Esta palestra aborda estratégias de obfuscação de código PHP como uma medida para fortalecer a defesa em profundidade de projetos críticos.
Serão apresentadas técnicas eficazes de ofuscação, destacando como esse processo pode dificultar significativamente a compreensão do código por atacantes e/ou indivíduos mal intencionados, promovendo uma abordagem mais robusta na preservação da integridade de sistemas PHP em ambientes de produção.
Slides da palestra apresentada no Tchê Linux Pelotas, sobre desenvolvimento PHP, onde mostra: ferramentas, boas práticas, frameworks e bibliotecas a serem usadas pelos profissionais PHP.
Xdebug seus problemas acabaram - TDC - PHPesteVitor Mattos
Você leva horas, dias para encontrar um bug? Não conhece o framework que trabalha ou leva dias encontrando como implementar algo? Seus problemas acabaram! Aprenda a debugar suas aplicações com Xdebug!
TDC2016 | Trilha PHP - Xdebug: Seus problemas acabaram!tdc-globalcode
O documento discute a extensão Xdebug para PHP, explicando o que é Xdebug, por que usá-lo e como instalá-lo e configurá-lo. Também aborda como usar Xdebug para depurar código ao vivo, medir cobertura de código e fazer profiling de aplicações.
Novidades no OpenBSD 4.3 - Leonardo Menezes VazTchelinux
O documento resume as principais características e novidades do sistema operacional OpenBSD 4.3, incluindo sua ênfase em segurança, suporte multiplataforma, uso extensivo de criptografia e lançamento recente com mais de 4900 pacotes.
Seguindo padrões: Codificando profissionalmente com PHP SnifferVinicius Warto Campos
Workshop presented on November 30th, 2012, by Vinicius Warto at PHP Conference Brazil. This work explains how to perform a professional software development using PHP Code Sniffer with some pratical issues.
O documento apresenta a história do framework Zend Framework e sua transição para o framework Laminas. Descreve a compra do Zend Framework pela RogueWave e a saída de seus principais desenvolvedores em 2018, levando à criação do projeto Laminas sob a Linux Foundation. Também discute as perspectivas para a ferramenta de migração entre os frameworks e os próximos passos do projeto Laminas.
O documento discute a arquitetura de microsserviços em PHP, comparando arquiteturas monolíticas e distribuídas. Ele também cobre tópicos como disponibilidade, centralização vs descentralização, frameworks para criação de microsserviços em PHP e exemplos básicos de implementação.
Oficina de PHP - Software Freedom Day Luziânia 2013George Mendonça
Oficina de PHP realizada no Instituto Federal de Goiás Campus de Luziânia no evento Software Freedom Day.
----------------------------------------------------------------
PHP Workshop held at the Federal Institute of Goiás Campus Luziania in Software Freedom Day event.
Slides da palestra apresentada no Tchê Linux Pelotas, sobre desenvolvimento PHP, onde mostra: ferramentas, boas práticas, frameworks e bibliotecas a serem usadas pelos profissionais PHP.
Xdebug seus problemas acabaram - TDC - PHPesteVitor Mattos
Você leva horas, dias para encontrar um bug? Não conhece o framework que trabalha ou leva dias encontrando como implementar algo? Seus problemas acabaram! Aprenda a debugar suas aplicações com Xdebug!
TDC2016 | Trilha PHP - Xdebug: Seus problemas acabaram!tdc-globalcode
O documento discute a extensão Xdebug para PHP, explicando o que é Xdebug, por que usá-lo e como instalá-lo e configurá-lo. Também aborda como usar Xdebug para depurar código ao vivo, medir cobertura de código e fazer profiling de aplicações.
Novidades no OpenBSD 4.3 - Leonardo Menezes VazTchelinux
O documento resume as principais características e novidades do sistema operacional OpenBSD 4.3, incluindo sua ênfase em segurança, suporte multiplataforma, uso extensivo de criptografia e lançamento recente com mais de 4900 pacotes.
