SlideShare uma empresa Scribd logo

PHP Seguro em 2013

Transferir como ODP, PDF
Patrick Kaminski, profile picture
Patrick Kaminski

O documento apresenta uma palestra sobre segurança PHP ministrada por Patrick Kaminski. Em três frases, o documento discute sobre: 1) as principais vulnerabilidades em PHP, incluindo injeção de código e cross-site scripting; 2) formas de ataques como PHP e SQL injection; e 3) recomendações para melhorar a segurança, como tratar exceções, evitar componentes estranhos e monitorar sistemas.

Tecnologia
1 de 25
Baixado 13 vezes
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
PHP Seguro em 2013
Patrick Kaminski  Programador PHP desde 2004.  Graduado pela UDESC.  Especialista em Segurança de Sistemas pela PUC.  Atualmente: ● Desenvolvedor na ControlSoft Sistemas ● Professor na Anglo Americano ● Professor no Senac PHP SC Conf | 2013 | PatrickKaminski.com
Seu site está seguro?    Quando foi a última tentativa de ataque? Qual foi a última vez que você atualizou os softwares instalados? No momento de desenvolver/instalar, você lembrou de criar algo seguro? PHP SC Conf | 2013 | PatrickKaminski.com
Vulnerabilidades: Top 10  Injeção de código  Quebra de autenticação e Gerencia de Sessão  Cross-Site Scripting (XSS)  Referência Insegura e Direta a Objetos  Configuração Incorreta de Segurança  Exposição de Dados Sensíveis  Falta de Função para Controle do Nível de Acesso  Cross-Site Request Forgery (CSRF)  Utilização de Componentes Vulneráveis Conhecidos  Redirecionamentos e Encaminhamentos Inválidos Fonte: OWASP Top 10 - 2013 PHP SC Conf | 2013 | PatrickKaminski.com
Cross-site scripting   O Cross-site scripting ou XSS, se trata de injeção de código HTML e ou Javascript em páginas vulneráveis. Exemplo: index.php? msg=<script>alert('XSS');</script> PHP SC Conf | 2013 | PatrickKaminski.com
PHP SC Conf | 2013 | PatrickKaminski.com
Moderno e com sérias Vulnerabilidades! X PHP SC Conf | 2013 | PatrickKaminski.com
Cross-site scripting Fonte:Acunetix PHP SC Conf | 2013 | PatrickKaminski.com
Cross-site scripting Fonte: Acunetix PHP SC Conf | 2013 | PatrickKaminski.com
Vulnerabilidades: Top 10  Injeção de código  Quebra de autenticação e Gerencia de Sessão  Cross-Site Scripting (XSS)  Referência Insegura e Direta a Objetos  Configuração Incorreta de Segurança  Exposição de Dados Sensíveis  Falta de Função para Controle do Nível de Acesso  Cross-Site Request Forgery (CSRF)  Utilização de Componentes Vulneráveis Conhecidos  Redirecionamentos e Encaminhamentos Inválidos Fonte: OWASP Top 10 - 2013 PHP SC Conf | 2013 | PatrickKaminski.com
PHP Injection   Consiste em injetar código detro de uma página/programa vulnerável, programada em PHP. Através deste tipo de ataque é possível obter informações, prejudicar o funcionamento de sites ou até mesmo comprometer todo o funcionamento de um sistema operacional. PHP SC Conf | 2013 | PatrickKaminski.com
PHP SC Conf | 2013 | PatrickKaminski.com
PHP Injection PHP SC Conf | 2013 | PatrickKaminski.com
SQL Injection   Assim como o PHP Injection, o SQL também apresenta grande risco de segurança em servidores vulneráveis. Muitos são os sites que possuem problemas simples de segurança por não realizarem nenhum tipo de filtro nas informações recebidas pelos usuários e isso faz com que o banco de dados fique sob controle do atacante. PHP SC Conf | 2013 | PatrickKaminski.com
SQL Injection PHP SC Conf | 2013 | PatrickKaminski.com
Vulnerabilidades: Top 10  Injeção de código  Quebra de autenticação e Gerencia de Sessão  Cross-Site Scripting (XSS)  Referência Insegura e Direta a Objetos  Configuração Incorreta de Segurança  Exposição de Dados Sensíveis  Falta de Função para Controle do Nível de Acesso  Cross-Site Request Forgery (CSRF)  Utilização de Componentes Vulneráveis Conhecidos  Redirecionamentos e Encaminhamentos Inválidos Fonte: OWASP Top 10 - 2013 PHP SC Conf | 2013 | PatrickKaminski.com
robots.txt   Robots.txt impedem que robôs de busca indexem páginas. Por outro lado, podem servir como ponto de partida para possíveis atacantes. PHP SC Conf | 2013 | PatrickKaminski.com
PHP SC Conf | 2013 | PatrickKaminski.com
Como resolver?  Como resolver mandar script kiddies para outro site? PHP SC Conf | 2013 | PatrickKaminski.com
Trate exceções PHP SC Conf | 2013 | PatrickKaminski.com
Evite componentes estranhos PHP SC Conf | 2013 | PatrickKaminski.com
Monitore PHP SC Conf | 2013 | PatrickKaminski.com
Esteja preparado para imprevistos PHP SC Conf | 2013 | PatrickKaminski.com
ab Tr e! lh a PHP SC Conf | 2013 | PatrickKaminski.com
Dúvidas? Entre em contato... Liker PHP SC Conf | 2013 | PatrickKaminski.com

