Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com

Transcrição

1 Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com

2 Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas formas de prevenção. Concientizar sobre a responsabilidade da segurança no desenvolvimento de uma aplicação. Abordar os tópicos de segurança que são temas do exame de certificação da Zend. Exemplo de ataques realizados em grandes sites.

3 Tópicos Introdução a Segurança. Conceitos e boas práticas. Filtrando Input. Escapando Output. Injection Attacks XSS,SQL,Command, Remote Code, . XSRF / CSRF Segurança na Sessão. Session Fixation. Session Hijacking. Configurações de segurança no php.ini. Shared Hosting.

4 Introdução a Segurança Responsabilidade pela Segurança. Princípios de um desenvolvimento seguro para aplicações Web. Você pode confiar nos dados que estão sendo processados? Quais os dados confiáveis? Como o maioria dos ataques podem ser evitados? Tenha em mente a importância de se desenvolver uma aplicação segura.

5 Filtrando Input. Exemplo: <form action= login.php method= post > Usuário: <input type= text name= usuario /><br /> Senha: <input type= passsword name= senha /><br /> Empresa: <select name= id_empresa > <option>nacional</option> <option>internacional</option> <option>filial</option> </select><br/> <input type= submit value= Enviar /> </form>

6 Filtrando Input Regras de Validação: Usuário deve ser caracteres alfabéticos. Senha deve ser alfanumérico. Empresa deve conter somente 'nacional', 'internacional' ou 'filial'. Validar no lado do cliente (Javascript) ou no lado do Servidor?

7 Filtrando Input Validando no lado do servidor: <?php $clean = array(); if (ctype_alpha($_post['usuario'])) { $clean['usuario'] = $_POST['usuario']; } if (ctype_alnum($_post['senha'])) { $clean['senha'] = $_POST['senha']; } $empresas = arrray('nacional', 'internacional', 'filial'); if (in_array($_post['empresa'], $empresas)) { $clean['empresa'] = $_POST['empresa']; }

8 Filtrando Input Validando: <?php $errors = array (); if (!array_key_exists('usuario', $clean)){ $errors[] = 'Campo usuário inválido. Usar somente caracteres alfabéticos.'; }

9 Escapando Output Qual a importância de escapar output? Escapar output deve fazer parte do filtro de input? Escapando output de acordo com o destino: Web Browser e Database Escapar output Web Browser: htmlentities / htmlspecialchars: $message = "A 'quote' is <b>bold</b>"; Outputs: A &#039;quote&#039; is <b>bold</b> $html['message'] = htmlentities($message, ENT_QUOTES, 'UTF-8');

10 Escapando Output Escapar output para Database: *_escape_string: $sql = "SELECT * FROM usuarios WHERE usuario = ". mysql_real_escape_string($usuario); Prepared statements: $sql = 'SELECT * FROM usuarios WHERE usuario = :usuario AND senha = :senha'; $sth = $pdo->prepare($sql); $sth->execute(array( ':username' => $clean['username'], ':senha' => $clean['senha'])); $results = $sth->fetchall();

11 Escapando Output $sql = "SELECT * FROM usuarios WHERE usuario =? AND senha =?"; $sth = $pdo->prepare($sql); $sth->execute(array($clean['username'], $clean['senha'])); $results = $sth->fetchall();

12 Cross-Site Scripting É um dos mais conhecidos e um mais comuns dos tipos de ataque. Explora a confiança que o usuário tem na aplicação. O foco esta no roubo de informações pessoais do usuários, como por exemplo, os cookies. Exemplo: <form method= POST action= adiciona_comentario.php > <p><textarea name= comment ></textarea></p> <p><input type= submit /></p> </form>

13 Cross-Site Scripting <script> document.location = ' + document.cookie; </script> Para previnir-se do ataque, faça escape do output utilizando htmlentities. $html['message'] = htmlentities($message, ENT_QUOTES, 'UTF-8');

14 Cross-Site Scripting - Casos Worm Bom Sábado. Afetou o orkut, descoberto 25/09/2010. Redireciona para comunidade infectados vírus orkut Inscreve o usuário em comunidades maliciosas Rouba informações presentes nos cookies Envia scrap contaminado para lista de amigos

