Kiboko au ForumPHP 2019

Toute l’équipe technique s’est rendue à Paris au Forum PHP 2019 organisé par l’AFUP. L’équipe est enthousiaste de vous présenter notre retour d’expérience et les différents sujets qui nous ont marqué.


Présentation de Blackfire

Entre deux conférences, l’équipe a eu le droit à une présentation détaillée de l’outil de profilage Blackfire par Jérome Vieilledent. Depuis plusieurs mois, Kiboko utilise déjà cet outil afin de trouver les optimisations possibles dans le code. Mais cette présentation nous a permis de découvrir les nouveautés de ce profiler, de faire découvrir cette solution à toute l’équipe et également de découvrir certaines fonctionnalités que l’on n’utilisait pas ou très peu.


Darwin et l’agilité

La conférence de François Zaninotto était en réalité menée par un certain professeur « Eugene Fournier » dans le cadre d’un rassemblement d’experts des insectes. L’éminent faux scientifique a expliqué devant son assemblée de confrères pourquoi les entreprises des nouvelles technologies travaillant sur des programmes pour micro-ordinateurs personnels, devraient avoir un comportement proche des insectes.

Pour en arriver à ce raisonnement, le professeur Fournier a étudié le cas curieux d’une de ces « start huppe » (à prononcer à la française) et de ses joyeux employés.

Selon lui, la méthode d’évolution des entreprises, qu’on appelle « agile », accorde trop d’importance aux échecs et réussites des projets, alors que selon Charles Darwin, l’évolution d’une espèce est aléatoire, la sélection naturelle servant à faire le tri entre les espèces qui subsistent ou non. Un talk qui fait réfléchir.

Clément


Se prémunir contre l’imprévisible : une analyse des failles les plus courantes en php

Paul Molin nous a présenté les failles les plus courantes en PHP, de la XSS (Cross Site Scripting), à la SQLi (Injection SQL), en passant par la XXE (XML External Entity), nous avons pu nous rendre compte que l’exploitation de ces failles est relativement aisée, et que même un développeur chevronné pouvait par mégarde introduire dans son code des vecteurs de vulnérabilités.
Bien que la XSS puisse paraitre faible en terme d’impact et de vulnérabilité, elle reste l’une des principales causes de vols de credentials…
Un input mal échappé en front et c’est la XSS assurée, et si l’input à vocation à être sauvegardé en base de Données, la XSS est alors stockée (Stored XSS).

De la même manière, un champ input qui permettrait d’appliquer un filtre sur une liste d’éléments, peut-être la cible d’une attaque de type SQLi, on injecte dans l’input, non pas un filtre tel qu’attendu, mais du code SQL qui peut alors s’exécuter, tout en « annulant » la requête initiale. (ex : 1′ OR ‘1=1) peut permettre de bypasser une page de login.

Sur certains environnements également, il est possible d’interagir avec une ressource par du XML.Le XML peut permettre une attaque de type XXE, où l’attaquant défini une entité XML spécifique qui pourrait être la liste des utilisateurs du server (/etc/passwd), ou même le fichier des mots de pass hashés (/etc/shadow) et ensuite l’injecter dans le formulaire ciblé.

Il nous a démontré que l’imagination des pirates, est illimité… et qu’une petite erreur d’inattention au niveau du code, peut générer de gros dégâts au niveau d’une app.

Maxime


Agressive PHP Quality assurance in 2019

Marco Pivetta, un développeur chevronné, nous a présenté de nombreux outils que l’on peut intégrer à notre workflow de développement web pour limiter les problèmes en production. Le conférencier a notamment insisté sur l’outil PhpStan et Psalm pour détecter des potentiels bugs sans pour autant devoir lancer l’application ce qui en tant que développeur est très rapide et agréable à utiliser.
De plus, nous avons pu voir l’efficacité et la simplicité du security checker de Symfony qui permet de détecter les failles de sécurité dans les applications.

Enfin, Marco Pivetta nous a listé d’autres outils permettant d’assurer la qualité de notre code que l’on peut facilement ajouter à un outil d’intégration continue.

Julien


Résumé

L’équipe a participé à presque toutes les conférences et a bien apprécié le contenu de cette édition. Nous serons de retour en 2020.