PHP
porLuís Cobucci
 
Unbreakeable php
porEr Galvão Abbott
 
15 coisas sobre php para saber antes de morrer
porMichele Silva
 
PHP para aplicações Web de grande porte
porFelipe Ribeiro
 

Mais procurados

PPTX
PHP Além da universidade
porDaniel Archer Marques Cramer
 
PDF
PHP na Tela Escura: Aplicações Poderosas em Linha de Comando
porRafael Jaques
 
ODP
Otimizando a execução de código-fonte PHP
porEr Galvão Abbott
 
PDF
Zend Framework 3 - porque só o que existe pode ser aprimorado
porFlávio Lisboa
 
PDF
Zend framework 3 Hangout 2016
porFlávio Lisboa
 
PDF
Desenvolvendo mvp com python
porBruno Rocha
 
PDF
[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...
porRafael Jaques
 
PDF
O futuro do elephante: as promessas do php para 2019
porCassio Santos
 
PPTX
Rumo à Certificação PHP
porAri Stopassola Junior
 
ZIP
Pog Nunca Mais - Técnicas e Macetes para o Desenvolvimento em PHP
porPaulino Michelazzo
 
PDF
Como fazer boas libs
porVinta Software
 
ODP
Php Test Fest PHPMS, Maio 2008
porzehzinho
 
PDF
O que esperar do Zend Framework 3
porFlávio Lisboa
 
ODP
Brasiliatestfest
porpaulovitorbal
 
KEY
Introdução ao Python & Web Services
porDorneles Treméa
 
PDF
PHP Jedi - Boas Práticas e Alta Performance
porFelipe Ribeiro
 
PDF
Migrando para PHP7 - Novidades
porLuis Gustavo Almeida
 
ODP
O que há de novo no PHP 5.3
porJose Berardo
 
PPT
Mini-curso codeIgniter - aula 1
porlfernandomcj
 
PPTX
PHPSP TestFest 2010
porRafael Dohms
 
PHP Além da universidade
porDaniel Archer Marques Cramer
 
PHP na Tela Escura: Aplicações Poderosas em Linha de Comando
porRafael Jaques
 
Otimizando a execução de código-fonte PHP
porEr Galvão Abbott
 
Zend Framework 3 - porque só o que existe pode ser aprimorado
porFlávio Lisboa
 
Zend framework 3 Hangout 2016
porFlávio Lisboa
 
Desenvolvendo mvp com python
porBruno Rocha
 
[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...
porRafael Jaques
 
O futuro do elephante: as promessas do php para 2019
porCassio Santos
 
Rumo à Certificação PHP
porAri Stopassola Junior
 
Pog Nunca Mais - Técnicas e Macetes para o Desenvolvimento em PHP
porPaulino Michelazzo
 
Como fazer boas libs
porVinta Software
 
Php Test Fest PHPMS, Maio 2008
porzehzinho
 
O que esperar do Zend Framework 3
porFlávio Lisboa
 
Brasiliatestfest
porpaulovitorbal
 
Introdução ao Python & Web Services
porDorneles Treméa
 
PHP Jedi - Boas Práticas e Alta Performance
porFelipe Ribeiro
 
Migrando para PHP7 - Novidades
porLuis Gustavo Almeida
 
O que há de novo no PHP 5.3
porJose Berardo
 
Mini-curso codeIgniter - aula 1
porlfernandomcj
 
PHPSP TestFest 2010
porRafael Dohms
 

Destaque

PDF
DrupalCamp Campinas 2016 - Auditando performance, conteúdo e boas práticas em...
porErick Bonnemasou Jaccoud
 
PPTX
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
porConviso Application Security
 
PPT
Tratando as vulnerabilidades do Top 10 com php
porConviso Application Security
 
PDF
Security & PHP
porNuno Loureiro
 
PDF
Segurança em Aplicações Web
porCassio Ramos
 
PPT
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
porClavis Segurança da Informação
 
PPTX
Desenvolvendo sistemas seguros com PHP
porFlavio Souza
 
PPTX
Segurança em PHP - Blinde seu código de você mesmo!
porGustavo Neves
 
PDF
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
porErick Belluci Tedeschi
 
DrupalCamp Campinas 2016 - Auditando performance, conteúdo e boas práticas em...
porErick Bonnemasou Jaccoud
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
porConviso Application Security
 