Mais conteúdo relacionado

PPT
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Magno Logan
 
PDF
THE WebSec
Kelvin Campelo
 
PPTX
OWASP Top Ten
Giovani Decusati
 
PPTX
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Alcyon Ferreira de Souza Junior, MSc
 
PDF
Segurança em Aplicações Web
Cassio Ramos
 
PDF
OWASP top 10 - Referência insegura direta a objeto
Luciano Monteiro da Silva
 
PPTX
Desenvolvimento de Software Seguro
Augusto Lüdtke
 
PDF
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Magno Logan
 
THE WebSec
Kelvin Campelo
 
OWASP Top Ten
Giovani Decusati
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Alcyon Ferreira de Souza Junior, MSc
 
Segurança em Aplicações Web
Cassio Ramos
 
OWASP top 10 - Referência insegura direta a objeto
Luciano Monteiro da Silva
 
Desenvolvimento de Software Seguro
Augusto Lüdtke
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 

Mais procurados (19)

PDF
Segurança em Aplicações Web conforme OWASP
Fabiano Pereira
 
PPTX
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
Magno Logan
 
PDF
OWASP TOP 10 - Web Security
Marlon Bernardes
 
PDF
OWASP Top 10 - A2 2017 Broken Authentication
Fernando Galves
 
PPTX
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
PDF
Segurança em aplicações web: pequenas ideias, grandes resultados
Alex Camargo
 
PPTX
Desenvolvimento seguro - WorkSec 2019
Alcyon Ferreira de Souza Junior, MSc
 
PPTX
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
PPTX
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
PDF
Testes de segurança em aplicações web
Synergia - Engenharia de Software e Sistemas
 
PPTX
Segurança na web
Kaito Queiroz
 
PPTX
Aula 1 - Testando a Segurança de Sua Aplicação Web
Matheus Fidelis
 
PPT
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Clavis Segurança da Informação
 
PPTX
Como se tornar um especialista em Desenvolvimento Seguro de Software
Alcyon Ferreira de Souza Junior, MSc
 
PDF
Defensive Programming - by Alcyon Junior
Alcyon Ferreira de Souza Junior, MSc
 
PPT
Ameacas e Vulnerabilidades em Apps Web-2013
Kleitor Franklint Correa Araujo
 
ODP
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Clavis Segurança da Informação
 
PDF
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Edlaine Zamora
 
PDF
Teste seguranca aplicacoes web security testing
Cristiano Caetano
 
Segurança em Aplicações Web conforme OWASP
Fabiano Pereira
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
Magno Logan
 
OWASP TOP 10 - Web Security
Marlon Bernardes
 
OWASP Top 10 - A2 2017 Broken Authentication
Fernando Galves
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Alex Camargo
 
