PHP && Web 2.0. Ing. Mario Uriarte Amaya

Transcripción

1 PHP && Web 2.0 Ing. Mario Uriarte Amaya

2 PHP en sus inicios En 1994, Rasmus Lerdorf creo un script en Perl para obtener un contador de visitas de su pagina web. Luego en 1997, Zeev Suraski y Andi Gutmans reescribieron el codigo dando origen a PHP3 En 1999, fundaron la empresa Zend y liberaron el motor de PHP con el mismo nombre. En Mayo del 2000 se libero la version 4 de PHP En julio del 2004 fue liberada la version de PHP5 Actualmente se espera la version 6 de PHP

3 El Creador Nace el 22 de Nov de 1968, en Groenlandia Creador de las 2 primeras versiones de PHP. Actualmente participa en el desarrollo de PHP

4 El primero codigo de PHP <! getenv HTTP_USER_AGENT > <! ifsubstr $exec_result Mozilla > Hey, you are using Netscape!<p> <! endif > <! sql database select * from table where user='$username' > <! ifless $numentries 1 > Sorry, that record does not exist<p> <! endif exit > Welcome <! $user >!<p> You have <! $index:0 > credits left in your account.<p> <! include /text/footer.html >

5 Caracteristicas de PHP Soporte a la Programacion Orientada a Objetos Soporte para XML Soporte nativo para Sqlite Soporte Integrado de SOAP Manejo de Excepciones Y Proximamente Soporte de Namespaces Soporte de Unicode

6

7 Seguridad Las aplicaciones Web trabajan en un ambiente heterogeneo y desprovisto de todo tipo de control. Las validaciones y medidas de seguridad del lado del cliente son totalmente vulnerables, y solo deben ser consideradas como ayudas al usuario... mas no como medida de seguridad.

8 Amenazas Zone h contabiliza intrusiones Web con éxito cada día en Se atacan todas las tecnologías Los ataques se han escalado desde el sistema operativo a la aplicación. Ataques no masivos. Motivos: Económicos Venganza Reto Just For Fun

9 Seguridad: SQL Injection Inyección SQL es una vulnerabilidad informática en el nivel de la validación de las entradas a la base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro.

10 Explotación del Ataque Aplicaciones con mala comprobación de datos de entrada. Datos de usuario. Formularios Text Password Textarea List multilist Datos de llamadas a procedimientos. Links Funciones Scripts Actions Datos de usuario utilizados en consultas a base de datos. Mala construcción de consultas a bases de datos.

11 Riesgos Permiten al atacante: Saltar restricciones de acceso. Elevación de privilegios. Extracción de información de la Base de Datos Parada de SGBDR. Ejecución de comandos en contexto usuario bd dentro del servidor.

12 Tipos de Ataques Ejemplo 1: Autenticación de usuario contra base de datos. Usuario Clave **************** Select idusuario from tabla_usuarios Where nombre_usuario= $usuario And clave= $clave ;

13 Tipos de Ataques Ejemplo 1 (cont) Usuario Clave Administrador or 1 = 1 Select idusuario from tabla_usuarios Where nombre_usuario= Administrador And clave= or 1 = 1 ;

14 Contramedidas No confianza en medias de protección en cliente. Comprobación de datos de entrada. Construcción segura de sentencias SQL. Fortificación de Servidor Web. Códigos de error. Restricción de verbos, longitudes, etc.. Filtrado de contenido HTTP en Firewall. Fortificación de SGBD. Restricción de privilegios de motor/usuario de acceso desde web. Aislamiento de bases de datos.

15 Seguridad: Cross-Site Scripting (XSS) XSS es un ataque basado en explotar vulnerabilidades del sistema de validación de HTML incrustado, originalmente abarcaba cualquier ataque que permitiera ejecutar código de "scripting", como VBScript o javascript, en el contexto de otro dominio.

16 Explotación del Ataque Datos almacenados en servidor desde cliente. Datos van a ser visualizados por otros cliente/usuario. Datos no filtrados. No comprobación de que sean dañinos al cliente que visualiza.

17 Riesgos Ejecución de código en contexto de usuario que visualiza datos. Navegación dirigida Phising Spyware Robo de credenciales Ejecución de acciones automáticas Defacement

18 Tipos de Ataques Mensajes en Foros. Firma de libro de visitas. Contactos a través de web. Correo Web. En todos ellos se envían códigos Script dañinos.

