Vulnerabilidades da linguagem PHP

Abstract

O desenvolvimento de sistemas para a Web tornou-se uma área de constante crescimento e valorização. A conveniência e disponibilidade desse tipo de sistema motivam as empresas a disponibilizarem suas aplicações via Internet, e para suprir essa demanda, uma série de linguagens e plataformas surgiram nos últimos anos. Dentre elas, o PHP é uma das linguagens mais conhecidas e populares, caracterizada pela sua baixa curva de aprendizagem e facilidade de desenvolvimento. Em contrapartida, a linguagem possui uma série de características que, aliadas às peculiaridades dos sistemas Web em geral, tornam possível o surgimento de falhas de segurança e vulnerabilidade em aplicações mal desenvolvidas. Um desenvolvedor que não conhece essas características, ou as técnicas de exploração de vulnerabilidades, pode acabar escrevendo um código inseguro. Da mesma forma, quando o projeto do sistema não considera segurança como um critério fundamental, a melhoria da segurança de um sistema pode ser uma atividade complexa e custosa se a equipe não domine as técnicas e as boas práticas de programação. O objetivo deste trabalho é apresentar as falhas e vulnerabilidades mais comuns de sistemas implementados em PHP, bem como as invasões mais disseminadas e os riscos que elas apresentam. A apresentação desses problemas serve de motivação para a introdução de técnicas simples, que podem representar um grande diferencial para a segurança dos sistemas. Além da dissertação textual, o trabalho propõe uma atividade didática, que objetiva demonstrar as causas e consequências de vulnerabilidades na prática, sugerindo também correções simples que ajudam a mitigar esses problemas. Essa atividade poderá ser desenvolvida em cursos orientados tanto a segurança quanto a desenvolvimento de sistemas em geral.

The development of systems for the Web has become an area of constant growth in size and value. The convenience and availability of that kind of system motivates companies to release their applications on the Internet, and to supply such demand, a wealth of languages and platforms has arisen in the recent years. Among them, PHP is one of the most well known and popular, standing out for its low learning curve and ease of use. On the other hand, the language has a series of properties that, along with peculiarities of Web systems in general, allow the appearance of security flaws and vulnerabilities in poorly written applications. A developer who‟s unaware of such properties, or the techniques for exploiting vulnerabilities, may end up writing insecure code. Likewise, in case the system design does not consider security among its fundamental criteria, the improvement of security can be complex and costly if the development team does not master the techniques and good programming practices. The goal of this study is to present the most common flaws and vulnerabilities of PHP systems, as well as the most widespread intrusions and the risks they may cause. The presentation of these problems serves as motivation for the introduction of simple techniques, which can represent a great differential in system security. Aside from the textual dissertation, the study proposes a didactic activity, which aims to demonstrate the causes and consequences of security flaws in practice, also suggesting simple measures that help mitigate those problems. This activity may be executed in courses aimed at security as much as system development in general.