Proteggere le applicazioni Web di tutti i tipi di tentativi di attacco contraffatto è il dovere principale di uno sviluppatore web. ¿ Come per migliorare la sicurezza dei nostri applicazioni in PHP ?
È necessario creare le applicazioni Web sufficientemente protettive in modo che non abbiano problemi di sicurezza o fughe, il che elimina la possibilità di qualsiasi attacco dannoso.
Nella maggior parte dei casi, gli sviluppatori devono assumersi la responsabilità e compiere ogni sforzo per identificare le vulnerabilità e proporre soluzioni, per affrontare i problemi delle applicazioni.
PHP è un linguaggio popolare per lo sviluppo web . È così popolare che, in alcuni casi, le aziende gestiscono alcuni programmi di ricompensa.
In questi, invitano diversi esperti di sicurezza ad analizzare la loro applicazione dal core e suggeriscono le migliori pratiche di sicurezza fondamentali di PHP.
Come migliorare la sicurezza delle nostre applicazioni in PHP?
Aggiorna PHP regolarmente
Al momento, la versione più stabile e più recente di PHP disponibile è PHP 7.3.6. Ti consiglio di aggiornare le tue applicazioni PHP per motivi di sicurezza a questa nuova.
Se stai ancora utilizzando PHP 5.6 , avrai molte disapprovazioni durante l’aggiornamento delle applicazioni PHP. È inoltre necessario aggiornare il codice e modificare alcune logiche funzionali come l’hash della password, ecc.
Ci sono anche alcuni strumenti disponibili per verificare la mancata approvazione del tuo codice e aiutarti a migrarlo. Di seguito ho elencato alcuni strumenti:
- PHP 7 MAR
- Phan
- Se stai usando PHPStorm , puoi usare PHP 7 Compatibility Inspection, che ti mostrerà quale codice causerà problemi.
Sequenze di comandi tra siti (XSS)
Gli script tra siti sono un tipo di attacco Web dannoso in cui uno script esterno viene iniettato nel codice o esce dal sito Web.
L’autore dell’attacco può inviare il codice infetto all’utente finale , mentre il browser non può identificarlo come script attendibile.
Questo attacco si verifica principalmente in luoghi in cui l’utente ha la possibilità di inserire e inviare dati. L’attacco può accedere a cookie, sessioni e altre informazioni sensibili sul browser.
Puoi risolvere questo attacco usando htmlspecialchars. Inoltre, quando si utilizza ENT_QUOTES, è possibile evitare virgolette singole e doppie.
Nel frattempo, gli attacchi XSS possono anche essere eseguiti tramite attributi , schemi URI codificati e codifica del codice.
SQL Injection Attacks
L’iniezione SQL è l’attacco più comune negli script PHP . Una singola query può compromettere l’intera applicazione. Nell’attacco di iniezione SQL.
L’attaccante tenta di modificare i dati che stanno attraversando le query . Supponiamo che tu stia elaborando direttamente i dati degli utenti nelle query SQL e improvvisamente un attaccante anonimo utilizza segretamente caratteri diversi per evitarlo.
Il nome utente $ può contenere dati alterati che possono danneggiare il database, inclusa la rimozione dell’intero database in un batter d’occhio.
Quindi qual è la soluzione? DOP . Ti consiglio di usare sempre dichiarazioni preparate. DOP ti aiuta a proteggere le query SQL.
Applicazione contraffatta XSRF / CSRF
È abbastanza diverso dagli attacchi XSS . Nell’attacco CSRF, l’utente finale può eseguire azioni indesiderate su siti Web autenticati e può trasferire comandi dannosi sul sito per eseguire qualsiasi azione indesiderata.
CSRF non è in grado di leggere i dati della richiesta ed è principalmente diretto alla richiesta di cambio di stato inviando qualsiasi link.
Anche i dati modificati nei tag HTML . È possibile forzare l’utente a effettuare richieste di modifica dello stato, come il trasferimento di fondi, la modifica dei propri indirizzi e-mail, ecc.
Dirottamento della sessione
Il dirottamento di sessione è un tipo particolare di attacco Web dannoso in cui l’utente malintenzionato ruba segretamente l’ID di sessione dell’utente.
L’ID di sessione viene inviato al server in cui l’array $ _SESSION associato convalida la sua memoria nello stack e concede l’accesso all’applicazione.
Il dirottamento della sessione è possibile attraverso un attacco XSS o quando qualcuno accede alla cartella su un server in cui sono memorizzati i dati della sessione.
Nascondi file dal browser
Se hai utilizzato i micro-frame PHP , devi aver visto la struttura di directory specifica che garantisce il posizionamento corretto dei file.
I framework consentono di avere diversi file come controller, modelli, file di configurazione (.yaml), ecc. in quella directory, ma il più delle volte il browser non elabora tutti i file.
Tuttavia, sono disponibili per la visualizzazione nel browser . Per risolvere questo problema, non è necessario posizionare i file nella directory principale ma in una cartella pubblica in modo che non siano sempre accessibili nel browser.