Desenvolvimento seguro - WorkSec 2019
Alcyon Ferreira de Souza Junior, MSc
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
Testes de segurança em aplicações web
Synergia - Engenharia de Software e Sistemas
 
Segurança na web
Kaito Queiroz
 
Aula 1 - Testando a Segurança de Sua Aplicação Web
Matheus Fidelis
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Clavis Segurança da Informação
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Alcyon Ferreira de Souza Junior, MSc
 
Defensive Programming - by Alcyon Junior
Alcyon Ferreira de Souza Junior, MSc
 
Ameacas e Vulnerabilidades em Apps Web-2013
Kleitor Franklint Correa Araujo
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Clavis Segurança da Informação
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Edlaine Zamora
 
Teste seguranca aplicacoes web security testing
Cristiano Caetano
 
Anúncio

Semelhante a PHP Seguro em 2013 (20)

PPT
Tratando as vulnerabilidades do Top 10 com php
Conviso Application Security
 
KEY
Segurança em PHP
Augusto Pascutti
 
PPT
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Luis Asensio
 
PPT
Top 5 vulnerabilidades_em_aplicacoes_web
Luis Asensio
 
PPTX
Workshop - Testes de Segurança
Alan Carlos
 
PPTX
Engenharia de Software II - Teste de segurança de software
Juliano Padilha
 
PDF
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PPTX
Desenvolvendo sistemas seguros com PHP
Flavio Souza
 
ODP
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
tdc-globalcode
 
PPS
XSS Injection ou Cross Site Scripting e seus perigos
Mauricio Corrêa
 
PPT
Seguranca web Testday2012
Marcio Cunha
 
PPT
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
Conviso Application Security
 
PPT
Ameaças e Vulnerabilidade em Apps Web-2013
Kleitor Franklint Correa Araujo
 
PDF
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
PPTX
Explorando 5 falhas graves de segurança que todos programadores cometem
Alcyon Ferreira de Souza Junior, MSc
 
PPTX
Explorando 5 falhas graves de segurança que os programadores sempre cometem
Alcyon Ferreira de Souza Junior, MSc
 
PDF
Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29
cadiego
 
PDF
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
Thiago Dieb
 
PDF
Site invadido
Edilson Feitoza
 
PPTX
CJR Apresenta: OWASP TOP10
CJR, UnB
 
Tratando as vulnerabilidades do Top 10 com php
Conviso Application Security
 
Segurança em PHP
Augusto Pascutti
 
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Luis Asensio
 
Top 5 vulnerabilidades_em_aplicacoes_web
Luis Asensio
 
Workshop - Testes de Segurança
Alan Carlos
 
Engenharia de Software II - Teste de segurança de software
Juliano Padilha
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Desenvolvendo sistemas seguros com PHP
Flavio Souza
 
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
tdc-globalcode
 
XSS Injection ou Cross Site Scripting e seus perigos
Mauricio Corrêa
 
Seguranca web Testday2012
Marcio Cunha
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
Conviso Application Security
 
Ameaças e Vulnerabilidade em Apps Web-2013
Kleitor Franklint Correa Araujo
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Alcyon Ferreira de Souza Junior, MSc
 
Explorando 5 falhas graves de segurança que os programadores sempre cometem
Alcyon Ferreira de Souza Junior, MSc
 
Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29
cadiego
 
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
Thiago Dieb
 
Site invadido
Edilson Feitoza
 
CJR Apresenta: OWASP TOP10
CJR, UnB
 
Anúncio

Último (16)

PDF
COBITxITIL-Entenda as diferença em uso governança TI
MichelleBis1
 
PDF
Mergulho profundo técnico para gestão de transportes no SAP S/4HANA, S4TM6 Col14
Libreria ERP
 
PDF
Termos utilizados na designação de relação entre pessoa e uma obra.pdf
FlaviaMonte3
 
PPTX
Informática Aplicada Informática Aplicada Plano de Ensino - estudo de caso NR...
amylene1
 
PDF
Fundamentos de gerenciamento de ordens e planejamento no SAP TransportationMa...
Libreria ERP
 