15 Cross-Site Scripting - Casos Twitter 21/09/2010 Ao passar o mouse por cima do link bagunçava a interface Espalhava o problema para outros usuários Impediu que usuários publicassem mensagens no twitter

16 Cross-Site Scripting - Casos Site contendo arquivo de sites que já foram vuneráveis à ataques XSS.

17 SQL Injection É um ataque no qual o usuário malicioso injetam comandos sql em campos de formulários. Primeiro o atacante obtém informações suficientes para realizar o ataque, normalmente através de mensagens de erro do banco de dados. Um exemplo popular é o formulário de Login: <form method= POST action= login.php > Username: <input type= text name= username /> <br /> Senha: <input type= password name= senha /><br /> <input type= submit value= Login > </form>

18 SQL Injection O Código Vulenerável: $sql = "SELECT FROM WHERE AND count(*) usuarios usuario = '{$_POST['usuario']}' senha= '{$_POST['senha']}'"; Nesse caso não é feito o filtro de input. Nada é escapado.

19 SQL Injection Pode-se logar no sistema, passando no campo de usuário o seguinte conteúdo: (Independente do que é passado no campo de senha.) admin' OR 1=1 -SELECT * FROM usuarios WHERE usuario = 'admin' OR 1 = 1 -- ' AND senha = 'senhaqualquer' Para previnir sql injection, utilizar *_escape_string() ou de preferência prepared statements. Podem ocorrer problemas mais graves, como exclusão de tabelas e dados importantes.

20 SQL Injection - Casos Cisco WCS 11/08/2010 (Wireless Control System) SQL Injection na interface web WCS Permite total acesso no device: Criação, exclusão e edição de usuários Mudança nas configurações wireless

21 SQL Injection - Casos Em 2008 houve um ataque em massa de SQL Injection Exploração nos servidores usando IIS e SQLServer Milhares de sites afetados ( )

22 Command Injection Tome cuidado ao utilizar o input de usuário para montar comandos dinâmicos ao utilizar as funções 'exec', 'system', 'passthru'. Evite sempre que possível utilizar funções que executem comandos no shell. (Boas práticas) Se não tiver outra opção, evite utilizar o input de usuário para criar os comandos shell. Se for ter que utilizar o input de usuário para montar os comando shell, você pode fazer uso das funções escapeshellcmd() e escapeshellarg()

23 Remote Code Injection Tome cuidado ao usar o input do usuário para fazer um include dinâmico na sua aplicação. Muitas aplicações se baseiam no input do usuário para criar includes em sua aplicação. Exemplo: include "{$_GET['secao']}/config.php"; Um usuário mal intencionado pode manipular a query string e criar uma URL que irá "injetar" um arquivo em um site remoto.

24 Remote Code Injection Para se prevenir desse ataque, utilize o filtro de input adequado. Verificando se o arquivo a ser incluído existe em disco. Criar um array com os nomes dos arquivos permitidos. Remover caracteres inválidos do input. Outra forma de se prevenir é desabilitando a diretiva allow_url_fopen do php.ini.

25 Injection Função mail() do PHP Cuidado ao usar dados de input do usuário para configurar os headers do . Injeção de pode ser explorado em formulários de contato mal elaborados. A falha permite que usuários maliciosos enviem spam sem seu consentimento.

26 Injection Código vulnerável: $ _origem = $_POST[' ']; mail("nome-destino@exemplo.com.br", "Contato via form", $message, "From: $ _origem" );

27 Injection Código vulnerável: $ _origem = $_POST[' ']; mail("nome-destino@exemplo.com.br", "Contato via form", $message, "From: $ _origem" ); Input do usuário: 1@exemplo.com.br (quebra de linha) CC: 2@exemplo.com.br, 3@exemplo.com.br, etc..

28 Injection Prevenção: Tratando: $ _origem = preg_replace("/[\r\n]/",'',$ _origem); Validando: if (preg_match( "/[\r\n]/", $ _origem) ) { // [... redireciona o usuário para uma página de erro e sai da aplicação...] }

29 Injection O de destino também pode ser forjado pelo input do usuário. A função mail() aceita vários endereços de no destinatário. (separados por vírgula): 1@exemplo.com.br, 2@exemplo.com.br, etc..

