Proteja sua aplicação com o
Zend Framework 2
PHPEste - João Pessoa - 03/10/2015

Sobre mim
Cyrille Grandval (@CyrilleGrandval)
• Z-Team member : Zend Evangelist
• Consultor PHP / Segurança desde 2000
• Professor / tutor em PHP e segurança das
aplicações web
• Palestrante internacional, autor de livros e
artigos técnicos
• Fundador da Darkmira França e Darkmira
Brasil

OWASP Top 10 2013
A1 - Injeção de código
A2 - Quebra de autenticação e
Gerenciamento de Sessão
A3 - Cross-Site Scripting (XSS)
A4 - Referência Insegura e Direta a
Objetos
A5 - Configuração Incorreta de
Segurança
A6 - Exposição de Dados Sensíveis
A7 - Falta de Função para Controle do
Nível de Acesso
A8 - Cross-Site Request Forgery (CSRF)
A9 - Utilização de Componentes
Vulneráveis Conhecidos
A10 - Redirecionamentos e
Encaminhamentos Inválidos
https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf

Lembrança
Uma configuração segura tem de ser definida, implementada e mantida
cada dia
• Não exiba as mensagens de erros do sistema / stacktrace
• Modificar os logins / senhas padrão das aplicações
• Manter a versão de PHP atualizada
• Manter os librairies atualizados

Primeiro mantra
Think out of the box

Think out of the box
Ligue cada tesouro!
ligar os 9 tesouros
4 linhas retas
sem retirar a caneta
1 2 3
4 5 6
7 8 9

Organização do código
• 1 diretório público sendo a raiz web
• 1 front controller só : index.php
• configurações :
• globais : *.global.php
• locais : *.local.php -> (.gitignore)

Componentes de segurança
• ZendAuthentification
• ZendDb
• ZendCaptcha
• ZendCrypt
• ZendEscaper
• ZendFilter
• ZendInputFilter
• ZendPermissions
• ZendMath
• ZendValidator

Segundo mantra
Filter input, escape output

Trust
no
one

Filtrar
Existe vários filtros :
ZendFilterBlacklist
ZendFilterBoolean
ZendFilterCallback
ZendFilterDigits
ZendFilterDecrypt
ZendFilterEncrypt
ZendFilterHtmlEntities
ZendFilterPregReplace
ZendFilterStripTags
ZendFilterToInt
ZendFilterWhiteList
ZendI18nFilter* e muito mais

Filtrar

Filtrar
Para integrar em um formulário
• implementar o interface InputFilterProviderInterface
• criar um método publico getInputFilterSpecification
• especificar o filtro para o campo nesse método

Criar um filtro de entrada
• permite de definir uma coleção de filtros e validators
• pode ser aplicado sobre qualquer tipo de dados (formulários,
parâmetro GET, COOKIE, headers HTTP, …)
• contém um método isValid que verifica a validade dos dados

Criar um filtro de entrada

Usar um filtro de entrada

ZendValidatorInArray
ZendValidatorLessThan
ZendValidatorRegexp
ZendValidatorStringLength
ZendValidatorUri
ZendI18nValidator* e muito mais
Validar
Existe vários validators :
ZendValidatorDbRecordExists
ZendValidatorCallback
ZendValidatorCreditCard
ZendValidatorDigits
ZendValidatorEmailAddress
ZendValidatorGreaterThan

Validar
Cada validator contém um método isValid

Validar
Para integrar em um formulário
• implementar o interface InputFilterProviderInterface
• criar um método publico getInputFilterSpecification
• especificar o validator para o campo nesse método

Escapar
Existe vários formatos :
• escapeHTML()
• escapeHTMLattr()
• escapeUrl()
• escapeJs()
• escapeCss()

Escapar
Ou diretamente no view
echo $this->escapeHTML($this->message);

Logar
O componente ZendAuthentification fornece API para se conectar e
vários adapters são disponiveis :
• Database Table
• Digest
• HTTP
• LDAP
Você também pode criar o seu adapter.

Controlar acesso
Criar um Access Control List
• simple
• evolutivo
• facilmente auditável
• deny all por padrão

Controlar acesso
O que é um resource
• objeto ao qual o acesso é controlada
O que é um role
• objeto que pode pedir o acesso a um recurso

Controlar acesso

Configurar as sessões

Configurar as sessões
Usar os validators para as sessões

Configurar as sessões
Regeração do ID de sessão contra a fixação

Criptografar
ZendCrypt permite implementar uma criptografia avançada e simple
• ZendCryptBlockCipher
• ZendCryptHash
• ZendCryptHmac
• ZendCryptKeyDerivation
• ZendCryptPassword
• ZendCryptPublicKey
• ZendCryptSymmetic

Criptografar com BlockCipher
ZendCryptBlockCipher usa o adapter Mcrypt
• usar para encrypt/decrypt dados sensiveis (symmetric encryption)
• gere também a autenticação HMAC
Métodos do API
• setKey($key)
• encrypt($data)
• decrypt($data)

Criptografar com BlockCipher

Password hash
Parar de usar
• md5 ou sha1 com ou sem salt
Recomandado
• bcrypt
• scrypt

Criptografar com Bcrypt
ZendCryptPasswordBCrypt
Métodos do API
• create($password)
• verify($password, $hash)
• setSalt($salt)
• setCost($cost)

Criptografar com Bcrypt

Prepared Statement
Declarações preparadas que são armazenados no servidor de bancos de
dados
objetivo :
• executar consultas sem variação da sintaxe
• mudança apenas nos parâmetros
• velocidade na execução dos comandos SQL
• maior segurança pois os dados são identificados e escapados

Usar os prepared statement
Parâmetro anonimo
Parâmetro nomeado

Implementar um token

Se manter informado
Para ter uma boa segurança, é preciso cuidar do desenvolvimento da sua
aplicação mas também das ferramentas usadas.
Se mantenha em alerta das falhas de segurança do Zend Framework 2
http://framework.zend.com/security/advisories/

Debug
Segurar é também criar uma aplicação sem comportamento anormal, sem
bug. Usar um debugguer ao invês de var_dump.
Zend fornece uma ferramenta de debug com o Zend Server : Z-Ray
• Baixa o new Z-Ray Standalone (não precisa do Zend Server) :
http://www.zend.com/en/products/z-ray/z-ray-preview
• Participe do novo Z-Ray Standalone com seu feedback :
https://docs.google.com/a/zend.com/forms/d/1xyg592SHOm5g1JJ5XLa
1KjgB1D0th5v7dGoMU1i2ZgU/viewform?usp=send_form

Obrigado :-)
Dê seu feedback no http://joind.in/event/view/4001