Seguindo padrões: Codificando profissionalmente com PHP SnifferVinicius Warto Campos
Workshop presented on November 30th, 2012, by Vinicius Warto at PHP Conference Brazil. This work explains how to perform a professional software development using PHP Code Sniffer with some pratical issues.
O documento apresenta a história do framework Zend Framework e sua transição para o framework Laminas. Descreve a compra do Zend Framework pela RogueWave e a saída de seus principais desenvolvedores em 2018, levando à criação do projeto Laminas sob a Linux Foundation. Também discute as perspectivas para a ferramenta de migração entre os frameworks e os próximos passos do projeto Laminas.
O documento discute a arquitetura de microsserviços em PHP, comparando arquiteturas monolíticas e distribuídas. Ele também cobre tópicos como disponibilidade, centralização vs descentralização, frameworks para criação de microsserviços em PHP e exemplos básicos de implementação.
Oficina de PHP - Software Freedom Day Luziânia 2013George Mendonça
Oficina de PHP realizada no Instituto Federal de Goiás Campus de Luziânia no evento Software Freedom Day.
----------------------------------------------------------------
PHP Workshop held at the Federal Institute of Goiás Campus Luziania in Software Freedom Day event.
TDC2018SP | Trilha Serveless - Pra que SERVErless?tdc-globalcode
O documento discute o conceito de serverless computing, incluindo como ele remove a necessidade de gerenciar servidores, permite que as funções sejam acionadas por eventos e escalem automaticamente, e como ele pode trazer benefícios como redução de custos e complexidade.
Talk apresentada interna na empresa IXCsoft, com o objetivo de mostrar as principais novidades das versões 7.4 e 8.0 do PHP.
O foco foi mostrar pequenos trechos de códigos para utilização em software da Empresa.
TDC2018SP | Trilha Modern Web - Blazor - C# rodando no navegador padrao, sem ...tdc-globalcode
O documento resume o framework Blazor da Microsoft, que permite criar aplicações web interativas usando C# no lado do cliente, sem plugins. Explica que o Blazor compila C# para WebAssembly, permitindo que o código rode diretamente no navegador. Detalha alguns recursos e limitações atuais do Blazor, que é um projeto experimental da Microsoft.
O documento discute engenharia reversa de binários ELF em GNU/Linux. Ele explica o que é engenharia reversa, aspectos legais, ferramentas para análise como strings e hte, exemplos de análise de um programa "Hello World" e de um cavalo de Tróia, empacotamento com upx, e oportunidades na área.
Um estudo comparativo entre frameworks PHP, analisando as diferentes abordagens, vantagens e desvantagens de cada um deles, a fim de entender em que situações cada um deles é mais adequado para uma aplicação.
Ferramentas Essenciais para Desenvolvedores de Plugins WordPressTiago Hillebrandt
O documento discute ferramentas essenciais para desenvolvedores de plugins WordPress. Ele descreve ferramentas como Vagrant, Composer, PHP Code Sniffer, Npm, Grunt e EditorConfig que podem ser usadas para criar e manter plugins. O documento também explica arquivos importantes como readme.txt e como validá-los para publicar plugins na WordPress Plugin Directory.
Escalando uma plataforma poliglota - QConSP 17Leandro Moreira
O documento discute as arquiteturas poliglotas utilizadas na plataforma de vídeos ao vivo da Globo.com, abordando a diversidade de problemas e soluções, como caching, armazenamento, encoding e CDNs. Práticas como testes, documentação e monitoramento são apresentadas para lidar com a complexidade e garantir a escalabilidade e disponibilidade do sistema.
Xdebug seus problemas acabaram - tdc floripa 2017Vitor Mattos
O documento fornece um resumo sobre a extensão Xdebug para PHP. Resume:
1) Xdebug é uma extensão que permite depurar scripts PHP fornecendo informações valiosas como valores de variáveis e backtraces.
