Segurança em Sistemas Web. Addson A. Costa

Transcrição

1 Segurança em Sistemas Web Addson A. Costa

2 Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele. É possível, de forma semelhante, enviar um formulário gerado manualmente para o servidor usando um IP falso. Para evitar esse tipo de ataque, podemos guardar um número chamado de token na sessão do usuário (só é visível no lado servidor) e uma cópia desse token pode ser armazenado no formulário, assim garantimos que o formulário foi gerado pelo sistema, e não na mão.

3 Spoofing de Formulário

4 SQL Injection Quando vamos tentar fazer login, é comum códigos SQL semelhantes a: Select * from usuario where login='$nome'; (I) Imagine agora que o nome do usuário é: '; insert into usuario (login,senha) values ('adm','123'); # Então, quando você executa o comando em (I), na verdade você estará inserindo um usuário.

5 SQL Injection O PhP tem uma função chamada de addslashes que adiciona barras invertidas na string antes de aspas simples e duplas, evitando o problema de SQL Injection. string addslashes ( string $str )

6 XSS Cross-site scripting XSS Imagine em um fórum, um dos usuários informou como resposta a sua pergunta, o texto abaixo, que seria executado no seu computador quando fosse ler a resposta: <script> $(form).submit(function(){ //código que envia os dados do formulário para o atacante });</script>

7 XSS O PhP tem uma função chamada de htmlspecialchars que converte os seguintes caracteres para a representação em html. & torna-se '&' torna-se '"' quando ENT_NOQUOTES não está definida. ' torna-se '&#039;' apenas quando ENT_QUOTES está definida. < torna-se '<' > torna-se '>'

8 Session Hijacking (cookie cliente) Para manter um usuário logado mesmo que após reiniciado o computador, é criado um cookie (arquivo com dados da sessão) armazenado nas configurações de seu browser. O nome desse cookie é, por default, 'PHPSESSID', assim, basta copiar os dados do cookie para outro computador e terá acesso ao sistema. Podemos dificultar o trabalho do hacker se o nome do cookie não seguir um padrão, mudando o nome do cookie para algo aparentemente aleatório, de acordo com dados do computador assim, mesmo que ele copie o cookie para o computador dele, não servirá porquê o nome do cookie não servirá no computador dele.

9 Session Hijacking (cookie cliente) Os cookies de um computador podem ser vistos nas configurações de privacidade do browser. <?php session_name(md5( ));?> 'seg'.$_server['remote_addr'].$_server['http_user_agent']

10 A sessão aberta (servidor) é dele mesmo? Na seção, crie um token de acordo com dados do computador em que ele fez login: //ao fazer login $_SESSION[ dono ] = md5( 'seg'.$_server['remote_addr'.$_server['http_user_agent'] ); //sempre que for acessar alguma página $token = md5( 'seg'.$_server['remote_addr'.$_server['http_user_agent'] ); if ($token!= $_SESSION[ dono ]) deslogar (); //detectado uma tentativa de invasão

11 Roubo de Cookies Cookies são armazenados no computador do cliente, mas não precisam ser copiados manualmente, podendo ser copiados através de javascripts. Para evitar isso, na configuração do seu PhP, modifique a linha abaixo: De: session.cookie_httponly = Para: session.cookie_httponly = 1

12 Tempo de Sessão Sessões devem ser encerradas após um prazo de inatividade a fim de evitar que engraçadinhos usem o sistema quando o usuário foi tomar café. Faça isso definindo: session_cache_expire(10); //tempo em minutos session_start();

13 Captcha Um sistema que pede apenas login e senha pode ter todas as possibilidades de login e senha testados por softwares chamados de BruteForce. Adicione um captcha para que seja impossível esse tipo de teste. Escolha um captcha que não seja baseado em alfabeto, pois já existem softwares para decifrálos automaticamente.

14 Criptografar Senhas No seu banco de dados, ao invés de guardar a senha como '123', guarde-a criptografada, por exemplo, utilizando a criptografia md5, a senha vira: md5('123') = 202cb962ac59075b964b07152d234b70 O que ainda é fácil para um programa de força bruta pois ele testará para a senha 123 que ele já tem o hash md5 calculado. Torne a senha maior usando mais dados do usuário. Por exemplo, pedindo e senha, você pode gerar a senha a partir de: md5('josebomfinalencar@hotmail.com123') = 179ad800b0c957204cbc8c192b739793

15 Acesso a diretório Quando um usuário acessa um diretório do apache que não tenha um arquivo index.html ou index.php, o apache mostra a lista com todos os arquivos. Evite isso adicionando um arquivo index.html vazio em todos os seus diretórios.

16 Backup Algum dia seu sistema será invadido. Guarde backups dele. Esse trabalho pode ser feito periodicamente de maneira automatizada através da tabela CRON do linux para que seja feito periodicamente uma cópia de tudo e armazenado em uma pasta na rede em segurança.