tworzenie-bezpiecznych-aplikacji-internetowych-(z-przykladami-w-php) pełna wersja, ebooki2

[ Pobierz całość w formacie PDF ]
//-->Spis tre ciWst p .............................................................................................. 5Rozdzia 1. Kontrola dost pu do danych i funkcji ................................................ 7Modyfikacje elementów interfejsu ................................................................................... 7Zabezpieczanie dost pu do danych ................................................................................. 13Kwestia enumeracji zasobów ......................................................................................... 15Kontrola dost pu do funkcji ........................................................................................... 18Modyfikowanie da HTTP ......................................................................................... 22Rozdzia 2. SQL Injection ................................................................................. 27Co to jest SQL Injection? ............................................................................................... 27Atak na logowanie .......................................................................................................... 27Dost p do ukrytych danych ............................................................................................ 34Nieautoryzowane modyfikowanie danych ...................................................................... 39lepy atak (Blind SQL Injection) ................................................................................... 40Ataki specyficzne dla platformy ..................................................................................... 44Sposoby obrony .............................................................................................................. 47Filtry i cis e typowanie ........................................................................................... 48Bia e i czarne listy .................................................................................................... 49Eskejpowanie ........................................................................................................... 50Zapytania parametryzowane ..................................................................................... 51Odpowiednie uprawnienia ........................................................................................ 54Automatyczne wyszukiwanie b dów ............................................................................. 54Rozdzia 3. Przechowywanie hase u ytkowników .............................................. 59Has a niekodowane ......................................................................................................... 59Szyfrowanie symetryczne ............................................................................................... 62Korzystanie z funkcji skrótu ........................................................................................... 64Solenie hase ................................................................................................................... 65Rozdzia 4. Ataki na logowanie ........................................................................ 71Przesy anie danych ......................................................................................................... 71Blokowanie kont ............................................................................................................. 72Opó nianie prób logowania ............................................................................................ 77Logowanie i CAPTCHA ................................................................................................ 80Informacje dla u ytkownika ........................................................................................... 85czenie ró nych metod ................................................................................................. 88Kup książkęPoleć książkę4Tworzenie bezpiecznych aplikacji internetowych (z przyk adami w PHP)Rozdzia 5. Ataki typu XSS ............................................................................... 89Czym jest Cross-site scripting? ...................................................................................... 89Jak powstaje b d typu XSS? .......................................................................................... 89Skutki ataku typu Persistent XSS ................................................................................... 94Atak typu Reflected XSS ................................................................................................ 97Sposoby obrony ............................................................................................................ 100Rozdzia 6. Dane z zewn trznych róde .......................................................... 105Gad ety na stronach WWW ......................................................................................... 105Rozdzia 7. Ataki CSRF i b dy transakcyjne ................................................... 115Geneza ataku ................................................................................................................ 115Przyk ad serwisu podatnego na atak ............................................................................. 115B dy transakcyjne ....................................................................................................... 120Atak CSRF ................................................................................................................... 124Tokeny jako ochrona przed CSRF ................................................................................ 128Rozdzia 8. Ataki Path Traversal ..................................................................... 133Specyfika ataku ............................................................................................................ 