Laravel Türkiye Discord Kanalı Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

laravel projelerinde güvenlik (to do list)

enola

Merhabalar herkese iyi forumlar,
Laravel projelerinde öncelik olarak api yaparken nasıl tedbirler almalıyız ?

Ben to do list hazırlıyordum kendime hem başkalarına fikir olabilir hemde hep beraber bu to do listi çoğaltmak istiyorum.

1-debug kapat.
2-sftp kullanılmalı
3-ssl kullanılmalı
4-veritabanı ayrı sunucuda tutup tek ip üzerinden erişime izin vermek
5-açık portları denetlemek
6-resimlere ulaşmayı engellemek
7-.env dosyasını .httaccess ile engelleme
8-kullanıcıdan gelen uploadlar ayrıntılı engelleme ve test etme
9-Symlink saldırısı (sunucuda tek olmassa diğer alan adlarında bir açıkdan dolayı bizim dosyalarımıza erişebiliyorlar)
10-kullanıcadan gelen istekleri sınırlamak dakikada 20 istek gibi
11-olası id denemelerinde random idler ile rastgele kullanıcıların idsini erişimi engelleyebiliriz.

birde sorum olucak
-api oldugu için csrf ,{{}} gibi şeyleri kullanmadıgımızdan herhangi bir açık olabilir mi (sql injection vs gibi)

mgsmus

enola

Debug sadece local ortamda açıktır, onunda dışında kapalıdır. Canlı ortamda açık ise zaten yanlış bir şey yapmışsınız demektir.
Ne yaptıpınızı bilmiyorsanız .env dosyasını sunuya göndermeyin: https://laravel.gen.tr/d/4206-env-dosyasi-hakkinda/11
SFTP yerine GIT ile CI/CD, en basitinden SSH ile GIT deployment. Sunucuda ayrıca FTP kapalı olmalı ve SSH portunu 22 dışında bir port yapın, IP sınırlaması yapın.
public klasörü document root olmalı
Tüm klasörler 755, dosyalar ise 644 dosya izinlerine sahip olmalı
Sunucudaki uygulamayı çalıştıran kullanıcı root olmamalı
Veritabanı kullanıcısından migrasyon işlemi bittikten sonra ALTER, DROP gibi yetkileri kaldırın. Sadece SELECT, INSERT, UPDATE, DELETE yetkisi olsun.
Güvenlik duvarı kullanın
Size gelen ve sizden çıkan tüm istekleri loglayın: https://www.graylog.org/
Exceptionları yakalayın: https://docs.sentry.io/platforms/php/guides/laravel/
Paylaşımlı hostingden uzak durun. Mümkünse Cloud ya da VPS tercih edin.
Sorgularda Builder kullanın, çığ SQL kullanacaksanız binding kullanın:
DB::select('SELECT * FROM users WHERE id = ?', [$id])
CSRF kaldırmayın
Dokümanlarda yazanları okumayı unutmayın: https://laravel.com/docs/8.x
Daima güncel kalmaya çalışın
CHANGELOG takip edin: https://github.com/laravel/laravel/blob/master/CHANGELOG.md
Kullandığınız paketlerdeki güncellemeleri takip edin.
Daima şüpheci olun.

coder2

Bearer token kullanabilirsiniz.

Laravel passport ü inceleyebilirsiniz https://laravel.com/docs/8.x/passport

enola

coder2 Auth 2.0 kullanıyorum

enola

mgsmus CSRF kaldırmayın

cevabınız için çok teşekkürler faydalı olucaktır.
api uygulamasında nasıl csrf kullanabilirim ? birde sql injection olabilirmi api isteklerinde gelen verileri birşeylerden geçirmelimiyiz ?

mgsmus

enola Stateless API için CSRF token'a ihtiyacınız yok. API olsun olmasın SQL injection riski elbette var, o yüzden dediğim gibi değişkenleri ister kullanıcıdan, dışarıdan alın isterseniz içeride siz oluşturmuş olun ya düzgün bir şekilde Builder kullanacaksınız ya da binding ile sorguya ekleyeceksiniz:

$id = $request->input('id');

// Sorun yok
$user = User::find($id);

// SQL injection yersiniz!
$user = User::whereRaw("id = $id")->first();

// Sorun yok
$user = User::orderBy('created_at', $orderBy)->paginate();

// SQL injection yersiniz!
$user = User::orderByRaw("created_at $orderBy")->paginate();

// Sorun yok
$user = DB::table('users')->where('id', $id)->first();

// SQL injection yersiniz!
$user = DB::table('users')->whereRaw("id = $id")->first();

// Sorun yok
$user = DB::select("SELECT * FROM users WHERE id = ? LIMIT 1", [$id]);

// SQL injection yersiniz!
$user = DB::select("SELECT * FROM users WHERE id = $id LIMIT 1");