Construindo uma aplicação
PHP à Prova de
Balas
Rafael Jaques
TcheLinux - Porto Alegre - 14/11/09
“Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas”
(Mateus 6.33)

Pauta
• Um pouco sobre segurança
• Conhecendo os meios de ataque
• Outros tipos de ameaça
• Mais alguns cuidados
• Perguntas

Um pouco sobre segurança 1

O que é segurança?
• Segurança baseia­se em três pontos:

CONFIDENCIALIDADE
INTEGRIDADE
DISPONIBILIDADE

O que é segurança?

Não se iluda. Não existem aplicações
100% seguras.

Não ouse dizer isso...
Você poderá ter sérios problemas.

O quão segura deve ser a sua aplicação?
Você deve encontrar um equilíbrio entre a segurança e a usabilidade do seu sistema.
Crie um sistema com pouca segurança e ele será invadido.
Crie um sistema com muita segurança e ele será impossível de usar.

O quão segura deve ser a sua aplicação?
Sempre revise o que você projetou.

Evite investir esforços onde não é necessário. envolvem uma aplicação segura

Aplicações seguras tendem a custar caro...
Aplicações não seguras tendem a custar mais caro ainda...

envolvem uma aplicação segura
Entre os custos envolvidos no desenvolvimento da aplicação, temos os seguintes pontos:
• Maior tempo de projeto e pesquisa
• Programação extendida
• Testes mais minuciosos
• Maior uso de hardware
• Maior uso de banda
• Treinamento de pessoal interno
• Treinamento do usuário

a usabilidad e do projeto Conhecendo os meios de ataque

2

ataque que posso sofrer? Existem diversos tipos de ataque através da internet. Eis alguns:
• XSS (Cross­site Scripting)

• Brute Force

• SQL Injection

• Rainbow Table

• Session Hijacking

• Password Sniffing

• Cookie Theft

• Entre outros...

XSS
Cross-site Scripting

O que é?
Injeção de código arbitrário em uma página.

Como ocorre?
Geralmente através de brechas em formulários onde os dados enviados ao servidor não são devidamente filtrados.

XSS
Cross-site Scripting

Exemplo

XSS
Cross-site