2) Xdebug utiliza o protocolo DBGp para depuração remota em tempo real e análise de cobertura de código e performance.
3) As principais funcionalidades do Xdebug incluem depuração passo-a-passo, análise de cobertura de código e profiling para identificar gargalos.
TDC2017 | Florianopolis - Trilha DevOps How we figured out we had a SRE team ...tdc-globalcode
O documento fornece um resumo sobre a extensão Xdebug para PHP. Resume:
1) Xdebug é uma extensão que permite depurar scripts PHP fornecendo informações valiosas como valores de variáveis e backtraces de execução.
2) Xdebug permite debugar aplicações em tempo real usando o protocolo DBGp e clientes como Eclipse.
3) Além de depuração, Xdebug oferece funcionalidades como análise de cobertura de código e profiling para identificar gargalos.
Conheça mais sobre Composer, a ferramenta que trouxe uma das maiores revoluções para o PHP. Composer vai muito além de instalação de dependências, aprenda a poupar dias e meses de trabalho e passe a ser um dev feliz focado em trazer as melhores soluções técnicas para as necessidades do negócio.
Confraria0day - 11º Edição - Jhonathan DaviJhonathan Davi
O documento discute técnicas utilizadas por cibercriminosos para roubar informações bancárias de usuários, incluindo alteração de configurações de DNS em roteadores para redirecionar tráfego para sites falsos e uso de scripts JavaScript maliciosos para capturar endereços IP internos e realizar ataques de força bruta em roteadores. O documento também apresenta a ferramenta RouterhunterBR 2.0 para varredura automática de vulnerabilidades em dispositivos conectados à Internet.
O documento fornece dicas para desenvolvedores PHP melhorarem suas carreiras, incluindo: assumir responsabilidade por erros, investir em conhecimentos, seguir padrões como PSR e Composer, usar Orientação a Objetos corretamente, testar código, documentar e falar em eventos.
Zend Framework 2 - Desenvolvimento Ágil CompetenteMichael Cardoso
Essa apresentação faz parte do minicurso Zend Framework 2, onde apresentamos suas principais características e como fazer a instalação deste framework web de ponta.
O que não fazer ao atualizar para o PHP 7 @ TDC SP 2018 Gabriel Machado
O documento resume as principais lições aprendidas ao atualizar um projeto do PHP 5 para o PHP 7. Em três frases: A migração enfrentou problemas com extensões incompatíveis e bugs não detectados pelos testes. É essencial preparar o código para facilitar atualizações, realizar profiling e não supor que o PHP 7 trará melhorias de performance automaticamente. Testes completos e monitoramento cuidadoso são fundamentais para uma migração bem-sucedida.
O documento apresenta o Metasploit Framework, um software livre para prova de conceito de vulnerabilidades. Ele discute o que é o Metasploit, como utilizá-lo para prova de conceito e desenvolver exploits, e as principais características do Meterpreter. Além disso, apresenta módulos auxiliares e o uso do Metasploit para testes web.
Conheça mais sobre Composer, a ferramenta que trouxe uma das maiores revoluções para o PHP. Composer vai muito além de instalação de dependências, aprenda a poupar dias e meses de trabalho e passe a ser um dev feliz focado em trazer as melhores soluções técnicas para as necessidades do negócio.
WordCamp SP 2019 - PeachPie unindo Php com C# .Net CoreVanessa Valle
O documento descreve o PeachPie, um framework que permite executar código PHP no .NET Core, permitindo que desenvolvedores aproveitem as vantagens de ambas as plataformas, como segurança, desempenho e compatibilidade, além de facilitar a migração de aplicativos PHP para .NET.
Django: desenvolvendo aplicações web de maneira simples e rápida!Felipe Queiroz
Este documento apresenta o framework Django. Discute a história do Django, suas características e princípios, como configurar e criar projetos e aplicações no Django. O palestrante também mostra como criar modelos de dados, instalar aplicações e gerar bancos de dados no Django.
