/Minicurso-LammerHackingPHP

SIPEXZN 2015 (IFRN), "Básico de hacking para proteger sistemas em PHP".

Primary LanguagePHPMIT LicenseMIT

Minicurso "Básico de hacking para proteger sistemas em PHP"

Curso de curta duração ministrado no Simpósio de Iniciação à Pesquisa e Extensão (SIPEX) 2015, evento da Semana de Ciência e Tecnologia (SC&TZN) do Instituto Federal de Educação, Ciência e Tecnologia do Rio Grande do Norte (IFRN), campus Natal - Zona Norte.

Este repositório armazena o conteúdo palestrado (slides em .pdf) e um ambiente feito para os ouvintes praticarem experimentação. A saber, o ambiente consiste num simples sistema web chamado "The Hackbook" codificado em PHP 5 puro, HTML 5 e CSS 3 (com framework Twitter Bootstrap), propositalmente programado com algumas falhas de segurança bastante comuns em produções iniciantes.

Sobre o minicurso

A metodologia consiste em mostrar um pouco da cultura hacker, como sua ética, vocabulário e personalidades importantes. E, através da experimentação de técnicas básicas que causam danos a sistemas simples em PHP, compreender melhor as fraquezas da web e desenvolver algumas tentativas para evitá-las.

Desta forma, o minicurso objetiva quebrar o antagonismo dos hackers entre os futuros profissionais da Informática, também os ajudando a compreender alguns princípios (éticos, morais e técnicos) para desenvolver sistemas cada vez mais seguros.

Os pontos abordados durante as 4h de duração serão:

  • Apresentação de objetivos do curso;
  • Vocabulário hacker;
  • Ética hacker do Steven Levy e filosofia do Instituto de Tecnologia de Massachusetts (MIT);
  • História do hacktivista Aaron Swartz;
  • Preparando ferramentas (editor de código, servidor local e banco de dados);
  • Instalando e conhecendo o ambiente seguro de experimentação prática ("The Hackbook");
  • Experimentando e entendendo brechas da Linguagem de Marcação de Hipertexto (HTML);
  • História do hacker Samy Kamkar e seu vírus “Samy is my hero”;
  • Explorando e evitando injeção de JavaScript (ou XSS);
  • Explorando e evitando injeção de Structured Query Language (SQL);
  • Explorando e evitando injeção de PHP Hypertext Preprocessor (PHP) via upload;
  • Explorando e evitando injeção de PHP via include;
  • Uso de frameworks para defesa contra ataques hacker;
  • Outros cuidados além da programação;
  • Usando política de software livre para melhorar a segurança.

Licença Creative Commons
Minicurso "Básico de hacking para proteger sistemas em PHP" de Marcell ("Mazuh") Guilherme Costa da Silva está licenciado com uma Licença Creative Commons - Atribuição 4.0 Internacional.

The Hackbook

É um sistema simplório de blog, muito de longe lembrando alguns sites já existentes, em que usuários podem realizar login, criar suas próprias publicações, escrever comentários e seguir uns aos outros. Foi feito com conhecimentos de Nível Técnico em Informática e possui diversas fraquezas a serem exploradas e cobertas pelos ouvintes do minicurso.

Está sob a licença MIT License (MIT), assim como o framework Twitter Bootstrap que o integra.