PDF
Custos e faturamento no SAP S/4HANA Transportation Management, S4TM3 Col26
Libreria ERP
 
PPTX
Gestao-de-Bugs-em-Software-Introducao.pptxxxxxxxx
srvfrf
 
PDF
20250805_ServiceNow e a Arquitetura Orientada a Serviços (SOA) A Base para Ap...
Tiago Macul
 
PDF
Processos na gestão de transportes, TM100 Col18
Libreria ERP
 
PPTX
Como-se-implementa-um-softwareeeeeeeeeeeeeeeeeeeeeeeee.pptx
srvfrf
 
PDF
Otimizador de planejamento e execução no SAP Transportation Management, TM120...
Libreria ERP
 
PPTX
Programação - Linguagem C - Variáveis, Palavras Reservadas, tipos de dados, c...
verdepiedade
 
PDF
Gestão de transportes básica no SAP S/4HANA, S4611 Col20
Libreria ERP
 
PDF
Custos e liquidação no SAP Transportation Management, TM130 Col18
Libreria ERP
 
PPTX
Arquitetura de computadores - Memórias Secundárias
ErlnioFreire1
 
PDF
Fullfilment AI - Forum ecommerce 2025 // Distrito e Total Express
Rogério Nogueira (RogNog)
 
COBITxITIL-Entenda as diferença em uso governança TI
MichelleBis1
 
Mergulho profundo técnico para gestão de transportes no SAP S/4HANA, S4TM6 Col14
Libreria ERP
 
Termos utilizados na designação de relação entre pessoa e uma obra.pdf
FlaviaMonte3
 
Informática Aplicada Informática Aplicada Plano de Ensino - estudo de caso NR...
amylene1
 
Fundamentos de gerenciamento de ordens e planejamento no SAP TransportationMa...
Libreria ERP
 
Custos e faturamento no SAP S/4HANA Transportation Management, S4TM3 Col26
Libreria ERP
 
Gestao-de-Bugs-em-Software-Introducao.pptxxxxxxxx
srvfrf
 
20250805_ServiceNow e a Arquitetura Orientada a Serviços (SOA) A Base para Ap...
Tiago Macul
 
Processos na gestão de transportes, TM100 Col18
Libreria ERP
 
Como-se-implementa-um-softwareeeeeeeeeeeeeeeeeeeeeeeee.pptx
srvfrf
 
Otimizador de planejamento e execução no SAP Transportation Management, TM120...
Libreria ERP
 
Programação - Linguagem C - Variáveis, Palavras Reservadas, tipos de dados, c...
verdepiedade
 
Gestão de transportes básica no SAP S/4HANA, S4611 Col20
Libreria ERP
 
Custos e liquidação no SAP Transportation Management, TM130 Col18
Libreria ERP
 
Arquitetura de computadores - Memórias Secundárias
ErlnioFreire1
 
Fullfilment AI - Forum ecommerce 2025 // Distrito e Total Express
Rogério Nogueira (RogNog)
 