133Serwis pobierania plików podatny na atak ................................................................... 133Identyfikatory zamiast nazw plików ............................................................................. 138Nie tylko pobieranie plików ......................................................................................... 141Rozdzia 9. Brak w a ciwej autoryzacji ........................................................... 147Uwierzytelnienie i autoryzacja ..................................................................................... 147Uwierzytelnienie to nie wszystko ................................................................................. 147Autoryzacja wykonywanych operacji ........................................................................... 152Rozdzia 10. Dane u klienta ............................................................................. 161Logowanie raz jeszcze .................................................................................................. 161Dane uwierzytelniaj ce w cookie ................................................................................. 165Koszyk w sklepie internetowym ................................................................................... 168Rozdzia 11. Ataki na sesj............................................................................. 181Porywanie sesji ............................................................................................................. 181Fiksacja i adopcja ......................................................................................................... 182Przyk ad strony podatnej na z o ony atak .................................................................... 183Rozdzia 12. adowanie plików na serwer ......................................................... 191Serwis z obrazami ......................................................................................................... 191Czy to dzia a? ............................................................................................................... 197Atak na aplikacj .......................................................................................................... 198Jak poprawi aplikacj ? ................................................................................................ 202Skorowidz .................................................................................... 205Kup książkęPoleć książkęRozdzia 1.Kontrola dost pudo danych i funkcjiModyfikacje elementów interfejsuPierwszy rozdzia , na rozgrzewk , jest po wi cony — wydawa oby si — prostymb dom zwi zanym z brakiem kontroli dost pu do danych i funkcji. Typowym przy-k adem jest poleganie na mechanizmach zaimplementowanych w interfejsie u yt-kownika aplikacji dzia aj cej po stronie klienta i pomini cie weryfikacji po stronieserwera. Najcz ciej jest to spotykane w aplikacjach desktopowych, gdzie nieco trud-niej zmodyfikowa kod klienta (co wcale nie znaczy, e jest to bardzo skomplikowa-ne), ale dotyczy to te wielu aplikacji webowych.Rozwa my najprostszy i najbardziej ewidentny przyk ad, w którym kontrola dost pudo danych odbywa si przez wy czenie cz ci elementów interfejsu graficznego.Przyjmijmy, e powsta portal, w którym dost pna jest lista wiadomo ci (oczywi ciew praktyce mog to by dowolne inne zasoby). Czz nich ma by przeznaczonatylko dla zalogowanych u ytkowników, ale tytu y wszystkich wiadomo ci maj bywy wietlane zawsze. Tego typu zadanie realizuje si poprzez wy czenie cz ci ele-mentów interfejsu graficznego. Tytu y niedost pne dla niezalogowanych go ci s wy-wietlane jako zwyk y tekst, nieaktywne elementy list rozwijanych itp. Strona mo e wi cwygl da tak jak na rysunku 1.1. Wiadomo ci dla wszystkich s wy wietlane jakoaktywne elementy listy, a wiadomo ci dla zalogowanych jako elementy nieaktywne.Programista cz sto zak ada, e wy czenie elementu interfejsu jest wystarczaj ce, abyzablokowa dost p osobom niepowo anym, co oczywi cie jest b dem. Wbrew pozo-rom problemy tego typu wcale nie dotycz tylko niedo wiadczonych deweloperów.To jeden z powtarzaj cych si b dów, stale zajmuj cy czo owe miejsca na listachnajcz ciej spotykanych luk w zabezpieczeniach. O ile pocz tkuj cy programi ci po-pe niaj go z niewiedzy, o tyle ci do wiadczeni zwykle z powodu przeoczenia.Kup książkęPoleć książkę8Rysunek 1.1.Widok witryny w listtytu ów wiadomo ciTworzenie bezpiecznych aplikacji internetowych (z przyk adami w PHP)W tym przypadku usterka wydaje si oczywista. To jednak tylko prosta ilustracjaproblemu, który mo e si pojawia w ró nych wariantach. Fragment generuj cy listwidomo ci mia by w tym przypadku zapewne kod podobny do przedstawionego na li-stingu 1.1 (pe ny kod przyk adu znajduje si w podkatalogur01examp01a).Listing 1.1.Kod generuj cy list wiadomo ci<form action="index.php" method="get"><select size='6' name="id"><?php foreach($msgs as $msg):if(!isset($_SESSION['zalogowany']) && $msg['registered']){$disabledstr = 'disabled="disabled"';}else{$disabledstr = '';}?><option value="<?php echo $msg['id']?>"<?php echo $disabledstr; ?>><?php echo $msg['title']?></option><?phpendforeach;?></select><input type="hidden" name="action" value="showmsg"><input type="submit" value="Sprawd wiadomo "></form>Jest to kod szablonu, do którego zosta a przekazana lista wiadomo ci (np. pobrana z bazydanych) w postaci tablicy$msgs. Ka dy element tej tablicy jest osobn tablic asocja-cyjn zawieraj c klucze wskazuj ce identyfikator (id), tytu (title), tre (body)oraz informacj , czy wiadomo jest przeznaczona tylko dla zalogowanych u ytkow-ników (registered). To, czy u ytkownik jest zalogowany, czy te nie, jest wskazy-wane przez zmienn sesji o nazwiezalogowany.A zatem gdy warunekisset($_SESSION['zalogowany'])jest nieprawdziwy (u ytkownikniezalogowany) oraz warto kluczaregisteredjest interpretowana jakotrue(wiado-Kup książkęPoleć książkę [ Pobierz całość w formacie PDF ]