This document discusses using static application security testing (SAST) tools for TYPO3 extensions. It begins with an introduction of the speaker and an overview of SAST basics and context. Several SAST tools are then evaluated using a demo TYPO3 application, finding that PsalmPHP is most suitable due to its support for PHP features. Next, how PsalmPHP can be used for TYPO3 is explained through stubs, annotations, and a demo runner. Finally, future steps are outlined to improve support for additional TYPO3 components and integrate SAST into the extension review process.

1. SAST für TYPO3
Extensions
#T3CRR21 #security
Oliver Hader
oliver@typo3.org
@ohader
TYPO3camp RheinRuhr 2021
6. November 2021

2. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 2
▪Research & Development
▪TYPO3 Security Team Lead
▪50% TYPO3 GmbH / 50% Freelancer
▪#hof #cycling #paramedic #in.die.musik
~# whoami
Oliver Hader
@ohader

3. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 3
▪Statische Code Analyse #basics
▪Orientierung im Security Bereich #context
▪Verwendung für TYPO3 #nähkästchen
▪MüssteMalJemand™ #zukunft
Agenda

4. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 4
▪ Bitte, bitte, bitte: Security
Schwachstellen nicht öffentlich
einstellen/diskutieren
▪ nicht auf GitHub/Forge
▪ nicht in Slack Channels
▪ nicht auf Twitter, Twitch, ...
▪ Meldung an security@typo3.org
▪ Security Team unterstützt Community
Trigger Warning
⚠︎

5. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org
#basics
Statische Code
Analyse
5

6. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 6
Statische Code Analyse - Schematischer Ablauf
Statische Code Analyse
https://www.grammatech.com/products/source-code-analysis

7. Abstract Syntax Tree (AST)
▪ Abstract Syntax Tree (AST)
▪ Composer Package
nikic/php-parser
7
TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org

8. Abstract Syntax Tree (AST)
▪ Abstract Syntax Tree (AST)
▪ Composer Package
nikic/php-parser
8
TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org

9. Statische Code Analyse in PHP
▪ basierend auf
Abstract Syntax Tree (AST)
▪ Extension Scanner in TYPO3
▪ PhpStan - Core CI Builds
▪ Rector - TYPO3 Code Upgrade
▪ Psalm - Security Taint Graph
9
TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org

10. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org
#context
Orientierung im
Security Bereich
10

11. Ebenenmodell zur Sicherheitskonzeption (BSI)
11
TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/webanwendungen_node.html
Auf Grundlage eines Ebenenmodells lassen sich die Zuständigkeiten der relevanten
Organisationsbereiche den einzelnen Teilaufgaben bei Sicherheitskonzeption und
Realisierung von Webanwendungen zuordnen. Ausgangspunkt ist eine Unterteilung
in 5 Ebenen:
Abbildung 1: Ebenenmodell
Ebene Inhalt (Beispiele)
5 Semantik Schutz vor Täuschung und Betrug
- Informationen ermöglichen Social Engineering-Angriffe
- Gebrauch von Popups u.ä. erleichtern Phishing-Angriffe
- Keine Absicherung für den Fall der Fälschung der Web­
site
4 Logik Absicherung von Prozessen und Workflows als Ganzes
- Verwendung unsicherer Email in einem ansonsten gesi­
cherten Workflow
- Angreifbarkeit des Passworts durch nachlässig gestaltete
"Passwort vergessen"-Funktion
- Die Verwendung sicherer Passworte wird nicht erzwun­
gen
3 Implementie­
rung
Vermeiden von Programmierfehlern, die zu Schwachstellen
führen
- Cross-Site Scripting
- SQL-Injection
- Session Riding
2 Technologie Richtige Wahl und sicherer Einsatz von Technologie
- unverschlüsselte Übertragung sensitiver Daten
- Authentisierungsverfahren, die nicht dem Schutzbedarf
angemessen sind
- Ungenügende Randomness von Token
1 System Absicherung der auf der Systemplattform eingesetzten
Software
- Fehler in der Konfiguration des Webservers
- "Known Vulnerabilities" in den eingesetzten Software­
produkten
- Mangelnder Zugriffsschutz in der Datenbank
0 Netzwerk &
Host
Absicherung von Host und Netzwerk
Sicherheit von Webanwendungen
Maßnahmenkatalog und Best Practices
Im Auftrag des
Bundesamtes für Sicherheit
in der Informationstechnik
erstellt von:
Version 1, August 2006
SAST
#bugs
#infrastructure
#workflows
#phishing
#SocialEngineering

12. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org
Marktanalyse - Statische Code Analyse für TYPO3
12
▪ SonarSource, SonarCloud, SonarCube
▪ RIPS Tech Scanner
▪ DeepCode.ai
▪ PsalmPHP
https://github.com/ohader/sast-demo

13. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 13
Demo Anwendung (vereinfacht)
https://github.com/ohader/sast-demo

14. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 14
Demo Anwendung (vereinfacht)
https://github.com/ohader/sast-demo
SQLi
Benutzereingaben
XSS

15. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 15
SonarCloud (SonarSource) → „Alles supi!“ #nicht
SonarCloud

16. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 16
RIPS Tech Scanner → übernommen von SonarSource
RIPS Tech Scanner
UNRELATED!
ganz anderes Projekt

17. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 17
DeepCode.ai → übernommen von Snyk.io → Schwachstellen gefunden
DeepCode.ai / Snyk.io

18. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 18
PsalmPHP (https://psalm.dev/r/159771bec7) → Schwachstellen gefunden
PsalmPHP

19. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org
Marktanalyse - Statische Code Analyse für TYPO3
19
▪ SonarSource, SonarCloud, SonarCube - nichts gefunden 😵
▪ RIPS Tech Scanner - Schwachstellen vermutlich gefunden 🙄
▪ im Mai 2020 von SonarSource übernommen
▪ DeepCode.ai - Schwachstellen gefunden 😅
▪ im August 2020 von Snyk.io übernommen
▪ PsalmPHP - Schwachstellen gefunden 😅

20. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 20
Demo Anwendung (realistischer)
https://github.com/ohader/sast-demo

21. Demo Anwendung (realistischer)
▪ TYPO3 ist speziell!
▪ fehlende Unterstützung für
Framework Komponenten
▪ PSR: Request/Response
▪ PSR: Dependency Injection
▪ Fluid: Templating Engine
▪ DBAL: Datenbank Schicht
▪ TYPO3: Hooks, TypoScript
21
TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org
SQLi
Injection
XSS

22. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org
#nähkästchen
Verwendung für
TYPO3
22

23. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org
SAST für TYPO3 mit PsalmPHP
23
▪ PsalmPHP für TYPO3
▪ Open-Source Project (MIT)
▪ Implementiert in PHP
▪ Erweiterbar durch Plugins
▪ unterstützt sources, sinks,
escapes, unescapes, flow
https://github.com/vimeo/psalm

24. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 24
PsalmPHP Stubs
▪ @template
▪ liefert Instanz
von $className

25. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 25
PsalmPHP Stubs
▪ @psalm-taint-source
▪ Rückgabewerte sind
Benutzereingaben
▪ wie $_GET, $_POST,
$_COOKIE, HTTP Header

26. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 26
PsalmPHP Stubs
▪ @psalm-taint-sink
▪ verwundbar in Aspekt sql,
wenn Parameter $query
aus unsicherer
@psalm-taint-source

27. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 27
PsalmPHP Stubs
▪ @psalm-taint-escape
▪ markiert Parameter $str für
Aspekt sql als bereinigt
▪ @psalm-taint-unescape
▪ … das Gegenteil (unsicher)

28. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 28
typo3-security/psalm-plugin - nicht öffentlich
TYPO3 Plugin für PsalmPHP

29. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 29
Kompakte Ausgabe
Demo TYPO3 Psalm-Runner

30. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 30
Ausführlichere Ausgabe
Demo TYPO3 Psalm-Runner

31. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 31
SARIF Export & GitHub Integration
Demo TYPO3 Psalm-Runner

32. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 32
SARIF Export & GitHub Integration
Demo TYPO3 Psalm-Runner

33. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org 33
SARIF Export & GitHub Integration
Demo TYPO3 Psalm-Runner

34. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org
#zukunft
MüssteMalJemand™
34

35. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org
Nächste Schritte
35
▪ Erweiterung der Stub-Deklarationen (Hooks, Fluid, TypoScript)
▪ Erweiterung für bekannte/bereinigte Verwundbarkeiten
▪ Infrastruktur & Queue für regelmäßige Extension Scans
▪ Freigabe für (echte) Extension Maintainer & Integration in TER
▪ (mögliche Fundstellen müssen natürlich auch bereinigt werden)

36. TYPO3camp RheinRuhr 2021 - SAST für TYPO3 Extensions - oliver.hader@typo3.org
Nächste Schritte
36
▪ TYPO3 Psalm-Plugin & Psalm-Runner vorerst nicht öffentlich
▪ evtl. Public-Beta über Verified Extensions (@VolkerGraubaum)
▪ Entwicklung wird durch TYPO3 Association finanziert
▪ Interessierte/Supporter bitte unter security@typo3.org melden

37. thanks!
questions?
37