php seguro em 2013
DESCRIPTION
Palestra PHP Seguro em 2013 apresentada no evento PHPSC Conf 2013 dia 26.10.2013 em Chapecó (SC) pelo especialista em Segurança de Sistemas Patrick Kaminski http://patrickkaminski.com/TRANSCRIPT
PHP SC Conf | 2013 | PatrickKaminski.com
Patrick Kaminski
Programador PHP desde 2004.
Graduado pela UDESC.
Especialista em Segurança de Sistemas pela PUC.
Atualmente:
● Desenvolvedor na ControlSoft Sistemas● Professor na Anglo Americano● Professor no Senac
PHP SC Conf | 2013 | PatrickKaminski.com
Seu site está seguro?
Quando foi a última tentativa de ataque?
Qual foi a última vez que você atualizou os softwares instalados?
No momento de desenvolver/instalar, você lembrou de criar algo seguro?
PHP SC Conf | 2013 | PatrickKaminski.com
Vulnerabilidades: Top 10
Injeção de código
Quebra de autenticação e Gerencia de Sessão
Cross-Site Scripting (XSS)
Referência Insegura e Direta a Objetos
Configuração Incorreta de Segurança
Exposição de Dados Sensíveis
Falta de Função para Controle do Nível de Acesso
Cross-Site Request Forgery (CSRF)
Utilização de Componentes Vulneráveis Conhecidos
Redirecionamentos e Encaminhamentos InválidosFonte: OWASP Top 10 - 2013
PHP SC Conf | 2013 | PatrickKaminski.com
Cross-site scripting
O Cross-site scripting ou XSS, se trata de injeção de código HTML e ou Javascript em páginas vulneráveis.
Exemplo:
index.php?msg=<script>alert('XSS');</script>
PHP SC Conf | 2013 | PatrickKaminski.com
PHP SC Conf | 2013 | PatrickKaminski.com
X
Moderno e com sériasVulnerabilidades!
PHP SC Conf | 2013 | PatrickKaminski.com
Cross-site scripting
Fonte:Acunetix
PHP SC Conf | 2013 | PatrickKaminski.com
Cross-site scripting
Fonte: Acunetix
PHP SC Conf | 2013 | PatrickKaminski.com
Vulnerabilidades: Top 10
Injeção de código
Quebra de autenticação e Gerencia de Sessão
Cross-Site Scripting (XSS)
Referência Insegura e Direta a Objetos
Configuração Incorreta de Segurança
Exposição de Dados Sensíveis
Falta de Função para Controle do Nível de Acesso
Cross-Site Request Forgery (CSRF)
Utilização de Componentes Vulneráveis Conhecidos
Redirecionamentos e Encaminhamentos InválidosFonte: OWASP Top 10 - 2013
PHP SC Conf | 2013 | PatrickKaminski.com
PHP Injection
Consiste em injetar código detro de uma página/programa vulnerável, programada em PHP.
Através deste tipo de ataque é possível obter informações, prejudicar o funcionamento de sites ou até mesmo comprometer todo o funcionamento de um sistema operacional.
PHP SC Conf | 2013 | PatrickKaminski.com
PHP Injection
PHP SC Conf | 2013 | PatrickKaminski.com
SQL Injection
Assim como o PHP Injection, o SQL também apresenta grande risco de segurança em servidores vulneráveis.
Muitos são os sites que possuem problemas simples de segurança por não realizarem nenhum tipo de filtro nas informações recebidas pelos usuários e isso faz com que o banco de dados fique sob controle do atacante.
PHP SC Conf | 2013 | PatrickKaminski.com
SQL Injection
PHP SC Conf | 2013 | PatrickKaminski.com
Vulnerabilidades: Top 10
Injeção de código
Quebra de autenticação e Gerencia de Sessão
Cross-Site Scripting (XSS)
Referência Insegura e Direta a Objetos
Configuração Incorreta de Segurança
Exposição de Dados Sensíveis
Falta de Função para Controle do Nível de Acesso
Cross-Site Request Forgery (CSRF)
Utilização de Componentes Vulneráveis Conhecidos
Redirecionamentos e Encaminhamentos InválidosFonte: OWASP Top 10 - 2013
PHP SC Conf | 2013 | PatrickKaminski.com
robots.txt
Robots.txt impedem que robôs de busca indexem páginas.
Por outro lado, podem servir como ponto de partida para possíveis atacantes.
PHP SC Conf | 2013 | PatrickKaminski.com
Como resolver?
Como resolver mandar script kiddies para outro site?
PHP SC Conf | 2013 | PatrickKaminski.com
Trateexceções
PHP SC Conf | 2013 | PatrickKaminski.com
Evitecomponentes
estranhos
PHP SC Conf | 2013 | PatrickKaminski.com
Monitore
PHP SC Conf | 2013 | PatrickKaminski.com
Estejapreparadopara imprevistos
PHP SC Conf | 2013 | PatrickKaminski.com
Trabalhe!
PHP SC Conf | 2013 | PatrickKaminski.com
Dúvidas?
Entre em contato...
Liker