secure guestbook

Secure Guestbook เป็นเว็บแอปพลิเคชันที่เขียนด้วย PHP การคงอยู่ของข้อมูลจะถูกนำไปใช้กับ MySQL

การสาธิตนี้เขียนขึ้นเพื่อแสดงให้เห็นถึงวิธีการของฉันในสถานการณ์ "คุณไม่มีอะไรนอกจาก PHP และ MySQL คุณต้องเขียนแอพที่ปลอดภัยแสดงสิ่งที่คุณทำได้"

นี่อาจเป็นความท้าทายสำหรับคุณ: ปรับใช้แอพนี้ทรมานมันแฮ็คมันพิสูจน์ว่ามีข้อบกพร่องระดับแอพ ฉันแน่ใจว่า 95% ไม่มี แสดงให้ฉันเห็นว่าฉันผิด

แอพนี้ไม่ได้เกี่ยวกับการคิดค้นล้อใหม่ ใช่มีเฟรมเวิร์กและ LIBS ที่ดีมากมาย

นี่เป็นเรื่องเกี่ยวกับความท้าทายในการทำความเข้าใจธรรมชาติภายในของเฟรมเวิร์กที่เราใช้ทุกวันและส่งผลกระทบต่อความปลอดภัยความสามารถในการขยายและการบำรุงรักษาของแอพที่เราสร้างขึ้นมาได้อย่างไร

ภารกิจคือการเขียนแอพสาธิตใน PHP บริสุทธิ์โดยไม่มี LIBS ของบุคคลที่สาม

แอพนี้เป็นสมุดเยี่ยมที่มี OPTs ต่อไปนี้: การสมัครใช้งานผู้ใช้การเข้าสู่ระบบและการออกจากระบบ, สร้างข้อความ, แก้ไข, ลบ, เพิ่มการตอบกลับ

งานคือการเขียนแอพสาธิตใน PHP บริสุทธิ์โดยไม่มี LIBs ของบุคคลที่สามเพื่อแสดงให้เห็นว่าการออกแบบที่เหมาะสมเป็นวิธีที่ดีที่สุดในการสร้างแอปพลิเคชันที่ปลอดภัย

แม้จะมีความวุ่นวายที่ชัดเจนในการเขียนแอพง่ายๆในลักษณะที่เกินความจริง แต่ก็มีข้อบกพร่องที่ชัดเจนยิ่งขึ้นของวิธีการนั้น: คุณควบคุมแอพและจมน้ำตายในข้อ จำกัด ของความเรียบง่าย

ใช่แล้วมันคุ้มค่าที่จะเขียนกรอบ MVC ที่เรียบง่าย แต่ใช้งานได้มากกว่าที่จะเขียนสคริปต์ PHP ที่ไม่สามารถขยายได้ 10 สคริปต์ผสมกับ HTML

สภาพแวดล้อมที่มีลักษณะคล้าย MVC แบบหม้อไอน้ำถูกเขียนขึ้นตั้งแต่เริ่มต้นสำหรับการสาธิตนี้ อินเทอร์เฟซใน HTML ที่ไม่มีความเรียบง่ายบริสุทธิ์

การประมวลผลทั้งหมดจะทำรอบวงจรชีวิตของวัตถุคำขอซึ่งกำลังกลายพันธุ์ในระหว่างลำดับต่อไปนี้:

1. การบริโภคคำขอ
2. การรับรองความถูกต้อง
3. การกำหนดเส้นทาง
4. การเตรียมข้อมูลและการฉีดเข้าสู่การร้องขอโดยคอนโทรลเลอร์
5. การแสดงผล HTML ในระบบย่อยมุมมอง
6. ส่งคำตอบ

เนื่องจากความท้าทายเป็นหลักเกี่ยวกับการเขียนแอพที่ปลอดภัยที่สุดเท่าที่จะเป็นไปได้รายการ mesaures ต่อไปนี้ที่ใช้ในการบังคับใช้แอพ:

1. สถาปัตยกรรม MVC แบบจุดเดียว
2. ขอบเขตรันไทม์ที่แยกได้ไม่มีอะไรเป็นระดับโลก
3. ข้อผิดพลาดได้รับการจัดการโดยข้อยกเว้นผ่านผ่าน
4. พารามิเตอร์การร้องขอทางอ้อมหลังจากตรวจสอบสติ
5. พารามิเตอร์การร้องขอแบบเต็ม
6. ปฏิกิริยาเชิงรุกต่อความพยายามล้นหลามในการประสานงานกับ Fail2ban ในท้องถิ่น
7. เทมเพลตมุมมองแบบคงที่อย่างสมบูรณ์
8. การป้องกัน CSRF แบบกึ่งโปร่งใสสำหรับคำขอโพสต์
9. การตรวจสอบผู้ใช้ตามโทเค็น
10. ผู้ใช้ tokens เชื่อมโยงกับที่อยู่ IP
11. การใช้งาน fail2ban กึ่งพารานอยด์ในตัวจัดการทั้งข้อผิดพลาดและการร้องขอจังหวะ
12. พารามิเตอร์ MySQL นำมาจาก env vars
13. มีการส่งส่วนหัวของ XSS และเนื้อหา

เพื่อ จำกัด จำนวนความพยายามในการเบรกที่ Fail2ban ที่เรียบง่ายในท้องถิ่นคือ Buil-in

คุณสมบัติหลักคือ:

1. ห้าม 1 ชั่วโมงโดย IP โดยไม่คำนึงถึงผู้ใช้
2. ห้ามผู้ใช้เป็นเวลา 1 ชั่วโมงโดยไม่คำนึงถึง IP

ห้ามเกณฑ์สำหรับข้อผิดพลาดและการร้องขอปริมาณสามารถกำหนดค่าได้

จำนวนพื้นฐานของการทดสอบที่มีให้สำหรับระบบย่อยกระดูกสันหลัง

สิ่งที่ต้องมีก่อน: PHP 7 (PDO_MYSQL, OpenSSL), นักแต่งเพลง (สำหรับ phpunit เท่านั้น), เซิร์ฟเวอร์ HTTP

1. ตั้งค่าตัวแปรสภาพแวดล้อม:

 WEBAPP_BASEDIR - should point to src/ folder
WEBAPP_STORAGE_MYSQL_HOST
WEBAPP_STORAGE_MYSQL_USER
WEBAPP_STORAGE_MYSQL_PASSWORD
WEBAPP_STORAGE_MYSQL_DB

2. กำหนดค่ารูทเอกสารของเว็บเซิร์ฟเวอร์ของคุณให้ชี้ไปที่ src/public ด้วย document document index.php เริ่มต้น
3. เข้าถึงแอปพลิเคชันในเบราว์เซอร์

1. เรียกใช้ phpunit ในไดเรกทอรีรูทโครงการตรวจสอบให้แน่ใจว่าการทดสอบทั้งหมดผ่านไป

phpunit --bootstrap tests/bootstrap.php tests/ApplicationTest.php

1. การป้องกันแบบเต็ม (โหมดแอบแฝง) ถูกปิดใช้งานใน configuration.php ใน getDisableProtection () ตั้งค่าเป็นเท็จเพื่อความปลอดภัยเต็มรูปแบบ
2. ดู /src/classes/configuration.php เพื่อเรียนรู้เกี่ยวกับการกำหนดค่าปัจจุบัน
3. การกำหนดค่า Fail2ban ค่อนข้างหวาดระแวงปรับ getErrorsTillBan และ getRequestsTillBan หากจำเป็น