Tratando as vulnerabilidades do Top 10 com php
porConviso Application Security
 
Security & PHP
porNuno Loureiro
 
Segurança em Aplicações Web
porCassio Ramos
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
porClavis Segurança da Informação
 
Desenvolvendo sistemas seguros com PHP
porFlavio Souza
 
Segurança em PHP - Blinde seu código de você mesmo!
porGustavo Neves
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
porErick Belluci Tedeschi
 

Semelhante a Segurança PHP em 2016

PDF
PHP e Segurança - Uma união possível
porEr Galvão Abbott
 
PDF
Implementando Segurança Em Sua Aplicação PHP
porEr Galvão Abbott
 
PPTX
Dicas de segurança para o PHP e seus amigos
porJoubert Guimarães de Assis "RedRat"
 
PDF
PHP e a (in)segurança de aplicações
porrjsmelo
 
PDF
PHP: Evolução
porEr Galvão Abbott
 
PDF
Hello SAFE World!!!
porEveraldo Wanderlei Uavniczak
 
PPTX
Palestra criando aplicações seguras com php (2)
porLeandro Lugaresi
 
PPTX
PDO: TRABALHANDO COM BANCO DO JEITO CERTO
porPerla Coutinho Barbosa
 
PDF
Criptografia - como utilizar
porFelipe Weckx
 
PDF
PHP & Segurança: Blindando Aplicações Web - Rafael Jaques - Tchelinux Bento G...
porTchelinux
 
PHP e Segurança - Uma união possível
porEr Galvão Abbott
 
Implementando Segurança Em Sua Aplicação PHP
porEr Galvão Abbott
 
Dicas de segurança para o PHP e seus amigos
porJoubert Guimarães de Assis "RedRat"
 
PHP e a (in)segurança de aplicações
porrjsmelo
 
PHP: Evolução
porEr Galvão Abbott
 
Hello SAFE World!!!
porEveraldo Wanderlei Uavniczak
 
Palestra criando aplicações seguras com php (2)
porLeandro Lugaresi
 
PDO: TRABALHANDO COM BANCO DO JEITO CERTO
porPerla Coutinho Barbosa
 
Criptografia - como utilizar
porFelipe Weckx
 
PHP & Segurança: Blindando Aplicações Web - Rafael Jaques - Tchelinux Bento G...
porTchelinux
 

Mais de Er Galvão Abbott

ODP
PHP e Open Source
porEr Galvão Abbott
 
PDF
ABRAPHP: Conquistas e Realizações - 2012-2014
porEr Galvão Abbott
 
ODP
Implementing security routines with zf2
porEr Galvão Abbott
 
PDF
Desenvolvendo aplicações com ZF2
porEr Galvão Abbott
 
PDF
Apresentacao frameworks
porEr Galvão Abbott
 
ODP
Web: funcionamento, evolução e mercado
porEr Galvão Abbott
 
PDF
ZF2 Menor, melhor e mais poderoso
porEr Galvão Abbott
 
ODP
Implementando rotinas de geolocalização
porEr Galvão Abbott
 
ODP
OSS, Comunidade, Eventos e como sua empresa ganha com isso
porEr Galvão Abbott
 
ODP
OWASP: O que, Por que e Como
porEr Galvão Abbott
 
PDF
Além da autenticação: Permissões de acesso com Zend Framework
porEr Galvão Abbott
 
PDF
Proposta de Boas Práticas e Padrões de Desenvolvimento Web
porEr Galvão Abbott
 
PDF
PHPBR TestFest
porEr Galvão Abbott
 
PDF
Preto, Branco e as Sombras de Cinza
porEr Galvão Abbott
 
PDF
Top 10 OWASP com PHP
porEr Galvão Abbott
 
PDF
Aplicacoes Web Com AJAX
porEr Galvão Abbott
 
PDF
Prevenindo XSS: Execute apenas o SEU código
porEr Galvão Abbott
 
PHP e Open Source
porEr Galvão Abbott
 
ABRAPHP: Conquistas e Realizações - 2012-2014
porEr Galvão Abbott
 
Implementing security routines with zf2
porEr Galvão Abbott
 
Desenvolvendo aplicações com ZF2
porEr Galvão Abbott
 
Apresentacao frameworks
porEr Galvão Abbott
 
Web: funcionamento, evolução e mercado
porEr Galvão Abbott
 
ZF2 Menor, melhor e mais poderoso
porEr Galvão Abbott
 
Implementando rotinas de geolocalização
porEr Galvão Abbott
 
OSS, Comunidade, Eventos e como sua empresa ganha com isso
porEr Galvão Abbott
 
OWASP: O que, Por que e Como
porEr Galvão Abbott
 
Além da autenticação: Permissões de acesso com Zend Framework
porEr Galvão Abbott
 
