Are you a developer who works with PHP? Then this webinar was made for you.
Even though PHP is a simple and practical language, it is easy to make code with the help of unorthodox solutions, also known as "kludges", that can endanger your website.
In this webinar, Jean will explore some examples of PHP coding done incorrectly. Jean will also show you how badly written code is an invitation for hackers to exploit a website.
5. • Initially stood for “Personal Home Page”, currently ”PHP: Hypertext
Preprocessor”
• Free and Open Source
• Active community
• Performance (PHP 7)
• Easy to learn (similar to C/C++ and Perl)
• Multi-platform (portability)
• Manipulation of Data and Files
• “Malleable” - dynamic typing / almost everything is an object or array
PHP
6. 0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Nov-2016 Dec-2016 Jan-2017 Feb-2017 Mar-2017 Apr-2017 May-2017 Jun-2017 Jul-2017 Aug-2017 Sep-2017 Oct-2017 Nov-2017
Historical Trends in the Usage of Server-Side
Programming Languages for Websites
PHP ASP.NET Java static files ColdFusion Ruby JavaScript Perl Python Erlang
Source:: https://w3techs.com/technologies/history_overview/programming_language
7.
8. • MacGyverism
• Improvisation
• Without planning
• Alternative method
• Quick-and-dirty solution
• Alternative engineering
• A computer program that has been
revised and tinkered with so much
that it will never work
What are kludges?
[source: http://www.dictionary.com/browse/kludge]
9. • WOP - Workaround-oriented
programming
• kludge or kluge n. Slang 1. A system,
especially a computer system that is
constituted of poorly matched
elements or of elements originally
intended for other applications.[...]
[source: The American Heritage Dictionary of the English Language (2011)]
What are kludges?
10. • Code
• Configuration
• Programming Model
• Structure
• Etc.
Kinds and Causes
• Lack of experience
• Lack of logic
• Lack of methodology
• Laziness
• Hurry
• Legacy code
• Frankenstein code
23. • Use your head!
• Refactor/rewrite!
• KISS principle – keep it simple, stupid!
• Use standards: PSR-1, PSR-2, PSR-3, PSR-4
• Use a CDN (with cache) to avoid direct access to your code.
• Be aware that attacks are unavoidable. Have backups and monitoring.
• Use a WAF!
How to avoid kludges?
25. • Act as an intermediary service between your website's application and the
visitor reaching for it.
• Intercept and remove malicious requests before they can cause damage.
• Prevent known payloads and malicious inputs sent by users.
• Help keep your work, your server, your environment, and your customers
safe.
*Most attacks happen because hackers are actively searching huge amounts
of websites for common vulnerabilities.
How a WAF can help you:
26. • ... do not have full control over the code (use plug-ins or codes
from other sources)
• ... use frameworks or common CMS
• ... prefer to do everything ”in-house”
• ... cannot or don’t want to upgrade your server or language
version
• ... use legacy code or don’t know very well the entire code
• ... have sensitive data from yourself or from your users
Especially effective if you...
27. • Won’t replace the existing controls, but will complement
them.
• Won’t help you to write simpler code.
• Won’t help you to write less kludges.
How a WAF CANNOT help you:
28. • Website Application Firewall (WAF) and Intrusion Prevention System
(IPS) specifically developed to address the challenges of site security.
• Employs Virtual Patching and Hardening technologies that mitigate
attacks on our network without requiring the site owner to take any
further actions.
WAF – Sucuri
30. • Not configuring (not pointing the website to the WAF)
• Leaving “loose ends” (partial configuration)
• Whitelisting everything
• Blacklisting everything
• Whitelisting unsafe code
Bonus: How not to configure a WAF
Notes de l'éditeur
Survey Questions -- Next
No lado pessoal, moro no Sul da California com minha familia ja à 16 anos, mas cresci na costa sul do belo estado de Santa Catarina
Mesmo aqui nos Estados Unidos continuo jogando meu futebol em uma liga local - Vc pode tirar o Brasileiro do Brasil mas não tira o Brasil do Brasileiro…
E quando sobra tempo eu ataco as trilhas locais com minha Mountain Bike.
Quem deve se preocupar com segurança na internet?
Sem dúvidas os donos de sites devem se preocupar em como proteger seus investimentos.
Muito dos que estão atendendo este webinar são Desenvolvedores, Programadores, agencias, empresas de hospedagem, provedores de serviços gerenciados e, enfim, qualquer pessoa responsável por administrar um site.
Quem deve se preocupar com segurança na internet?
Sem dúvidas os donos de sites devem se preocupar em como proteger seus investimentos.
Muito dos que estão atendendo este webinar são Desenvolvedores, Programadores, agencias, empresas de hospedagem, provedores de serviços gerenciados e, enfim, qualquer pessoa responsável por administrar um site.
Quem deve se preocupar com segurança na internet?
Sem dúvidas os donos de sites devem se preocupar em como proteger seus investimentos.
Muito dos que estão atendendo este webinar são Desenvolvedores, Programadores, agencias, empresas de hospedagem, provedores de serviços gerenciados e, enfim, qualquer pessoa responsável por administrar um site.
Quem deve se preocupar com segurança na internet?
Sem dúvidas os donos de sites devem se preocupar em como proteger seus investimentos.
Muito dos que estão atendendo este webinar são Desenvolvedores, Programadores, agencias, empresas de hospedagem, provedores de serviços gerenciados e, enfim, qualquer pessoa responsável por administrar um site.
Quem deve se preocupar com segurança na internet?
Sem dúvidas os donos de sites devem se preocupar em como proteger seus investimentos.
Muito dos que estão atendendo este webinar são Desenvolvedores, Programadores, agencias, empresas de hospedagem, provedores de serviços gerenciados e, enfim, qualquer pessoa responsável por administrar um site.
Quem deve se preocupar com segurança na internet?
Sem dúvidas os donos de sites devem se preocupar em como proteger seus investimentos.
Muito dos que estão atendendo este webinar são Desenvolvedores, Programadores, agencias, empresas de hospedagem, provedores de serviços gerenciados e, enfim, qualquer pessoa responsável por administrar um site.
Quem deve se preocupar com segurança na internet?
Sem dúvidas os donos de sites devem se preocupar em como proteger seus investimentos.
Muito dos que estão atendendo este webinar são Desenvolvedores, Programadores, agencias, empresas de hospedagem, provedores de serviços gerenciados e, enfim, qualquer pessoa responsável por administrar um site.