홈페이지>PHP 소스 코드>기타 카테고리
다운로드

보안 방명록 - 보안 PHP 앱 디자인 원칙 기술 데모의 Gleb Andreev

에 대한

보안 방명록은 PHP로 작성된 웹 응용 프로그램입니다. 데이터 지속성은 MySQL로 구현됩니다.

이 데모는 "PHP와 MySQL을 제외하고는 아무것도 얻지 못합니다. 안전한 앱을 작성해야합니다. 가능한 것을 보여 주어야합니다."

이것은 또한 당신에게 도전 할 수 있습니다.이 앱을 배포하고, 고문하고, 해킹하고, 앱 수준의 결함이 있음을 증명하십시오. 나는 95%가 없다고 확신합니다. 내가 틀렸다는 것을 보여줘.

중요한 메모

이 앱은 휠을 재창조하는 것이 아닙니다. 그렇습니다. 좋은 OpenSource 프레임 워크와 Libs가 많이 있습니다.

이것은 우리가 매일 사용하는 프레임 워크의 내부 특성을 이해하는 데있어서, 그것이 우리가 만든 앱의 보안, 확장 성 및 유지 관리에 미치는 영향에 관한 것입니다.

작업

이 작업은 타사 라이브가없는 순수한 PHP로 데모 앱을 작성하는 것입니다.

이 앱은 다음 Opts가있는 방명록입니다. 사용자 가입, 로그인 및 로그 아웃, 메시지 작성, 편집, 삭제, 회신 추가.

논의

이 작업은 올바른 디자인이 안전한 응용 프로그램을 만드는 가장 좋은 방법임을 입증하기 위해 타사 리브가없는 순수한 PHP로 데모 앱을 작성하는 것입니다.

간단한 앱을 지나치게 단순화 된 방식으로 작성하려는 명백한 유혹에도 불구하고, 그 접근법의 더 명백한 결함이 있습니다. 앱에 대한 제어를 느슨하게하고 그 단순성의 한계에서 익사했습니다.

그렇습니다. HTML과 혼합 된 10 개의 확장 불가능한 PHP 스크립트를 작성하는 것보다 간단하지만 기능적인 MVC 프레임 워크를 작성하는 것이 좋습니다.

개념 및 워크 플로

이 데모를 위해 보일러 플레이트 MVC와 같은 환경이 처음부터 작성되었습니다. 순수한 불완전한 초기 단순 HTML의 인터페이스.

모든 처리는 요청 객체의 수명주기에서 다음과 같은 순서로 돌연변이됩니다.

  1. 요청 섭취
  2. 입증
  3. 라우팅
  4. 컨트롤러에 의한 요청에 대한 데이터 준비 및 주입
  5. 뷰 서브 시스템에서 HTML 렌더링
  6. 응답을 보냅니다

도전은 주로 앱 작성에 관한 것이었기 때문에 가능한 한 안전한 앱을 작성하는 것이었기 때문에 다음과 같은 장간간 목록이 앱을 시행했습니다.

  1. 단일 입력 MVC와 같은 아키텍처
  2. 고립 된 런타임 범위는 전 세계적으로 없습니다
  3. 오류는 통과 예외로 처리됩니다
  4. 산성 검사 후 간접 요청 매개 변수 섭취
  5. 전체 요청 매개 변수 소독
  6. 지역 실패 2BAN과의 조정으로 넘치는 시도에 대한 사전 반응
  7. 완전히 정적 뷰 템플릿
  8. 사후 요청에 대한 반복적 인 CSRF 보호
  9. 토큰 기반 사용자 인증
  10. 사용자 토크는 IP 주소에 바인딩됩니다
  11. Semi-Paranoid 내장 실패 2BAN 구현, 오류 및 요청 템포 처리
  12. MySQL 매개 변수는 Env vars에서 가져옵니다
  13. XSS 및 컨텐츠 제한 헤더가 전송되고 있습니다

실패

브레이크 인치 시도의 수를 제한하기 위해 로컬 단순화 실패 2BAN은 Buil-in입니다.

주요 기능은 다음과 같습니다.

  1. 사용자에 관계없이 IP로 1 시간 동안 금지하십시오.
  2. IP에 관계없이 1 시간 동안 사용자를 금지하십시오.

오류 및 요청 수량에 대한 금지 임계 값은 구성 가능합니다.

테스트

백본 서브 시스템에 제공되는 매우 기본적인 양의 테스트.

애플리케이션을 실행하려면 로컬 환경을 구성하십시오

전제 조건 : PHP 7 (PDO_MYSQL, OPENSSL), 작곡가 (PHPUNIT 전용), HTTP 서버

  1. 환경 변수 설정 : 
 WEBAPP_BASEDIR - should point to src/ folder
WEBAPP_STORAGE_MYSQL_HOST
WEBAPP_STORAGE_MYSQL_USER
WEBAPP_STORAGE_MYSQL_PASSWORD
WEBAPP_STORAGE_MYSQL_DB
  1. 기본 문서 index.php를 사용하여 src/public 을 가리 키도록 웹 서버의 문서 루트를 구성하십시오.
  2. 브라우저에서 응용 프로그램에 액세스하십시오

단위 테스트

  1. 루트 프로젝트 디렉토리에서 phpunit을 실행하고 모든 테스트가 통과되는지 확인하십시오.

phpunit --bootstrap tests/bootstrap.php tests/ApplicationTest.php

메모

  1. GetDisableProtection ()의 configuration.php에서 전체 보호 (표지 모드)가 비활성화됩니다. 완전한 보안을 위해 False로 설정하십시오
  2. 현재 구성에 대해 알아 보려면 /src/classes/configuration.php를 참조하십시오
  3. Fail2ban 구성은 비교적 편집증이며 필요한 경우 getErrorsTillBangetRequestsTillBan 조정하십시오.
확장하다
추가 정보
관련 애플리케이션
추천
관련 정보 전체