Kontrolní seznam zabezpečení pro vývojáře

Soubory cookie prohlížeče

• Snížení obav recenzenta použitím $wgRequest místo $_COOKIE?
  • Načetli jste soubory cookie pomocí $wgRequest->getCookie(...)?
  • Nastavujete cookies pomocí $wgRequest->response()->setCookie(...)?

# Pokuste se načíst hodnotu souboru cookie UserID.
# Poznámka: Vrácená hodnota není důvěryhodná a je nucena být int.
$sId = intval( $wgRequest->getCookie( 'UserID' ) );

Dynamické generování kódu

Nepoužívejte funkce jako eval() a create_function() a také /e modifikátor vzoru za preg_replace(). Přestože jsou tyto funkce výkonné a pohodlné, jsou ze své podstaty nejisté:^[1][2]

• Je snazší vkládat libovolné řetězce do textu zpracovaného regulárními výrazy, což – v kombinaci s modifikátorem vzoru /e – může vést k útokům vkládání kódu.
• Je těžší číst a udržovat kód, který je součástí řetězce.
• Nástroje pro statickou analýzu nezachytí varování a chyby v kódu.
• Mezipaměti operačních kódů (jako APC) nemohou ukládat kód smíšený do řetězců.
• create_function() má někdy problémy se svozem odpadu.
• Smyčka, která má uvnitř create_function(), vytvoří při každé iteraci novou funkci.

Někdy tyto funkce opravdu potřebujete (samozřejmě eval.php potřebuje ke spuštění eval();), ale ve většině případů bychom raději viděli funkci rozbitou a označovanou jako zpětné volání.

Inline funkce lambda usnadní vložení zpětného volání a zároveň si zachovají výhody kódu, který je napsán v nativní syntaxi namísto řetězců.

• Cokoli externího, co se používá v části regulárního výrazu, by mělo být escapováno s preg_quote ($externalStr, $delimiter). Před každý znak, který je součástí syntaxe regulárního výrazu, vloží zpětné lomítko a uzavře také oddělovač zadaný jako druhý parametr:

$str = preg_replace( "!" . preg_quote( $externalStr, '!' ) . "!", $replacement, $str );

Externí programy

• Spustil se program přes Shell::command() z jmenného prostoru MediaWiki\Shell?
• Citoval všechny argumenty externím programům pomocí výše uvedených možností předávání bezpečných parametrů (což je v podstatě všechno kromě unsafeParams())?

// Automaticky uniknout všem nevhodným znakům
$result = Shell::command( $cmd, '--version' )
    ->params( 'some', 'extra', 'parameters' )
    ->execute();

Všimněte si, že staré wfShellExec()/wfEscapeShellArg() se nedoporučují, protože vývojářům usnadňují přehlédnout escapování parametru.

Formuláře

• Použil User ::getEditToken() k zavedení opatření proti CSRF?
• Použil User::matchEditToken() při kontrole tokenu, aby se zabránilo útokům načasováním?
• Snížili se obavy recenzentů používáním nebo rozšířením stávající funkčnosti formuláře MediaWiki?

Data GET

• Snížení obav recenzenta použitím $wgRequest místo $_GET?

# Zkontrolujte, zda je parametr akce nastaven na 'purge'
if ( $wgRequest->getVal( 'action' ) == 'purge' ) {
    ...

Výstup (API, CSS, JavaScript, HTML, XML atd.)

Jakýkoli obsah, který MediaWiki generuje, může být vektorem pro XSS útoky.

• Použili se pomocné třídy Html a Xml?

# rawElement() escapuje všechny hodnoty atributů
# (což v tomto případě poskytuje $myClass)
echo Html::rawElement( 'p', [ 'class' => $myClass  ] );

• Snížili obavy recenzentů pomocí ResourceLoader k poskytování zdrojů CSS a JavaScript?

CSS poskytnuté uživatelem

CSS poskytnuté uživatelem (řekněme pro použití v atributu style) je třeba ošetřit, aby se zabránilo XSS a také aby bylo zakázáno vkládání sledovacích obrázků (prostřednictvím obrázku na pozadí) atd.

• Použijte metodu Sanitizer::checkCss pro jakýkoli css přijatý od uživatele, případně spolu s třídou Html.

# nechť $CSSFromUser je CSS uživatele.
echo Html::rawElement( 'p', [ 'style' => Sanitizer::checkCss( $CSSFromUser ) ] );

• U CSS poskytovaných rozšířením (a ne uživatelem) to není potřeba (a odstraní některé platné věci jako background-image:). CSS poskytované rozšířením by však mělo být použito v šablonách stylů načtených ResourceLoader, nikoli v atributech style.

Data POST

• Snížení obav recenzenta použitím $wgRequest místo $_POST
• Vždy ověřte, že všechna přijatá data POST odpovídají tomu, co očekáváte

# Zkontrolujte, zda je parametr akce nastaven na 'render'
if ( $wgRequest->getVal( 'action' ) == 'render' ) {
    ...

Řetězce dotazů

• Viz #Data GET výše

Relace

Obavy recenzenta

• Jasně přidané komentáře k vysvětlení neočekávaných nebo zvláštních částí vašeho kódu?

# $wgRequest zatím není k dispozici. Místo toho je vynuceno použití $_GET.
if ( $_GET['setupTestSuite'] !== null ) {
 	$setupTestSuiteName = $_GET['setupTestSuite'];
 	...

Dotazy SQL

• Použili jste obalové značky databáze MediaWiki?