Ricardo Guerra Freitas apresenta sobre a evolução do Visual Basic e da plataforma .NET. Ele discute o histórico do Visual Basic, as novidades do VB e VS 2010, e faz uma demonstração das novas funcionalidades. O documento resume as principais características da plataforma .NET, como o Common Language Runtime e a Base Class Library, e explica como o Visual Basic e C# evoluíram para trabalhar em conjunto de forma mais integrada.
Contenu connexe
Similaire à Táticas de obfuscação de código em projetos PHP
TDC2018SP | Trilha Serveless - Pra que SERVErless?tdc-globalcode
O documento discute o conceito de serverless computing, incluindo como ele remove a necessidade de gerenciar servidores, permite que as funções sejam acionadas por eventos e escalem automaticamente, e como ele pode trazer benefícios como redução de custos e complexidade.
Talk apresentada interna na empresa IXCsoft, com o objetivo de mostrar as principais novidades das versões 7.4 e 8.0 do PHP.
O foco foi mostrar pequenos trechos de códigos para utilização em software da Empresa.
TDC2018SP | Trilha Modern Web - Blazor - C# rodando no navegador padrao, sem ...tdc-globalcode
O documento resume o framework Blazor da Microsoft, que permite criar aplicações web interativas usando C# no lado do cliente, sem plugins. Explica que o Blazor compila C# para WebAssembly, permitindo que o código rode diretamente no navegador. Detalha alguns recursos e limitações atuais do Blazor, que é um projeto experimental da Microsoft.
O documento discute engenharia reversa de binários ELF em GNU/Linux. Ele explica o que é engenharia reversa, aspectos legais, ferramentas para análise como strings e hte, exemplos de análise de um programa "Hello World" e de um cavalo de Tróia, empacotamento com upx, e oportunidades na área.
Um estudo comparativo entre frameworks PHP, analisando as diferentes abordagens, vantagens e desvantagens de cada um deles, a fim de entender em que situações cada um deles é mais adequado para uma aplicação.
Ferramentas Essenciais para Desenvolvedores de Plugins WordPressTiago Hillebrandt
O documento discute ferramentas essenciais para desenvolvedores de plugins WordPress. Ele descreve ferramentas como Vagrant, Composer, PHP Code Sniffer, Npm, Grunt e EditorConfig que podem ser usadas para criar e manter plugins. O documento também explica arquivos importantes como readme.txt e como validá-los para publicar plugins na WordPress Plugin Directory.
Escalando uma plataforma poliglota - QConSP 17Leandro Moreira
O documento discute as arquiteturas poliglotas utilizadas na plataforma de vídeos ao vivo da Globo.com, abordando a diversidade de problemas e soluções, como caching, armazenamento, encoding e CDNs. Práticas como testes, documentação e monitoramento são apresentadas para lidar com a complexidade e garantir a escalabilidade e disponibilidade do sistema.
Xdebug seus problemas acabaram - tdc floripa 2017Vitor Mattos
O documento fornece um resumo sobre a extensão Xdebug para PHP. Resume:
1) Xdebug é uma extensão que permite depurar scripts PHP fornecendo informações valiosas como valores de variáveis e backtraces.
2) Xdebug utiliza o protocolo DBGp para depuração remota em tempo real e análise de cobertura de código e performance.
3) As principais funcionalidades do Xdebug incluem depuração passo-a-passo, análise de cobertura de código e profiling para identificar gargalos.
TDC2017 | Florianopolis - Trilha DevOps How we figured out we had a SRE team ...tdc-globalcode
O documento fornece um resumo sobre a extensão Xdebug para PHP. Resume:
1) Xdebug é uma extensão que permite depurar scripts PHP fornecendo informações valiosas como valores de variáveis e backtraces de execução.