PHP Seguro em 2013

  • 2. Patrick Kaminski  Programador PHP desde 2004.  Graduado pela UDESC.  Especialista em Segurança de Sistemas pela PUC.  Atualmente: ● Desenvolvedor na ControlSoft Sistemas ● Professor na Anglo Americano ● Professor no Senac PHP SC Conf | 2013 | PatrickKaminski.com
  • 3. Seu site está seguro?    Quando foi a última tentativa de ataque? Qual foi a última vez que você atualizou os softwares instalados? No momento de desenvolver/instalar, você lembrou de criar algo seguro? PHP SC Conf | 2013 | PatrickKaminski.com
  • 4. Vulnerabilidades: Top 10  Injeção de código  Quebra de autenticação e Gerencia de Sessão  Cross-Site Scripting (XSS)  Referência Insegura e Direta a Objetos  Configuração Incorreta de Segurança  Exposição de Dados Sensíveis  Falta de Função para Controle do Nível de Acesso  Cross-Site Request Forgery (CSRF)  Utilização de Componentes Vulneráveis Conhecidos  Redirecionamentos e Encaminhamentos Inválidos Fonte: OWASP Top 10 - 2013 PHP SC Conf | 2013 | PatrickKaminski.com
  • 5. Cross-site scripting   O Cross-site scripting ou XSS, se trata de injeção de código HTML e ou Javascript em páginas vulneráveis. Exemplo: index.php? msg=<script>alert('XSS');</script> PHP SC Conf | 2013 | PatrickKaminski.com
  • 6. PHP SC Conf | 2013 | PatrickKaminski.com
  • 7. Moderno e com sérias Vulnerabilidades! X PHP SC Conf | 2013 | PatrickKaminski.com
  • 8. Cross-site scripting Fonte:Acunetix PHP SC Conf | 2013 | PatrickKaminski.com
  • 9. Cross-site scripting Fonte: Acunetix PHP SC Conf | 2013 | PatrickKaminski.com
  • 10. Vulnerabilidades: Top 10  Injeção de código  Quebra de autenticação e Gerencia de Sessão  Cross-Site Scripting (XSS)  Referência Insegura e Direta a Objetos  Configuração Incorreta de Segurança  Exposição de Dados Sensíveis  Falta de Função para Controle do Nível de Acesso  Cross-Site Request Forgery (CSRF)  Utilização de Componentes Vulneráveis Conhecidos  Redirecionamentos e Encaminhamentos Inválidos Fonte: OWASP Top 10 - 2013 PHP SC Conf | 2013 | PatrickKaminski.com
  • 11. PHP Injection   Consiste em injetar código detro de uma página/programa vulnerável, programada em PHP. Através deste tipo de ataque é possível obter informações, prejudicar o funcionamento de sites ou até mesmo comprometer todo o funcionamento de um sistema operacional. PHP SC Conf | 2013 | PatrickKaminski.com
  • 12. PHP SC Conf | 2013 | PatrickKaminski.com
  • 13. PHP Injection PHP SC Conf | 2013 | PatrickKaminski.com
  • 14. SQL Injection   Assim como o PHP Injection, o SQL também apresenta grande risco de segurança em servidores vulneráveis. Muitos são os sites que possuem problemas simples de segurança por não realizarem nenhum tipo de filtro nas informações recebidas pelos usuários e isso faz com que o banco de dados fique sob controle do atacante. PHP SC Conf | 2013 | PatrickKaminski.com
  • 15. SQL Injection PHP SC Conf | 2013 | PatrickKaminski.com
  • 16. Vulnerabilidades: Top 10  Injeção de código  Quebra de autenticação e Gerencia de Sessão  Cross-Site Scripting (XSS)  Referência Insegura e Direta a Objetos  Configuração Incorreta de Segurança  Exposição de Dados Sensíveis  Falta de Função para Controle do Nível de Acesso  Cross-Site Request Forgery (CSRF)  Utilização de Componentes Vulneráveis Conhecidos  Redirecionamentos e Encaminhamentos Inválidos Fonte: OWASP Top 10 - 2013 PHP SC Conf | 2013 | PatrickKaminski.com
  • 17. robots.txt   Robots.txt impedem que robôs de busca indexem páginas. Por outro lado, podem servir como ponto de partida para possíveis atacantes. PHP SC Conf | 2013 | PatrickKaminski.com
  • 18. PHP SC Conf | 2013 | PatrickKaminski.com
  • 19. Como resolver?  Como resolver mandar script kiddies para outro site? PHP SC Conf | 2013 | PatrickKaminski.com
  • 20. Trate exceções PHP SC Conf | 2013 | PatrickKaminski.com
  • 21. Evite componentes estranhos PHP SC Conf | 2013 | PatrickKaminski.com
  • 22. Monitore PHP SC Conf | 2013 | PatrickKaminski.com
  • 23. Esteja preparado para imprevistos PHP SC Conf | 2013 | PatrickKaminski.com
  • 24. ab Tr e! lh a PHP SC Conf | 2013 | PatrickKaminski.com
  • 25. Dúvidas? Entre em contato... Liker PHP SC Conf | 2013 | PatrickKaminski.com