PHP razvojni tim je upravo objavio najnoviju verziju PHP-a, verziju 5.3.10. Ova verzija ispravlja samo jednu sigurnosnu grešku, te se stoga korisnicima preporučuje da što pre postave ovu verziju na svoje servere.

Zbog prirode greške, ovaj sigurnosni propust utiče jedino na korisnike koji "vrte" PHP 5.3.9. Ukoliko imate neku stariju verziju, preporučljivo je da se verzija 5.3.9 preskoči i odmah postavi verzija 5.3.10.

Jedan od najčešćih vektora napada na web aplikacije jeste Cross Site Scripting, XSS. Prilikom ovakvih napada, napadač ubrizgava maliciozni JavaScript, HTML i/ili CSS kod u izlaz web aplikacije, pomoću kojeg se napadaju korisnici web aplikacije. Pádraic Brady je na svom blogu objavio novi članak o sprečavanju XSS napada pomoću regularnih izraza i smatra kako je ovaj način sprečavanja pogrešan!

Kako navodi, proteklih godinu dana je sprovodio istraživanje o svim dostupnim PHP bibliotekama za sprečavanje XSS napada i da je došao do zaključka da su sve biblioteke, koje se zasnivaju na regularnim izrazima, nesigurne iz prostog razloga što je nemoguće napisati regularni izraz koji može pokriti sve slučajeve napada.

Kao jedinu alternativu i trenutno najbolje i najsigurnije rešenje navodi biblioteku HTMLPurifier, jedina koja se ne oslanja na regularne izraze i koja zapravo bilo kakav HTML menja u validan.

Pravilno i sigurno čuvanje korisničkih podataka unutar web aplikacije, pre svega pristupnih lozinki, je jedno od najbitnijih stvari na koju programer mora da obrati pažnju. Kako bi se razjasnile različiti načini čuvanja pristupnih podataka, na Nettuts blogu je objavljen članak koji objašnjava hash funkcije i kako sigurno (sigurnije?) čuvati lozinke.

Autor objašnjava šta je hash, kakvi tipovi postoje, koji su sigurnosni problemi u njihovom korišćenju i kako se ti problemi mogu sprečiti. Na kraju je dat primer jedne pomoćne klase koja može da se koristi za pravljenje korisničkih lozinki i validiranje istih.

Na popularnom Smashing Magazine-u objavljen je članak o najčešćim sigurnosnim propustima u web aplikacijama. U ovom odličnom i detaljnom članku govori se o skript napadima preko drugih domena (cross-site scripting, XSS), falsifikovanim zahtevima preko drugih domena (cross-site request forgery, CSRF), krađi klikova (click-jacking), SQL ubrizgavanju (SQL injection), konzolnom ubrizgavanju (shell injection) i "pecanju" (fishing).

Svaki od ovih napada je detaljno objašnjen, kako dolazi do napada i naravno kako se ovakvi napadi mogu sprečiti. Iako je u primerima korišćen PHP, svi ovi primeri se odnose i na druge programske jezike sa kojima je moguće praviti web aplikacije.

Na kraju članka je dato još nekoliko linkova o daljem informisanju o sigurnosti web aplikacija. Bilo da ste početnik ili PHP guru, posvetite sat-dva vremena da prođete sve tekstove, neće škoditi ;)