1. Чести проблеми в сигурността
на уеб проектите
Веселин Николов
@dzver

2. За мен
● Работя с компютри
● Automattic
● WordPress.com

3. Предистория

4. WordCamp Sofia

5. WordCamp Sofia

6. WordCamp Sofia

7. WordCamp Sofia

8. WordCamp Sofia
- Хакнах си сайта

9. Сигурност
1. Пароли и хешове
2. XSS
3. XSRF
4. SQL Injection

10. Пароли

11. Пароли и хешове
>30%
От сайтовете ползват пароли в
явен вид.
http://readwrite.com/2009/12/16/rockyou_hacker_30_of_sites_store_plain_text_passwords

13. ... и някой знае паролата ви.

14. Пароли и хешове
1. Пароли
Лоша идея: ...SET pass='$pass'
Лоша идея: md5( $pass )
Добра идея: crypt с добър алгоритъм,
случайна сол към всяка парола.

15. Пароли и хешове

16. Пароли и хешове
2. Нещо предвидимо + md5 без сол
md5( $user . $password );
Rainbow tables
Google attacks (Tonimir - @kisasondi)
3. md5 по нещо предвидимо
md5( $user_id )

17. Пароли и хешове
4. Забравени debugs
error_log( print_r( $_POST ) )
wp_mail( ..., ..., print_r( $_POST ) )
Таблици с дебъг информация

18. Той съхраняваше пароли в явен вид

19. Той ползва md5( $password );

20. XSS

21. XSS
Име: <?php echo $_GET['name']; ?>
http://myproject.com/index.php?name
=<script>alert(1);</script>

22. XSS

23. XSS
● Изпълняване на код от името на сайта
● Кражба на login cookies
● Кражба на лична информация
● Deface, ако сте късметлии

24. XSS
<?php echo $name; ?>
vs
<?php echo esc_html( $name ); ?>

25. XSS
В WordPress:
● esc_html (~htmlspecialchars)
● esc_url
● esc_attr (~htmlspecialchars)
● esc_js

26. XSS
Често срещани проблеми:
1. Непочистен output
2. Погрешна употреба на функции
3. Липса или неправилна валидация
4. Правописни грешки

27. XSS
Погрешна употреба на функции
<script>
var a = '<?php echo strip_tags( $a ) ?>'

28. XSS
Погрешна употреба на функции
<script>
var a = '<?php echo strip_tags( $a ) ?>'
$a = “'; alert(7) //”;

29. XSS
Погрешна употреба на функции
<?php echo json_encode( $a ) ?>

30. XSS
Погрешна употреба на функции
<?php echo json_encode( $a ) ?>
http://h43z.blogspot.com/2012/06/phps-
jsonencode-and-xss.html

31. XSS
Употреба на esc_* без валидация:
<script src=”<?php echo esc_url( $js ) ?>”>
където
$js = 'http://evil-project.com/js';

32. XSS
Неправилна валидация
1. Проверка вместо cast
if ( intval( $myfield ) )
echo $myfield;
// $myfield = '1 <script...';

33. XSS
Неправилна валидация на ID-та
2. Липса на ^ и $ в regexp
if ( ! preg_match( '/[a-z0-9_-]/i', $myfield ) )
return 'You are trying to hack me!';
// $myfield = '<script ...'

34. XSS
Същото с валидация на URL – script src
2. Липса на ^ и $ в RegExp
if ( preg_match ( '!https?://(www.)*good-host.com/js/!i',
$myjs)
http://dzver.com/bad.js?http://good-host.com/js/
if ( preg_match( '!^http://good-host.com!', $myjs )
http://good-host.com.dzver.com

35. XSS
Неправилна валидация на URL
3. Точката в RegExp е wildcard.
if ( preg_match ( '!^https?://(www.)*good-host.com/js/!i',
$myjs) ...
// $myjs = http://wwwwgoodhost.com/js

36. XSS
Неправилна валидация на URL
4. Позволен / в хост-а
if ( ! preg_match( '!^https?://[^.]+.whatever.com/.+$!i',
$url ) )
// $myjs = 'http://3254656436/or.whatever.com/evil.js'
// $myjs = '<script.../.whatever.com/'

37. XSS
Бонус - printf вместо sprintf / погрешен ред
echo htmlspecialchars( printf( $name ) )

38. XSS
Безопасно ли е това:
<script>
var a = '<?php echo $_POST['a']; ?>'
</script>
?

39. XSS + XSRF
Не е.
<form action=”http://good-host.com”>
<input name=a value=”'; alert(7)//”>
</form>
<script>
document.forms[0].submit()
</script>

40. XSRF
<img src=”http://dzver.com/admin/?action=delete_user&id=17”>

41. Защита от XSRF

42. XSRF
Nonces - cryptographic number used only once
В WordPress:
$nonce= wp_create_nonce( 'my-nonce' );
$url = “...&nonce=$nonce”
if ( ! wp_verify_nonce( $nonce, 'my-nonce' ) )
wp_redirect()

43. XSRF
Понякога трябва да си имплементирате
nonces сами
generate_nonce( $id ) {
if ( empty( $_SESSION['nonces'][$id] ) )
$_SESSION['nonces'][$id] = md5( salt .
mktime() );
}
verify_nonce( $id, $nonce ) {
return !empty( $_SESSION['nonces'][$id] ) &&
$nonce == $_SESSION['nonces'][$id]
}

44. Eval, Extract и прочие
Специфики за PHP програмисти
● eval( “something_clever( {$_GET['a']}” )
● extract( $_GET['a'] )
● create_function( “return 7 == $_GET['a']” )
● ``, system, assert, include, preg_replace
● Много други.
http://stackoverflow.com/questions/3115559/exploitable-php-functions

45. Пример
$sql = sprintf( “UPDATE users SET password
= '%s' WHERE user_id = %d”,
$_POST['password'],
$_SESSION['user_id'] );
mysql_query( $sql );

46. SQL Injection
PREPARE
В WordPress имаме $wpdb->prepare
●

47. Защита
● Не вярвайте на юзърски инпут
● HTTPS

48. Защита

49. Въпроси?