30 XSRF ou CSRF O ataque consiste em forjar requisições de outros usuários. Explora a confiança que a aplicação tem no usuário. É difícil de identificar pois para a aplicação parece ser uma requisição legítima. Exemplo: Atacante analisando o formulário: <form action="/transfer.php" method="post"> <p>to <input type="text" name="to" /></p> <p>valor $<input type="text" name="valor" /></p> <p><input type="submit" value="transferir" /></p> </form>

31 transfer.php: <?php $clean = array(); session_start(); if ($_SESSION['auth']) { /* Filter To */ /* Filter Valor */ /* Make Transfer */ transfer($clean['to'], $clean['valor']); }?>

32 XSRF Forjando GET. Usuário acessando site malicioso e logado no site do banco em outra aba. <img src=" /> É possível forjar POST também.

33 XSRF Prevenção: Guarde um token randômico na sessão e sete no formulário que deseja proteger. Valide se o token esta correto na próxima requisição: $token = md5(uniqid(rand(), TRUE)); $_SESSION['token'] = $token; if ($_SESSION['token'] == $_POST['token']) { /* valido */ }

34 XSRF - Casos Gmail afetado em Afeta usuários logados no gmail e acessando o site malicioso em outra aba. O site malicioso conseguia obter todos os detalhes dos contatos do usuário do gmail.

35 Session Fixation Basicamente, como funciona o processo de criação de sessão no PHP? session_start() Set_Cookie Header Nome do Cookie: PHPSESSID Fixando Sessão: <a href= PHPSESSID= > Entrar</a>

36 Session Fixation Explorado em versões antigas do php onde muita gente desabilitava os cookies no navegador. Para que seja possível explorar essa vunlerabilidade, definir os parâmetros abaixo no php.ini: session.use_only_cookies = Off (Padrão On) session.use_trans_sid = On (Padrão Off)

37 Session Fixation Protegendo-se contra o ataque de session fixation: session_regenerate_id() <?php session_start(); if(usuario_autenticado($clean['usuario'], $clean['senha'])) { session_regenerate_id(); $_SESSION['logado'] = true; }

38 Session Fixation - Casos Joomla versão 1.5 até Após autenticação o id da sessão não era re-criado

39 Session Hijacking Como é feito o ataque de session hijacking? Como se prevenir? Validar HTTP_USER_AGENT Setar no php.ini: session.cookie_httponly = true

40 Session Hijacking <?php session_start(); if (array_key_exists('http_user_agent', $_SESSION)) { if ($_SESSION['HTTP_USER_AGENT']!= md5($_server['http_user_agent'])) { /* Acesso inválido. O header User-Agent mudou durante a mesma sessão. */ exit; } } else { /* Primeiro acesso do usuário, vamos gravar na sessão um hash md5 do header UserAgent */ $_SESSION['HTTP_USER_AGENT'] = md5($_server['http_user_agent']); }?>

41 Configurações no php.ini register_globals Variaveis são injetadas no seu código. É impossível determinar a origem dos dados. Exemplo: if (checklogin()) { $loggedin = TRUE; }... if ($loggedin) { }

42 Configurações no php.ini register_globals Sempre utilizar $_GET, $_POST, $_COOKIE, $_SESSION Em versões >= O padrão é Off. Removido do php à partir da versão session.cookie_httponly ativa o parâmetro httponly no cookie usado para identificar a sessão do usuário expose_php "Expoê" a versão do php instalado no servidor web.

43 Shared Hosting safe_mode? Removido do php 6.0 Alternativa (php.ini): open_basedir disable_functions disable_classes

44 Shared Hosting open_basedir: Limita os locais onde o php pode abrir/incluir arquivos. Usando open_basedir com VirtualHost: <Directory /home/usuario1> php_admin_value open_basedir /home/usuario1 </Directory> disable_functions: Desabilitar funções potencialmente perigosas disable_functions = exec,passthru,shell_exec,system

45 Shared Hosting disable_classes: Desabilitar classes potencialmente "perigosas" disable_classes = DirectoryIterator,Directory Protegendo sessões em hosts compartilhados usando session_set_save_handler: session_set_save_handler( '_open', '_close', '_read', '_write', '_destroy', '_clean');

46 Continuando os estudos OWASP - The Open Web Application Security Project PHP Security Consortium

47 Fale Conosco Obrigado por Assistir! Mais informações: com Fone: