Seminario Seguridad con PHP

Seguridad Web con PHPSeguridad Web con PHP

“Cómo desarrollar una aplicación segura”


• ¿Necesita mi aplicación ser segura?• ¿Es mi aplicación 100% segura?

• ¿Cuándo una aplicación es segura?

Seguridad


Ejemplos


Ejemplos


SQL Injection


SQL Injection

• Qué es una SQL injection?• Cómo funcionan?

SELECT id FROM users WHERE user='$user' AND pass='$pass'

SELECT id FROM users WHERE user='vader' AND pass='darkside'

SELECT id FROM users WHERE user='' or 1=1 #' AND pass='test'


Nuestra aplicaciónTabla ‘users’


Demo


SQL Injection

• Cómo evitarlas?• Escapar caracteres

• Parameterized Queries

• Database Access Abstraction Layer• PDO• AdoDB


Demo

Seguridad Web con PHP

Un poco de humor


Fuente: xkcd.com/327/


Un poco de humor



XSS:Cross Site Scripting


XSS: Cross Site Scripting


Consiste en inyectar código HTML/JavaScript en un sitio

sobre el que no tenemos control.

• Existen dos grandes tipos: Persistente y No Persistente.

• Pueden permitir mostrar información falsa, manipular un formulario, o incluso robar las cookies del usuario.



• Como funciona?

Estás Buscando '<?php echo $_GET['q']; ?>'

Estás Buscando 'test'

Estás Buscando 'test'


Demo



• Cómo evitarlas?• Eliminar todo tag HTML

• Permitir una White-List de elementos• NO Permitir una White-List de elementos

• Convertir caracteres peligrosos

• Implementar BBCode o similar

• Usar una librería preparada para esto• HTMLPurifier ( http://www.htmlpurifier.org )


Demo




Texto a inyectar

Código final

• XSS in Javascript


Demo


File Uploads


File Uploads

• Cuál es el riesgo?Las vulnerabilidades en uploads de archivos permiten a un atacante subir un archivo de un tipo no permitido en un servidor, pudiendo

llegar a ejecutarlo. La validación del tipo de archivo es el paso clave, y suele realizarse de diferentes maneras:

• Chequeando $_FILES['archivo']['type']:• Está solución es peligrosa y poco efectiva. El valor es seteado por el CLIENTE al enviar el archivo, por lo tanto, es completamente manipulable.

• Revisando si es una imagen real con getimagesize() o funciones similares:

• Este método es ligeramente mas seguro, pero igualmente puede manipularse utilizando una imagen con código escondido.


Demo


File Uploads

• Entonces… Cual es la forma segura?Hay varios métodos que aseguran que el archivo no se ejecute. Si bien

debería bastar con solo uno, es recomendable aplicar todos para sumar capas extras de seguridad.

• Generar el nombre del archivo a mano, asegurandose de que la extensión sea simple, y sea un tipo de archivo no ejecutable (No PHP, Py, CGI)

• Desde un archivo .htaccess, prohibir la ejecución de scripts en el directorio.

• Desde los permisos CHMOD del archivo subido, eliminar los permisos de ejecución.


LFI / RFI:File

Inclusions


LFI / RFI: File Inclusion


Los ataques de File Inclusion permiten que un atacante obtenga acceso o ejecute un archivo al que no debería tener acceso.

• LFI (Local File Inclusion) cuando se logra incluir o ejecutar un archivo que está en el mismo servidor del sitio web.

• RFI (Remote File Inclusion) cuando se incluye o ejecuta un archivo publico que se encuentra en un servidor externo.

Pueden distinguirse varios tipos:




• LFI: Local File InclusionPermite ver información sensible del servidor. Puede suceder con un script que abre un archivo, por ejemplo, con “fopen()”; o cuando el script está incluyendo y ejecutando otro con “include()”, “require()” o similares.

Código vulnerable:

Código Ejecutado:


Demo




• RFI: Remote File Inclusion

Código vulnerable:

Es similar a la LFI, pero provoca la inclusión de archivos externos al servidor. Mayormente es útil en caso de que se presente con la función “include()” o similares.


Demo




• RFI: Remote File Inclusion

Forzar la extensión puede ser útil.

Sin embargo, dependiendo del sistema de archivos del servidor usando caracteres extraños sigue siendo vulnerable. Si se combina con una buena validación del nombre, se evitan la mayoría de los problemas.

La forma mas segura es replantear la lógica, de forma tal que nunca se deba incluir una URL obtenida del usuario, sin previamente revisar contra una lista de archivos permitidos.


CSRF: Cross Site Request

Forgery


CSRF: Cross Site Request Forgery


• Qué es?

• Se basa en la ejecución involuntaria de acciones en el navegador de cliente.

• Permite realizar requests desde el navegador de usuario, manteniendo su sesión y cookies.

• Muy común y uno de los problemas mas dificiles de solucionar




• Cómo explotarlo?

• La forma más simple y primitiva, es forzar al usuario mediante ingeniería social a ingresar a una URL específica.

• Una forma ligeramente mas avanzada es hacerlo abrir alguna página (o email) que contenga lo siguiente:

• Existen muchas mas formas: • Hacer al usuario abrir un sitio con un código javascript malicioso• Pedir que el usuario complete un formulario


Demo




• Cómo Solucionarlo?

• Evitar usar parametros GET para acciones que provoquen cambios persistentes elimina algunos de los riesgos, pero no todos

• La técnica mas efectiva es el uso de “Tokens”




• Tokens?

