secure guestbook

Secure Guestbook ist eine Webanwendung, die in PHP geschrieben wurde. Die Datenpersistenz wird mit MySQL implementiert.

Diese Demo wurde geschrieben, um meinen Ansatz in der Situation zu demonstrieren: "Sie haben nichts außer PHP und MySQL. Sie müssen eine sichere App schreiben. Zeigen Sie, was Sie können."

Dies könnte auch eine Herausforderung für Sie sein: Bereiten Sie diese App ein, Foltern Sie sie, hacken Sie sie, beweisen Sie, dass es Fehler auf App-Ebene gibt. Ich bin mir zu 95% sicher, dass es nicht gibt. Zeig mir, dass ich falsch liege.

In dieser App geht es nicht darum, das Rad neu zu erfinden. Ja, es gibt viele gute OpenSource -Frameworks und Libs.

Hierbei handelt es sich mehr um die Herausforderung, die innere Natur der Rahmenbedingungen zu verstehen, die wir jeden Tag verwenden, und wie sie die Sicherheit, Erweiterbarkeit und Wartbarkeit der von uns erstellten Apps beeinflusst.

Die Aufgabe besteht darin, eine Demo-App in reinem PHP ohne Libs von Drittanbietern zu schreiben.

Die App ist ein Gästebuch mit den folgenden OPTs: Benutzeranmeldung, Anmeldung und Abmelden, Nachrichten erstellen, bearbeiten, löschen, Antwort hinzufügen.

Die Aufgabe besteht darin, eine Demo-App in reinem PHP ohne Libs von Drittanbietern zu schreiben, um zu zeigen, dass das richtige Design der beste Weg ist, um sichere Anwendungen zu erstellen.

Trotz der offensichtlichen Verschiebung, eine einfache App auf über vereinfachte Weise zu schreiben, gibt es einen noch offensichtlicheren Fehler dieses Ansatzes: Sie verlieren die Kontrolle über die App und ertrinken in den Einschränkungen dieser explosionen Einfachheit.

Also ja, es lohnt sich, ein einfaches, aber funktionales MVC-Framework zu schreiben, als 10 nicht ausgewählte PHP-Skripte zu schreiben, gemischt mit HTML.

Für diese Demo wurde eine Kesselplatten-MVC-ähnliche Umgebung von Grund auf neu geschrieben. Schnittstelle in reiner nicht stylerischer Ultra-einfacher HTML.

Die gesamte Verarbeitung erfolgt um einen Lebenszyklus eines Anforderungsobjekts, das während der folgenden Sequenz mutiert wird:

1. Einnahme einer Anfrage
2. Authentifizierung
3. Routing
4. Datenvorbereitung und -injektion in Anfrage durch Controller
5. HTML -Rendering im View -Subsystem
6. Senden der Antwort

Da es sich bei der Herausforderung hauptsächlich um das Schreiben einer App befasste, so sicher sie auch möglich ist, wurde die folgende Liste der Mesaiselungen zur Durchsetzung der App aufgenommen:

1. Einzelpoint-of-Eingang-MVC-ähnliche Architektur
2. Isolierter Laufzeitbereich, nichts ist global
3. Fehler werden durch Pass-Through-Ausnahmen behandelt
4. Indirekte Anforderungsparameter Einnahme nach der Vernunftprüfung
5. Vollständige Anforderungsparameter Hygieneisierung
6. Proaktive Reaktion auf überfüllte Versuche in der Koordination mit lokalem Fail2ban
7. Vollständige statische Ansichtsvorlagen
8. Halbtransparenter CSRF-Schutz für Postanfragen
9. Token-basierte Benutzerauthentifizierung
10. Benutzer-Tokens sind an die IP-Adresse gebunden
11. Semi-Paranoid-integrierte Fail2ban-Implementierung, behandelt sowohl Fehler und fordert Tempo an
12. MySQL -Parameter stammen aus Env -Vars
13. XSS- und Inhaltsbeschränkungen Header werden gesendet

Um die Anzahl der Einbruchversuche zu begrenzen, ist der lokale vereinfachte Fail2ban buil-in.

Die Hauptmerkmale sind:

1. Bieten Sie 1 Stunde nach IP, unabhängig vom Benutzer.
2. Verbieten Sie den Benutzer 1 Stunde lang, unabhängig von der IP.

Verbotschwellen für Fehler und Anforderungen sind konfigurierbar.

Sehr grundlegende Menge an Tests für Backbone -Subsysteme.

Voraussetzungen: Php 7 (PDO_MYSQL, OpenSSL), Komponist (nur für Phpunit), HTTP -Server

1. Umgebungsvariablen festlegen:

 WEBAPP_BASEDIR - should point to src/ folder
WEBAPP_STORAGE_MYSQL_HOST
WEBAPP_STORAGE_MYSQL_USER
WEBAPP_STORAGE_MYSQL_PASSWORD
WEBAPP_STORAGE_MYSQL_DB

2. Konfigurieren Sie das Dokumentroot Ihres Webservers, um auf src/public mit Standard -Dokumentindex.php zu verweisen
3. Zugriff auf die Anwendung im Browser

1. Führen Sie Phpunit im Stammprojektverzeichnis aus und stellen Sie sicher, dass alle Tests bestanden werden

phpunit --bootstrap tests/bootstrap.php tests/ApplicationTest.php

1. Full Protection (Covert -Modus) ist in configuration.php in getDisableProtection () deaktiviert. Setzen Sie es für die volle Sicherheit auf false
2. Siehe /src/classes/configuration.php, um mehr über die aktuelle Konfiguration zu erfahren
3. Fail2ban config ist relativ paranoid, passen Sie getErrorsTillBan an und getRequestsTillBan bei Bedarf