secure guestbook

Secure Guestbook - это веб -приложение, написанное в PHP. Постоянство данных реализуется с MySQL.

Эта демонстрация была написана, чтобы продемонстрировать мой подход в ситуации: «У вас нет ничего, кроме PHP и MySQL. Вам нужно написать безопасное приложение. Покажите, что можете».

Это также может быть проблемой для вас: развернуть это приложение, пытать, взломать его, доказать, что есть недостатки на уровне приложений. Я на 95% уверен, что нет. Покажи мне, что я ошибаюсь.

Это приложение не о переосмыслении колеса. Да, есть много хороших рамок и либеров OpenSource.

Это больше связано с проблемой понимания внутренней природы структур, которые мы используем каждый день, и о том, как это влияет на безопасность, расширяемость и обслуживание приложений, которые мы создаем.

Задача состоит в том, чтобы написать демонстрационное приложение в Pure PHP без сторонних либеров.

Приложение представляет собой гостевую книгу со следующим образом: Пользовательская регистрация, вход и вход в систему, создание сообщения, редактирование, удаление, добавление ответа.

Задача состоит в том, чтобы написать демонстрационное приложение в Pure PHP без сторонних LIBS, чтобы продемонстрировать, что правильный дизайн-лучший способ создания безопасных приложений.

Несмотря на очевидное время, чтобы написать простое приложение упрощенным способом, существует еще более очевидный недостаток такого подхода: вы теряете контроль над приложением и удерживаете в ограничениях этой призовочной простоты.

Так что да, стоит написать простую, но функциональную структуру MVC, чем написать 10 неэффективных сценариев PHP, смешанных с HTML.

Середина для этой демонстрации была написана среда, похожая на MVC, была написана с нуля. Интерфейс в чистом нестабильном ультра-косметическом HTML.

Вся обработка проводится вокруг жизненного цикла объекта запроса, который мутируется во время следующей последовательности:

1. Проглатывание запроса
2. Аутентификация
3. Маршрутизация
4. Подготовка данных и внедрение в запрос контроллером
5. Html рендеринг в подсистеме View
6. Отправка ответа

Поскольку задача была в первую очередь о написании приложения, настолько безопасным, насколько это возможно, в следующем списке меза, взятых для обеспечения соблюдения приложения:

1. Однозначная архитектура, похожая на MVC,
2. Изолированная область времени выполнения, ничего не является глобальным
3. Ошибки обрабатываются из-за исключений прохождения
4. Параметры косвенного запроса проглатывание после проверки здравомыслия
5. Параметры полного запроса дезинфантизация
6. Упреждающая реакция на переполненные попытки координации с местным Fail2ban
7. Полностью статические шаблоны вида
8. Полупрозрачная защита CSRF для запросов почты
9. Аутентификация пользователей на основе токков
10. Пользовательские токены привязаны к IP-адресу
11. Полупараноидальная встроенная реализация Fail2ban, обрабатывая как ошибки, так и запросы Tempo
12. Параметры MySQL взяты из Env Vars
13. Заголовки XSS и ограничения на содержание отправляются

Чтобы ограничить количество попыток взлома, локальный упрощенный Fail2ban-это приготовление.

Основные особенности:

1. Запрет на 1 час по IP, независимо от пользователя.
2. Запретите пользователя на 1 час, независимо от IP.

Пороговые значения запрета на ошибки и запросы количества настраиваются.

Очень основное количество тестирования, предоставленных для подсистем костей.

Предварительные условия: PHP 7 (PDO_MYSQL, OPENSSL), композитор (только для PHPUNIT), HTTP Server

1. Установить переменные среды:

 WEBAPP_BASEDIR - should point to src/ folder
WEBAPP_STORAGE_MYSQL_HOST
WEBAPP_STORAGE_MYSQL_USER
WEBAPP_STORAGE_MYSQL_PASSWORD
WEBAPP_STORAGE_MYSQL_DB

2. Настройте корень документа вашего веб -сервера, чтобы указать на src/public с помощью документа Deformant index.php
3. Доступ к приложению в браузере

1. Запустите PhpUnit в каталоге корневых проектов, убедитесь, что все тесты прошли

phpunit --bootstrap tests/bootstrap.php tests/ApplicationTest.php

1. Полная защита (Covert Mode) отключена в configuration.php в GetDisableProtection (). Установите его на false для полной безопасности
2. См. /Src/classes/configuration.php, чтобы узнать о текущей конфигурации
3. Конфигурация Fail2ban является относительно параноиком, при необходимости отрегулируйте getErrorsTillBan и getRequestsTillBan