2) Xdebug permite debugar aplicações em tempo real usando o protocolo DBGp e clientes como Eclipse.
3) Além de depuração, Xdebug oferece funcionalidades como análise de cobertura de código e profiling para identificar gargalos.
Conheça mais sobre Composer, a ferramenta que trouxe uma das maiores revoluções para o PHP. Composer vai muito além de instalação de dependências, aprenda a poupar dias e meses de trabalho e passe a ser um dev feliz focado em trazer as melhores soluções técnicas para as necessidades do negócio.
Confraria0day - 11º Edição - Jhonathan DaviJhonathan Davi
O documento discute técnicas utilizadas por cibercriminosos para roubar informações bancárias de usuários, incluindo alteração de configurações de DNS em roteadores para redirecionar tráfego para sites falsos e uso de scripts JavaScript maliciosos para capturar endereços IP internos e realizar ataques de força bruta em roteadores. O documento também apresenta a ferramenta RouterhunterBR 2.0 para varredura automática de vulnerabilidades em dispositivos conectados à Internet.
O documento fornece dicas para desenvolvedores PHP melhorarem suas carreiras, incluindo: assumir responsabilidade por erros, investir em conhecimentos, seguir padrões como PSR e Composer, usar Orientação a Objetos corretamente, testar código, documentar e falar em eventos.
Zend Framework 2 - Desenvolvimento Ágil CompetenteMichael Cardoso
Essa apresentação faz parte do minicurso Zend Framework 2, onde apresentamos suas principais características e como fazer a instalação deste framework web de ponta.
O que não fazer ao atualizar para o PHP 7 @ TDC SP 2018 Gabriel Machado
O documento resume as principais lições aprendidas ao atualizar um projeto do PHP 5 para o PHP 7. Em três frases: A migração enfrentou problemas com extensões incompatíveis e bugs não detectados pelos testes. É essencial preparar o código para facilitar atualizações, realizar profiling e não supor que o PHP 7 trará melhorias de performance automaticamente. Testes completos e monitoramento cuidadoso são fundamentais para uma migração bem-sucedida.
O documento apresenta o Metasploit Framework, um software livre para prova de conceito de vulnerabilidades. Ele discute o que é o Metasploit, como utilizá-lo para prova de conceito e desenvolver exploits, e as principais características do Meterpreter. Além disso, apresenta módulos auxiliares e o uso do Metasploit para testes web.
Conheça mais sobre Composer, a ferramenta que trouxe uma das maiores revoluções para o PHP. Composer vai muito além de instalação de dependências, aprenda a poupar dias e meses de trabalho e passe a ser um dev feliz focado em trazer as melhores soluções técnicas para as necessidades do negócio.
WordCamp SP 2019 - PeachPie unindo Php com C# .Net CoreVanessa Valle
O documento descreve o PeachPie, um framework que permite executar código PHP no .NET Core, permitindo que desenvolvedores aproveitem as vantagens de ambas as plataformas, como segurança, desempenho e compatibilidade, além de facilitar a migração de aplicativos PHP para .NET.
Django: desenvolvendo aplicações web de maneira simples e rápida!Felipe Queiroz
Este documento apresenta o framework Django. Discute a história do Django, suas características e princípios, como configurar e criar projetos e aplicações no Django. O palestrante também mostra como criar modelos de dados, instalar aplicações e gerar bancos de dados no Django.
Ricardo Guerra Freitas apresenta sobre a evolução do Visual Basic e da plataforma .NET. Ele discute o histórico do Visual Basic, as novidades do VB e VS 2010, e faz uma demonstração das novas funcionalidades. O documento resume as principais características da plataforma .NET, como o Common Language Runtime e a Base Class Library, e explica como o Visual Basic e C# evoluíram para trabalhar em conjunto de forma mais integrada.
