Live verslag Dutch PHP Conference: PHP Security

CTO Mayflower gaat een presentatie geven over beveiliging van PHP applicaties. Hij start met de vraag wie er bekend is met Cross Site Scripting (XSS). Er wordt geen enkele reactie gegeven, dus dit lijkt een bekend onderwerp te zijn. Er is een onderzoek gedaan naar de aard van de hack-aanvallen tegenwoordig. Het blijkt dat maar 33% puur voor de lol is en 67% om op enige wijze winst te behalen (profit). Je zou dit andersom verwachten. Diefstal van gevoelige informatie lijkt voornamelijk het doel te zijn (42%), denk hierbij aan bijvoorbeeld credit-card info en login-gegevens. Hierna volgen 'Defacement' (23%) en 'Malware' (15%).

Wat zijn nu de meeste gebruikte hack-technieken? ‘SQL injection’ staat hierbij bovenaan met 20%. Hierna volgen ‘Information Disclosure’ (17%), ‘Known Exploits’ (15%) en ‘Cross Site Scripting’ (12%).

Een risico-analyse is belangrijk om dit soort aanvallen tegen te gaan. Het is ondoenlijk om een gehele applicatie na te lopen op lekken. Dit kan in geval van een grote applicatie jaren tijd kosten. Hoe dan wel?? Controleer ieder punt in je applicatie waar data wordt uitgewisseld. Hierbij moet o.a. gelet worden op spoofing (fake referer, stolen session id), tampering (XSS, CSRF), repudiation (identity theft, identity coverage), information disclosure (SQL-injection, XSS) en denial of service (logout na 3 mislukte logins). Deze analyse kan gedaan worden aan de hand van een ‘Data flow diagram’. Wanneer je alle risico’s op een rijtje hebt kun van ieder risk de DREAD bepalen. Dit zijn 5 factoren waarmee je een risico kunt definiĆ«ren/beoordelen. Zo kun je ervoor zorgen dat de issues met de hoogte risico’s als eerste worden opgelost.

Meer weten?

Joost Farla