ホーム>PHPソースコード>その他のカテゴリー
ダウンロード

セキュアゲストブック - Gleb Andreevによる安全なPHPアプリデザイン原則テクノロジーデモ

について

Secure GuestBookは、PHPで書かれたWebアプリケーションです。データの持続性はMySQLで実装されています。

このデモは、「PHPとMySQL以外に何も持っていない。安全なアプリを書く必要があります。できることを表示する必要があります。」という状況で私のアプローチを示すために書かれました。

これはあなたにとっても挑戦かもしれません:このアプリを展開し、拷問し、ハックし、アプリレベルの欠陥があることを証明してください。私は95%ではないと確信しています。私が間違っていることを見せてください。

重要なメモ

このアプリは、ホイールを再発明することではありません。はい、多くの優れたOpenSourceフレームワークとLIBがあります。

これは、毎日使用するフレームワークの内的性質を理解するという課題と、作成するアプリのセキュリティ、拡張性、保守性にどのように影響するかについての詳細です。

タスク

タスクは、サードパーティLIBSのない純粋なPHPでデモアプリを作成することです。

このアプリは、次のOPTSを備えたゲストブックです。ユーザーサインアップ、ログインとログアウト、メッセージの作成、編集、削除、応答の追加。

議論

タスクは、サードパーティのLIBSがない純粋なPHPでデモアプリを作成して、適切なデザインが安全なアプリケーションを作成する最良の方法であることを示すことです。

単純なアプリを過度に単純化した方法で書くという明らかなテンペーションにもかかわらず、そのアプローチにはさらに明らかな欠陥があります。アプリを緩め、その眠るシンプルさの限界にownれます。

したがって、HTMLと混合した10の拡張不可能なPHPスクリプトを書くよりも、シンプルだが機能的なMVCフレームワークを書くことは価値があります。

概念とワークフロー

このデモのために、ボイラープレートMVCのような環境がゼロから書かれています。純粋な非スタイルの超単純なHTMLのインターフェイス。

すべての処理は、次のシーケンス中に変異しているリクエストオブジェクトのライフサイクルを中心に行われます。

  1. リクエストの摂取
  2. 認証
  3. ルーティング
  4. コントローラーによるデータの準備とリクエストへのインジェクション
  5. ビューサブシステムでのHTMLレンダリング
  6. 応答を送信します

課題は主にアプリを作成することであったため、可能な限り安全であるため、アプリを実施するために取られた次のリストは次のとおりです。

  1. 単一のエントリポイントMVCのようなアーキテクチャ
  2. 孤立したランタイムスコープ、グローバルなものはありません
  3. エラーは、パススルーの例外によって処理されます
  4. 正気チェック後の間接リクエストパラメータの摂取
  5. フルリクエストパラメータの消毒
  6. ローカルfail2banとの調整におけるあふれる試みに対する積極的な反応
  7. 完全に静的ビューテンプレート
  8. POSTリクエストの半透明CSRF保護
  9. トークンベースのユーザー認証
  10. ユーザートケンはIPアドレスにバインドされます
  11. セミパラノイド組み込みfail2ban実装、両方のエラーとリクエストの両方のテンポの処理
  12. MySQLパラメーターはEnv varsから取得されます
  13. XSSおよびコンテンツ制限ヘッダーが送信されています

fail2ban

侵入の試みの数を制限するために、ローカルの簡略化されたFail2banはビルインです。

主な機能は次のとおりです。

  1. ユーザーに関係なく、IPごとに1時間禁止します。
  2. IPに関係なく、ユーザーを1時間禁止します。

エラーとリクエストのしきい値を禁止数量は構成可能です。

テスト

バックボーンサブシステムに提供されるテストの非常に基本的な量。

アプリケーションを実行するためにローカル環境を構成します

前提条件:PHP 7(PDO_MYSQL、OpenSSL)、Composer(PHPunitのみ)、HTTPサーバー

  1. 環境変数を設定します: 
 WEBAPP_BASEDIR - should point to src/ folder
WEBAPP_STORAGE_MYSQL_HOST
WEBAPP_STORAGE_MYSQL_USER
WEBAPP_STORAGE_MYSQL_PASSWORD
WEBAPP_STORAGE_MYSQL_DB
  1. デフォルトのドキュメントindex.phpを使用して、 src/publicを指すようにWebサーバーのドキュメントルートを構成します
  2. ブラウザでアプリケーションにアクセスします

ユニットテスト

  1. ルートプロジェクトディレクトリでphpunitを実行し、すべてのテストに合格したことを確認してください

phpunit --bootstrap tests/bootstrap.php tests/ApplicationTest.php

メモ

  1. getDisableProtection()のconfiguration.phpで完全な保護(カバーモード)が無効になります。完全なセキュリティのためにそれをfalseに設定します
  2. /src/classes/configuration.phpを参照して、現在の構成について学びます
  3. Fail2ban構成は比較的妄想的で、必要に応じてgetErrorsTillBangetRequestsTillBanを調整します
拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて