5 sources d'amélioration pour la sécurité de votre application Symfony

Dans un monde où les données personnelles deviennent un business pour des hackers, la sécurité devient un élément très important. Il faut savoir protéger ses utilisateurs ainsi que se protéger soi-même.

Voici quelques pistes, conseils ou suggestions qui pourraient vous sauver de quelques coquilles lors de vos développements Symfony.

Se protéger des failles XSS avec HTMLPurifyBundle

Le HTMLPurifyBundle est un bundle qui vous aide à filtrer correctement toutes les entrées utilisateur sur votre site web et éviter toutes injections XSS.

Ce bundle implémente un nouveau filtre Twig qui remplace le filtre raw, en charge de faire le rendu total d'une variable. Le filtre purify limite l'injection de balises <script> qui peuvent être malicieuses. Assez simple d'utilisation, je vous le recommande fortement !

• Lien Github de ce bundle

Vérifier et limiter le nombre d'essais de mot de passe

Vérifier et limiter le nombre d'essais de mot de passe ainsi que l'envoi d'emails de réinitialisation pour éviter des attaques de type Brute force. Ces attaques peuvent aussi être assimilées à du DDoS.

Les robots qui crawlent les pages peuvent effectuer un grand nombre de requêtes sur un laps de temps très court. La mise en place d'un ReCaptcha de type Google peut être aussi une très bonne alternative.

Mettre en place un proxy devant l’accès aux ressources sensibles

Pour protéger les données exemples : RIB, factures, lettres (c'est à dire tous les documents ne devant pas être exposés publiquement), il est utile de mettre en place un proxy contrôlant l'accès. Cela évite un accès direct aux dossiers d'upload.

Nous conseillons bien évidement d'effectuer des tests en amont sur les types MIME pour limiter l'injection de code « malin » (XSS).

Se prémunir du Click jacking

Sur une boutique en ligne, vous pouvez être victime d'une attaque de type clickjacking. Pour pallier à ce type d'attaque, vous pouvez placer une en-tête (header) HTTP à rajouter côté serveur. Cela vous met à l'abri de ces problèmes.

Voici la méthode l'en-tête à ajouter : X-Frame-Options: DENY. Cela désactive l'affichage de votre site dans une iframe.

@ Avec ce dispositif, un hacker ne pourra plus détourner un clic d'utilisateur connecté et provoquer un achat inopiné (par exemple).

Double protection de vos formulaires

Enfin, sécurisez vos formulaires en vérifiant chaque information reçue, du côté client mais SURTOUT du côté serveur. Cela vous permet de sécuriser les informations reçues mais également limiter les erreurs de base de données ou erreurs de rendus (templating).

Toutes ces précautions, relativement peu gourmandes, sont simples à mettre en place pour bien sécuriser vos sites Symfony. Ces dispositifs sont par ailleurs des points intéressants à relever lors d'audit de sécurité, de véritables kits de survie ! Ces petites attentions vous le rendront bien.

Et vous, vous avez des petites astuces pratiques pour éviter les pièges lors de vos développements ? Nous sommes attentifs à vos retours et suggestions !

Par ailleurs, je tiens à remercier Alain Tiemblo pour son intervention sur la sécurité à la conférence de l'AFUP 2016 à Clermont Ferrand.