Início Category As 3 Principais falhas de segurança em Aplicações web

As 3 Principais falhas de segurança em Aplicações web

12
0
COMPARTILHAR
segurança na internet
segurança-pc
imagem: www.phoneinfo.com.br

Quando estamos desenvolvendo nossas aplicações Web, temos que “pensar e pensar muito” como um usuário mal-intencionado (hacker ou cracker).alguns erros comuns que são cometidos por programadores que estão começando agora. Vou fazer esse post para alertar usuarios que em fóruns de PHP pessoas com erros em scripts que possuem vulnerabilidades enormes de segurança

1º Validações

é comum ocorrer invasões pelo método post(via formulário) com sql injection principalmente quem valida seus formulário seja de contato,cadastro ou principalmente Login de autenticação no seu site com javascript por exemplo , lembrando que além disso esta função pode ser desabilitada pelo usuario na maioria dos navegadores da atualidade como proprio Google Chrome

2º URLs amigáveis

É um recurso bem interessante que vemos bastante hoje na internet esse diferencial nas aplicações Web e tornaram-se item obrigatório. Além de trazer o benefício do SEO, elas podem ser uma grande aliada quando o assunto é segurança.

site normal

www.besteiranaweb.com/arquivos/id=12323?

este ataque via método get (url) é bem mais facil de se fazer , não que qualquer um o faça , no entato é bem praticado por usuarios ou próprios desenvolvedores em busca de vulnerabilidades nos servidores.o atacante insere dados via url como para acessar tentar acessos restritos e obter informações confidenciais. este tipo de ataque é mais praticado , porém é um pouco complicado para se explicarmos de tal maneira , o fato é . Um ponto de falha que vale ressaltar é a criação de expressões regulares “genéricas”, que não discriminam o tipo e tamanho dos valores informados.

3º SQL Injection

SQL Injection é uma das mais devastadora de sistemas dinãmicos na web , tanto para a sua aplicação em si , quanto para os seus usuários e suas informações confidenciais.

Fonte wikipedia : A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.

na linguagem PHP  vemos uma verificação Comum de Login

o problema é que de fato a query, por não fazermos um tramento nos campos do formulário, foi composta pelo valor bar’ OR ‘1’ = ’1, o que resultou no seguinte SQL:

uma solução que eu uso bastante é essa veja meu código abaixo contra sql injection.

  •  mysql_real_escape_string para formatar dados antes de construir a query;
  • mysqli para consultas a bancos de dados MySQL, ao invés do uso das funções mysql.

$usuario=anti_injection($_POST [‘usuario’]); // recebe as variaveis com segurança evitando sql injection 🙂
$senha =anti_injection($_POST [‘senha’]);// recebe as variaveis com segurança evitando sql injection 🙂

function anti_injection($sql) // esta função remove palavras digitas com conteudo malicioso na hora do usuario acessar o login
{
// remove palavras que contenham sintaxe sql
$sql = preg_replace(sql_regcase(“/(from|select|insert|delete|where|drop table|show tables|#|\*|–|\\\\)/”),””,$sql);
$sql = trim($sql);//limpa espaços vazio
$sql = strip_tags($sql);//tira tags html e php
$sql = addslashes($sql);//Adiciona barras invertidas a uma string
return $sql;

o código acima está bem comentado para que assim como eu Voce programador php ou desenvolvedor faça bom proveito.:)

 

 

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

CommentLuv badge