Proposta de Boas Práticas e Padrões de Desenvolvimento Web
porEr Galvão Abbott
 
PHPBR TestFest
porEr Galvão Abbott
 
Preto, Branco e as Sombras de Cinza
porEr Galvão Abbott
 
Top 10 OWASP com PHP
porEr Galvão Abbott
 
Aplicacoes Web Com AJAX
porEr Galvão Abbott
 
Prevenindo XSS: Execute apenas o SEU código
porEr Galvão Abbott
 

Segurança PHP em 2016

  • 1.
    Segurança em 2016 Segurança PHPem 2016 www.galvao.eti.br CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 1 / 37
  • 2.
    Presidente da ABRAPHP– Associação Brasileira de Profissionais PHP Diretor da PHP Conference Brasil Contribui para a tradução da documentação oficial Atua como Zend Framework Evangelist para o ZTeam, da Zend. Professor Especialista de Pós-Graduação UNOESC (SC) e Faculdade Alfa (PR) 20+ anos desenvolvendo sistemas e aplicações com interface web 15+ destes com PHP 7+ com Zend Framework Palestrante em eventos nacionais e internacionais Instrutor de cursos presenciais e a distância Fundador e líder do GU PHPBR Fundador* e membro do GU PHPRS Site: http://www.galvao.eti.br/ http://people.php.net/galvao Twitter: @galvao Slides e Documentos: http://slideshare.net/ergalvao Github: http://github.com/galvao Posts: https://medium.com/@galvao Quem?! CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 2 / 37 www.galvao.eti.brSegurança PHP em 2016
  • 3.
    Sumário CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 3 / 37 www.galvao.eti.br O status da Segurança PHP em 2016 ● Hashing ● PRNG ● Criptografia ● Banco de Dados ● Tipagem Segurança PHP em 2016
  • 4.
    Sumário CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 4 / 37 www.galvao.eti.brSegurança PHP em 2016 Tudo se resume a evolução
  • 5.
    Hashing (Senhas) CC Attribution-ShareAlike3.0 Unported License by Er Galvão Abbott - 5/4/16 - 5 / 37 www.galvao.eti.brSegurança PHP em 2016 md5('my_password'); sha1('my_password'); crypt('my_password', 'my_salt');
  • 6.
    Hashing (Senhas) CC Attribution-ShareAlike3.0 Unported License by Er Galvão Abbott - 5/4/16 - 6 / 37 www.galvao.eti.br md5('my_password'); sha1('my_password'); crypt('my_password', 'my_salt'); Segurança PHP em 2016
  • 7.
    Hashing (Senhas) CC Attribution-ShareAlike3.0 Unported License by Er Galvão Abbott - 5/4/16 - 7 / 37 www.galvao.eti.br md5('my_password'); sha1('my_password'); crypt('my_password', 'my_salt'); Segurança PHP em 2016
  • 8.
    Hashing (Senhas) CC Attribution-ShareAlike3.0 Unported License by Er Galvão Abbott - 5/4/16 - 8 / 37 www.galvao.eti.br <?php $hash = password_hash('my_password', PASSWORD_BCRYPT, ['cost' => 10, 'salt' => 'this_is_my_salt_is_my_salt'] ); Segurança PHP em 2016
  • 9.
    Hashing (Senhas) CC Attribution-ShareAlike3.0 Unported License by Er Galvão Abbott - 5/4/16 - 9 / 37 www.galvao.eti.br <?php $hash = password_hash('my_password', PASSWORD_BCRYPT, ['cost' => 10, 'salt' => 'this_is_my_salt_is_my_salt'] ); if (password_verify('my_password', $hash)) { // YAY! } Segurança PHP em 2016
  • 10.
    Hashing (Senhas) CC Attribution-ShareAlike3.0 Unported License by Er Galvão Abbott - 5/4/16 - 10 / 37 www.galvao.eti.br <?php $pass = 'my_password'; $options = ['cost' => 10]; $hash = password_hash($pass, PASSWORD_DEFAULT, $options ); if (password_verify($pass, $hash)) { if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options)) { $newHash = password_hash($pass, PASSWORD_DEFAULT, $options); } } Segurança PHP em 2016
  • 11.
    Hashing (Senhas) CC Attribution-ShareAlike3.0 Unported License by Er Galvão Abbott - 5/4/16 - 11 / 37 www.galvao.eti.br <?php $pass = 'my_password'; $options = ['cost' => 10]; $hash = password_hash($pass, PASSWORD_DEFAULT, $options ); if (password_verify($pass, $hash)) { if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options)) { $newHash = password_hash($pass, PASSWORD_DEFAULT, $options); } } Segurança PHP em 2016