Similaire à Táticas de obfuscação de código em projetos PHP (20)
1. Reforçando a defesa em profundidade de projetos críticos
@phpvelhooeste
Murilo Chianfa
2024
Táticas de obfuscação de código em projetos PHP
2. Quem sou eu
● Desenvolvedor na
● Estudante do último período de
Sistemas de informação.
● Entusiasta em infraestrutura e segurança.
● Possuo algumas certificações como:
ZCPE, LPIC-3, CT-SEC, SEC+...
github.com/murilochianfa
linkedin.com/in/murilochianfa/
3. Agenda
01
04
02
05
03
06
Pra que serve?
Quando utilizar?
Obfuscação em linguagens
compiladas X interpretadas
Aplicando métodos de
obfuscação
Anti-debugging
Tamperproofing
Limite teórico atual
e o futuro
Soluções existentes no
mercado
4. Pra que serve?
Imagem dos coelhos no castelo
Obfuscação: tornar pouco compreensível, confundir, gerar o que não se pode entender.
31. ● ircmaxell/php-compiler
● ircmaxell/php-llvm
● VKCOM/kphp
AOT não é prioridade para o PHP*
https://github.com/php/php-src/issues/8203
(Ahead of time) Compiler
Source Code
Machine Code
CPU
Compiler
AOT
32. Soluções existentes atualmente
● Poucas disponíveis open-source
● Pouca documentação de como utilizar
● Algumas são simples variações de “base64_encode/base64_decode”
Variações de “base64_encode/base64_decode” são muito utilizadas por
atacantes para evadir detecções em transporte por rede
33. pk-fr/yakpro-po
● Open source, porém não é mantido atualmente.
● Suporta poucas versões: PHP 7.x.
● Possui uma boa documentação.
● Não criptografa o código fonte.
● Custo: ☆☆☆☆☆ (free)
● Segurança: ★☆☆☆☆
● Performance: ★★★★★
34. phpbolt
● Free, mas NÃO é open source!
● Suporta versões recentes: PHP 7.1 á PHP 8.3.
● Não possui uma boa documentação.
● Não obfusca o código fonte, somente criptografia.
● Custo: ☆☆☆☆☆ (free)
● Segurança: ★☆☆☆☆
● Performance: ★★★★★
35. Zend Guard
● Criado pela própria zend em 2010, mantido até 2015.
● Suporta poucas versões: PHP 4.x - PHP 5.6.
● Não é mantido desde 2015.
● Custo: ★★★★☆ (assinatura anual)
● Segurança: ★★☆☆☆ (possui decompilers)
● Performance: ★★★★☆
36. Source Guardian
● Criado em 2002, mantido até hoje (2024).
● Suporta versões atuais como: PHP 5.x, PHP 7.x, PHP 8.x.
● Releases rápidas para as novas versões do PHP.
● Possui extensões para builds TS do PHP.
● Custo: ★★★☆☆ (preço fixo por cada versão - lifetime)
● Segurança: ★★★★☆
● Performance: ★★★★☆
37. Ioncube
● Criado em 2002, mantido até hoje (2024).
● Suporta versões atuais como: PHP 5.x, PHP 7.x, PHP 8.x.
● Releases demoram para se adaptar às novas versões do PHP.
● Última versão suporta PHP 8.2.
● Possui um bom manual de usuário.
● Possui extensões para builds TS do PHP.
● Custo: ★★★☆☆ (preço fixo por cada versão)
● Segurança: ★★★★☆
● Performance: ★★★★★
38. Como utilizar tudo isso?
● Utilizar ferramentas prontas e consolidadas. (maior conforto)
● Criar as próprias ferramentas de obfuscação. (maior segurança)
● Adicionar um novo passo na sua pipeline:
*sempre antes dos testes finais
39. Pontos positivos Pontos negativos
● Lock in de versão.
● Logs de erro obfuscado.
● Pode piorar a performance.
● Não garante segurança absoluta!
● Maior resiliência contra
engenharia reversa.
● Prevenção de pirataria.
Obfuscação