presentación utilizada en la plática de Seguridad en el Desarrollo de Aplicaciones Web PHP impartida por Jesus Reyna e Iván Rico en el flisol 2011 Mty NL México

1. Seguridad en el Desarrollo de Aplicaciones Web PHP Seguridad en el Desarrollo de Aplicaciones Web PHP Iván Rico - @7th_sign Jesus Reyna - @jgreyna PHPmx : http://phpmexico.mx/

2. Conceptos

4. La seguridad es difícil de medirse, no tiene unidades

5. También es un problema que está creciendo y que requiere una continua solución evolutiva

6. Así como el diseño de una aplicación, la seguridad debe de ser considerada todo el tiempo (especificaciones iniciales, implementación, pruebas y durante el mantenimiento)

8. Hay que darle valor a la privacidad

9. Hay que darle más valor a la información de los clientes

10. Debemos recordar, son los usuarios los que harán uso del sistema

11. Hay que hacer la experiencia del usuario segura y mejorada

12. Los usuarios pueden ser buenos, pero también pueden ser malos

14. Sencillo de aprender y adoptar

15. Popular entre los “newbies”

16. Durante el desarrollo, regularmente se olvida un pequeño gran aspecto, la seguridad .

17. Se tiene la tendencia de “después lo hacemos”, dando como resultado aplicaciones con severos hoyos de seguridad.

19. PHP esta marcando camino en el desarrollo de aplicaciones empresariales y el mercado corporativo

20. Es muy efectivo, pero a menudo se pasan por alto medidas para prevenir usuarios maliciosos

21. Las aplicaciones web PHP a menudo terminan trabajando con datos extremadamente sensibles.

22. Seguridad en el ambiente

24. Quién debe de tener acceso mediante shell?

25. Podrá el servidor web escribir en el sistema de archivos?

26. Es necesario tener lenguajes de programación o servicios adicionales en el servidor?

27. Los servicios de pueden dividir en varios servidores?

29. Habilitar un analizador de logs (bitácoras)

30. Habilitar un analizador de integridad del sistema

31. Configurar un firewall local con los puertos estrictamente necesarios (web: 80, 443)

33. Deshabilitar los módulos innecesarios

34. Cambiar los directorios por defecto

35. Cambiar los archivos índices por defecto

36. Usar módulos que proporcionen seguridad adicional a Apache como mod_dosevasive y mod_security

38. Nos ayuda a evadir ataques DoS bloqueando direcciones IP o URL temporalmente

40. Mas de X solicitudes concurrentes por segundo son hechas

41. Se puede comunicar con un firewall o un router y ejecutar comandos

43. Es un firewall personal de nuestra aplicación

44. Configuración detallada, requiere de muchas pruebas

45. Utilizar en la medida de lo posible cuando se corran aplicaciones en el servidor

47. Filtra incluso SSL

48. Aplicación de reglas basadas en expresiones regulares y capacidad de logs (bitácoras)

50. Es sencillo de configurar

51. Hace que la comunicación ente el servidor y el cliente se haga de manera cifrada

52. Se basa en el intercambio de certificados digitales (PKI)

53. Nos protege de ataques de sniffers y previene el MITM

54. Requiere que el certificado sea firmado por una entidad certificadora ($)

56. Utilizar siempre las nuevas versiones estables (Rama 5)

57. Ampliamente recomendable revisar las configuraciones por defecto, algunas vulnerabilidades pueden ser explotadas

58. Evitar en la medida de lo posible la ejecución de comandos del sistema operativo

60. log_errors = On

61. error_reporting = E_ALL

62. session.gc_maxlifetime = 600 (10 mins)

63. magic_quotes_gpc = Off

64. register_globals = Off

65. safe_mode = On

66. safe_mode_gid = On

68. allow_url_include = Off

69. open_basedir = /ruta

70. short_open_tag = Off

71. Seguridad en el desarrollo

73. Cross-site scripting (XSS)

74. SQL Injection

75. Ataques al sistema de archivos

77. Las causas de este problemas son:

79. require

80. include

82. Verificar que todos los parámetros en la aplicación sean validados y/o

83. encodeados antes de ser incluídos en la página HTML

84. La mejor protección para XSS es una combinación de validación

85. “ whitelist” y un encodeo apropiado de todos los datos de salida.

86. htmlspecialchars() para convertir los caracteres “, &, < y > en &amp; “

87. &lt; y &gt;. (PHP tiene otra función htmlentities() que convierte todos los

88. caracteres que tienen entidades equivalentes HTML)

90. echo htmlspecialchars($unaFila['mensaje']);

91. echo '</td>'; ...

92. La aplicación no debería depender de register_globals

94. Preferir validación positiva a validación de casos inválidos

95. Usar PDO (PHP Data Objects)

96. Usar declaraciones parametrizadas MySQLi’s

97. Al menos, usar funciones como mysql_real_escape_string()

98. OJO:

99. El uso de addslashes() no es suficiente.

100. magic quotes (eliminado en PHP6) da una falsa sensación de seguridad.

102. Inclusión de archivo local (tal como /etc/passwd, archivos de configuración, o logs)

103. Manipulación de sesiones locales

104. La mayoría de los administradores del sitio corren PHP sin usuario (nobody) bajo Apache, las vulnerabilidades sobre el sistema de archivos local afectan a todos los usuarios dentro de un host simple.

105. ¿Preguntas? Iván Rico - @7th_sign Jesus Reyna - @jgreyna PHPmx : http://phpmexico.mx/