• Los tokens son claves únicas generadas para identificar al usuario • La forma mas común de implementarlo es generando una clave aleatoria, guardando una copia en una SESSION, y enviando otra a través de un campo oculto en todos los formularios

• Luego, la aplicación valida y exige que ambos tokens coincidan para poder realizar una operación.


Demo


Buenas Prácticas


Hashes


• Qué son?

• Las funciones hash transforman una cadena de cualquier cantidad de caracteres en una de un ancho fijo.

• Hay diversos tipos de hashes, pero los mas utilizados en Seguridad informática son aquellos uni-direccionales. De estas, las dos funciones mas comunes son MD5 y SHA1.

• Un mismo input va a dar siempre el mismo output.

test -> 098f6bcd4621d373cade4e832627b4f6

Test -> 0cbc6611f5540bd0809a388dc95a615b


Hashes


• ¿Para qué sirven?

• Los hashes permiten almacenar contraseñas en una base de datos, de forma tal que si alguien obtuviese acceso, no pueda obtener la contraseña original, solo su hash.

• La implementación desde PHP es muy sencilla:

• Debemos almacenar el hash al registrar al usuario, y cada vez que necesitemos verificarlo, comparar los hashes.


Hashes


• Salts

• Con el tiempo surgieron bases de datos de hashes (rainbow tables) y sus frases originales, permitiendo buscar un hash y obtener la contraseña.• Para evitar esto, se utilizan los Salts. Son cadenas que se juntan con aquella que se desea hashear para generar un hash distinto y único.


Demo


Encriptación


• Qué es y para qué sirve?

• Se llama encriptación a las técnicas que buscan hacer ininteligible una información a intrusos (Lectores no autorizados).

• En seguridad informática, generalmente se utiliza una clave, necesaria tanto para Encriptar como para luego Desencriptar el mensaje.

• Es útil para almacenar información sensible y transmitirla por medios no seguros.


Encriptación


• Cómo se aplican?

• Hay muchos métodos de implementación distintos. La clase mcrypt agrupa la mayoría de los métodos recomendados:


Exposición Innecesaria


• Se llama así a la mala práctica de mostrar errores o información del sistema a los usuarios.

• Es correcto mostrarlos durante las etapas de desarrollo, pero en Producción deberian esconderse al usuario.

• Si es posible, es conveniente guardarlos en un log.




• PHP permite configurar varias opciones con respecto a los errores

• display_errors define si los mensajes de error se van a imprimir al usuario o no. En producción debería tener el valor “0” y en desarrollo “1”

• error_reporting establece que nivel de errores quiere tenerse en cuenta; pudiendo configurarse para que solo muestre errores graves (“E_ERROR | E_PARSE”) o todo tipo de advertencia (“E_ALL”).• error_log define el nombre del archivo donde se guardan los logs de errores.




• PHP permite configurar varias opciones con respecto a los errores en el php.ini, o utilizando ini_set().

• display_errors define si los mensajes de error se van a imprimir al usuario o no. En producción debería tener el valor 0 y en desarrollo 1.

• error_reporting establece que nivel de errores quiere tenerse en cuenta; pudiendo configurarse para que solo muestre errores graves (“E_ERROR | E_PARSE”) o todo tipo de advertencia (“E_ALL”).• error_log define el nombre del archivo donde se guardan los logs de errores, en caso de que log_errors sea igual a 1.

• mysqli->error nunca debería ser impreso en producción. Puede logearse con error_log().




• APACHE por defecto incluye en los headers su versión, y la de PHP.

• Se debe editar el httpd.conf/apache2.conf e incluir las siguientes lineas:ServerTokens Prod ServerSignature Off

• En el php.ini o a través de ini_set() debe desactivarse expose_php:expose_php = off




• APACHE puede mostrar un listado de archivos presentes en una carpeta si no existe un index

• Puede configurarse desde el httpd.conf/apache2.conf, desde el virtualhost, o bien desde el .htaccess

• Debe incluirse la linea:Options -Indexes

Y en caso de que estén presentes algunas de las siguientes, eliminarlas:Options +Indexes IndexIgnore *


Otras configuraciónes de PHP


register_globals permite que toda variable POST, GET y REQUEST se registren como variables globales. Es decir, que en lugar de acceder desde $_POST[‘variable’] podemos acceder desde $variable.

• Esto es muy peligroso! El siguiente código es vulnerable con register_globals = on, si el usuario envia por algun medio la variable userCorrecto:




magic_quotes_gpc escapa automáticamente toda variable enviada por GET, POST o COOKIE. Es recomendable configurarlo en off, y escapar las variables manualmente en el momento de ingresarlas a una DB:

• Hace que el código sea portable de un servidor a otro, sin generar vulnerabilidades.

• Evita tener las barras en las validaciones previas a la subida (Largo del string, caracteres prohibidos, etc)

• Acostumbra al programador a ser consciente y estar atento a otras posibles fuentes (Además de GPC) por las que puede surgir una vulnerabilidad




allow_url_include y allow_url_fopen establecen si las funciones include y fopen pueden abrir urls externas, o solamente paths a archivos locales.

• Desactivarlas da grandes ventajas en seguridad, evitando RFI.

• En algunos casos, es útil usar fopen para abrir urls externas, y con estas opciones en OFF, es imposible. Debe recurrirse a alguna librería adicional como CURL.


Preguntas · Dudas · Información


MUCHAS GRACIAS!

Nazareno Lorenzo

Full Stack Web Developer

[email protected]

www.nazarenolorenzo.com.ar

Argentina, Buenos Aires

Todas las marcas, logos e isologos utilizados en la presentación son propiedad de sus respectivos propietarios

Software

Seminario Seguridad con PHP