  • 12.
    Hashing (Senhas) CC Attribution-ShareAlike3.0 Unported License by Er Galvão Abbott - 5/4/16 - 12 / 37 www.galvao.eti.br <?php $pass = 'my_password'; $options = ['cost' => 10]; $hash = password_hash($pass, PASSWORD_DEFAULT, $options ); if (password_verify($pass, $hash)) { if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options)) { $newHash = password_hash($pass, PASSWORD_DEFAULT, $options); } } Segurança PHP em 2016
  • 13.
    PRNG CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 13 / 37 www.galvao.eti.br rand($min, $max); mt_rand($min, $max); // Implementação qualquer de randomização // de strings, tipo essa Segurança PHP em 2016
  • 14.
    PRNG CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 14 / 37 www.galvao.eti.br rand($min, $max); mt_rand($min, $max); // Implementação qualquer de randomização // de strings, tipo essa Segurança PHP em 2016
  • 15.
    PRNG CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 15 / 37 www.galvao.eti.br rand($min, $max); mt_rand($min, $max); // Implementação qualquer de randomização // de strings, tipo essa Segurança PHP em 2016
  • 16.
    PRNG CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 16 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php $randomInt = random_int(0, 10);
  • 17.
    PRNG CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 17 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php $randomInt = random_int(0, 10); $randomStr = random_bytes(22);
  • 18.
    PRNG CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 18 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php $randomInt = random_int(0, 10); $randomStr = random_bytes(22); echo $randomInt . PHP_EOL; echo base64_encode($randomStr);
  • 19.
    PRNG CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 19 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php try { $randomInt = random_int(0, 10); echo $randomInt . PHP_EOL; } catch (Exception $e) { die('Lib de randomização não encontrada: ' . $e->getMessage()); } try { $randomStr = random_bytes(22); echo base64_encode($randomStr); } catch (Exception $e) { die('Lib de randomização não encontrada: ' . $e->getMessage()); }
  • 20.
    PRNG CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 20 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php try { $randomInt = random_int(0, 10); echo $randomInt . PHP_EOL; } catch (Exception $e) { die('Lib de randomização não encontrada: ' . $e->getMessage()); } try { $randomStr = random_bytes(22); echo base64_encode($randomStr); } catch (Exception $e) { die('Lib de randomização não encontrada: ' . $e->getMessage()); }
  • 21.
    CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 21 / 37 www.galvao.eti.br mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $str, MCRYPT_MODE_CBC, $iv ); mcrypt_decrypt(MCRYPT_RIJNDAEL_128, $key, $crypt, MCRYPT_MODE_CBC, $iv ); Segurança PHP em 2016 Criptografia
  • 22.
    CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 22 / 37 www.galvao.eti.br mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $str, MCRYPT_MODE_CBC, $iv ); mcrypt_decrypt(MCRYPT_RIJNDAEL_128, $key, $crypt, MCRYPT_MODE_CBC, $iv ); Segurança PHP em 2016 Criptografia
  • 23.
    CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 23 / 37 www.galvao.eti.br $key = Sodiumrandombytes_buf(SodiumCRYPTO_SECRETBOX_KEYBYTES); $nonce = Sodiumrandombytes_buf(SodiumCRYPTO_SECRETBOX_NONCEBYTES); $ciphertext = Sodiumcrypto_secretbox('test', $nonce, $key); Segurança PHP em 2016 Criptografia $plaintext = Sodiumcrypto_secretbox_open($ciphertext, $nonce, $key);
  • 24.
    CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 24 / 37 www.galvao.eti.br $crypt = openssl_encrypt('teste', 'blowfish', 'foo', 0, '11122233'); Segurança PHP em 2016 Criptografia $plaintext = openssl_decrypt($crypt, 'blowfish', 'foo', 0, '11122233');