19 Seguridad: Robo de Sesiones (XSS) Mediante esta técnica se puede robar sesiones de una manera bastante sencilla Bastaría con realizar un script que llamase a una página alojada en nuestro servidor pasándole la cookie Este Script se colaría en el servidor de la victima aprovechando un punto vulnerable a XSS Cuando un usuario este logueado en el servidor y ejecute el script se enviara a nuestro servidor el contenido de la cookie

20 Robo de Sesiones (XSS) Una vez que la página obtiene la cookie (almacenandola por ejemplo en un fichero) mediante programas como Odysseus se puede hacer una llamada al servidor pasándole la cookie original Por supuesto esta cookie es válida para robar la sesión solo mientras el usuario no cierre la sesión

21 Contramedidas Fortificación de aplicación Comprobación fiable de datos Fortificación de Clientes Ejecución de clientes en entorno menos privilegiado. Fortificación de navegador cliente. MBSA. Políticas.

22 Como construir aplicaciones seguras? La informacion vital ( contraseñas, cuentas bancarias, etc ) deberia ser enviada cifrada... preferiblemente usando https Las contraseñas deben ser almacenadas cifradas en la base de datos Se debe validar las entradas antes de construir las sentencias SQL. Si se usa Ajax, se debe validar la informacion reciba antes de ser mostrada.

23 Usabilidad y Accesibilidad La usabilidad se refiere a la capacidad de un software de ser comprendido, aprendido, usado y ser atractivo para el usuario, en condiciones específicas de uso. La accesibilidad es el grado con el que algo puede ser usado, visitado o accedido por todas las personas, independientemente de sus capacidades técnicas o físicas.

24 Evaluando la Usabilidad Mapas de Calor Evaluación de Formularios Evaluación de Diseños Seguimiento de Navegación

25 Accesibilidad La W3C (World Wide Web Consortium), en especial su grupo de trabajo Web Accessibility Initiative (WAI) es el encargado de promover la accesibilidad.

26 Beneficios de la Accesibilidad Aumenta el número de potenciales visitantes de la página web. Disminuye los costes de desarrollo y mantenimiento. Reduce el tiempo de carga de las páginas web y la carga del servidor web. Se supone de caracter obligatorio en organismos estatables.

27 Pautas de Accesibilidad Proporcione alternativas equivalentes para el contenido visual y auditivo No se base sólo en el color. Utilice marcadores y hojas de estilo y hágalo apropiadamente. Identifique el idioma usado. Cree tablas que se transformen correctamente. Asegúrese de que las páginas que incorporan nuevas tecnologías se transformen correctamente.

28 Pautas de Accesibilidad Asegure al usuario el control sobre los cambios de los contenidos tempo dependientes. Asegure la accesibilidad directa de las interfaces de usuario incrustadas. Diseñe para la independencia del dispositivo Utilice soluciones provisionales. Utilice las tecnologías y pautas W3C. Proporcione información de contexto y orientación.

29 Pautas de Accesibilidad Proporcione mecanismos claros de navegación. Asegúrese de que los documentos sean claros y simples. Para validar cada una de estas pautas, la W3C de definido puntos de verificación dentro de las mismas. Estos puntos de verificación tienen diferentes prioridades.

30 Estandares Web La W3C, World Wide Wide Consortium, es un organismo neutro que desarrolla estandares para la web. Conjunto de recomendaciones dadas por el World Wide Web Consortium (W3C) y otras organizaciones internacionales acerca de cómo crear e interpretar documentos basados en el Web. El objetivo es crear un Web que trabaje mejor para todos, con sitios accesibles a más personas y que funcionen en cualquier dispositivo de acceso a Internet.

31 Estandares Web Te imaginas hablar en un idioma y que tus oyentes hablen otro? Los estandares Web defininen un idioma universal.

32 Estandares Web XHTML, XML, XSL CSS Urls Semanticos SVG, PNG Accesibilidad Javascript No Instrusivo

33 Web no tan estandar ( XUL ) XUL (XML based User interface Language) es la aplicación de XML a la descripción de la interfaz de usuario en el navegador Mozilla.

34 XUL XUL es un lenguaje basado en XML. Es usado por Mozilla para crear su GUI. Tiene su origen con el navegador Mozilla, en el año 2001 XUL, aunque no es un lenguaje estandar, es verdaderamente multiplataforma. Con XUL puedo crear: Extensiones de Firefox Aplicaciones Independientes Aplicaciones XUL Remotas

35 Demostración

36 Requerimientos Apache, php5, mysql, adodb, smarty, phporm. sudo aptitude install apache2 php5 mysql server smarty libphp adodb

37 Descripción de la aplicación Sistema de Gestion de Contenidos ( Blog ). Soporte de Posts y Comentarios. Area Administrativa para la Gestion de Posts. Area Administrativa para la Gestion de Comentarios.