  • 25.
    CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 25 / 37 www.galvao.eti.brSegurança PHP em 2016 Banco de Dados mysql_*(); Queries com valores diretos; Entre outras coisas...
  • 26.
    CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 26 / 37 www.galvao.eti.brSegurança PHP em 2016 Banco de Dados mysql_*(); Queries com valores diretos; Entre outras coisas...
  • 27.
    CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 27 / 37 www.galvao.eti.brSegurança PHP em 2016 Banco de Dados $dsn = 'mysql:dbname=nome_do_banco;host=127.0.0.1'; $user = 'usuario_do_banco'; $password = 'senha_do_banco'; $value = 'ABC' try { $dbh = new PDO($dsn, $user, $password); } catch (PDOException $e) { echo 'Conexão falhou: ' . $e->getMessage(); } $sql = 'SELECT * FROM produto WHERE nome=:clause'; $sth = $dbh->prepare($sql); $sth->bindParam(':clause', $value, PDO::PARAM_STR); $sth->execute(); $red = $sth->fetchAll(); var_dump($red[0]['nome']); $dbh = NULL;
  • 28.
    CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 28 / 37 www.galvao.eti.brSegurança PHP em 2016 Banco de Dados $dsn = 'mysql:dbname=nome_do_banco;host=127.0.0.1'; $user = 'usuario_do_banco'; $password = 'senha_do_banco'; $value = 'ABC' try { $dbh = new PDO($dsn, $user, $password); } catch (PDOException $e) { echo 'Conexão falhou: ' . $e->getMessage(); } $sql = 'SELECT * FROM produto WHERE nome=:clause'; $sth = $dbh->prepare($sql); $sth->bindParam(':clause', $value, PDO::PARAM_STR); $sth->execute(); $red = $sth->fetchAll(); var_dump($red[0]['nome']); $dbh = NULL;
  • 29.
    Tipagem CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 29 / 37 www.galvao.eti.br <?php declare(strict_types=1); function foo(int $x, int $y) { return $x + $y; } echo foo('1', 2); Segurança PHP em 2016
  • 30.
    Tipagem CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 30 / 37 www.galvao.eti.br <?php declare(strict_types=1); function foo(int $x, int $y) { return $x + $y; } echo foo('1', 2); Segurança PHP em 2016 Fatal error: Uncaught TypeError: Argument 1 passed to foo() must be of the type integer, string given, called in /home/vagrant/php7tests/t1.php on line 9 and defined in /home/vagrant/php7tests/t1.php:4 Stack trace: ...
  • 31.
    CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 31 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Nem tudo muda… … ou o que eu quero dizer com “outras coisas”
  • 32.
    CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 32 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Imagem by nixCraft
  • 33.
    CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 33 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Segurança deixa a aplicação lenta? Segurança é difícil de aprender? Segurança é difícil de implementar? A resposta continua sendo a mesma:
  • 34.
    CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 34 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Segurança deixa a aplicação lenta? Segurança é difícil de aprender? Segurança é difícil de implementar? A resposta continua sendo a mesma: NÃO IMPORTA!
  • 35.
    CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 35 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Notegraphy, Galvão
  • 36.
    INFORME-SE! CC Attribution-ShareAlike 3.0Unported License by Er Galvão Abbott - 5/4/16 - 36 / 37 www.galvao.eti.brSegurança PHP em 2016 Acompanhe as mudanças da linguagem https://wiki.php.net/rfc Usando libsodium com PHP https://paragonie.com/book/pecl-libsodium Pesquise e ESTUDE! https://www.owasp.org/ RTFM!!! http://php.net/manual/en
  • 37.
    Muito obrigado! CC Attribution-ShareAlike3.0 Unported License by Er Galvão Abbott - 5/4/16 - 37 / 37 www.galvao.eti.br ? Dúvidas? ↓ Críticas? ↑ Elogios?! Segurança PHP em 2016