Bezpečnost webových aplikací

Transkript

1 Bezpečnost webových aplikací Začátek Bezpečnost webových aplikací Luboš Matějka

2 Bezpečnost čeho? Zneužití Data na serveru Data uživatelů na PC Odesílaná data Odmítnutí Kompromitace serveru Odmítnutí služeb

3 Oblasti bezpečnosti WWW Server Prostředí, aplikace, dostupnost... Programátor Zdrojový kod, špatné Prostředí SSL, DNSSEC, Viry,... Uživatel Čemu věřit, co zadávat a kam...

4 Server Sdílené prostředí? Práva všem? Chroot? Nepotřebný SW? Monitorovací služby? Zálohování Problém NE! ANO! Smazat! Zakázat! ANO ANO ANO

5 Co může vadit? Vkládání cizího obsahu allow_url_include, allow_url_fopen Přistup k cizím datům safe_mode, open_basedir, chroot, práva... Nahrávání dat file_upload, upload_max_filesize Nahraný soubor nahradí jiný Může jít spustit

6 Musím to vidět?? server-status Kdo, kam, kdy a odkud přistupuje phpinfo(), server-info, banner Verze, nastavení, cesty

7 Proměnné register_globals GET přebíhá POST index.php?stranka=/etc/passwd mail() Spamování, ale kdo to byl?? OFF OFF OFF! Wrapper přidávající identitu virtuálu Odesílat přes WWW z jiného portu než 25

8 Programátor Kontrola vstupních dat Problém při práci s databází Ladící výpisy Nepořádek na serveru i v kódu Ukládání citlivých dat Cizí aplikace Bezpečné prostředí

9 Kontrola vstupních dat Kontrolujte vše! Mezní hodnoty index.php?=timeout= <?php sleep( $timeout );?> Neoprávněný přístup index.php?command=edit&id=3 Validace Javascriptem? NE! pěkné, ale pro bezpečnost k ničemu

10 Práce s databází Escapování všech dat! mysql_real_escape_string() addslashes() / stripslashes() Bindovaní proměnných $bind=mysqli->preprare( insert into user values(?,?) ); $bind->bind_parm( pepa, pepa ); $bind->execute();

11 XSS HTML a Javascript Vložení obsahu přes formulář Místo pokus vložím <B>pokus</B> Ale mohu i javascript a mám problém <script src= ></script> replace(/</g, '<').replace(/>/g, '>') htmlspecialchars()

12 XSS - CSS MS IE <div style="width:expression(alert('xss'));"> Gecko - Mozilla, Firefox <p style=-moz-binding:url(xssbycssinfirefox.xml#xss);>x</p> WhiteListy + Filter Programová filtrace Vlastní není úplně triviální Existující, např HTML Purifier

13 XSS - Zneužití Odcizení cookie Jména, hesla, adresa, telefon,... Přesměrování na jiný obsah Přihlášení do banky, reklama... Sběr informací Vlastně se nic nestane, ale má data má někdo jiný

14 Ladící výpisy Logování všeho jen do souboru soubor nenalezen? Když něco na obrazovku tak jen pro uživatele A musí to být Logování jako zdroj dat po útoku Ladící výpisy pod heslem Produkční server není na ladění

15 Nepořádek V kódu V HTML zakomentované části pryč s nimi V kódu hesla v komentářích V souborech neco.bak, neco.php~, zaloha... Zakázat výpis adresářů Neumožnit stahování.htaccess, xx.inc, config.ini

16 Ukládání citlivých dat Citlivá data Co nemusím, neukládám Hesla, č. kreditek, maily, RD,OP, č. pasu Vždy přes POST, GET se ukládá Šifrovat ukládání sha256(náhodná čísla+sha256(cit.data)) Šifrovat komunikaci https, kontrolovat a redirectovat

17 Bezpečné prostředí Aktualizace operačního systému Aktualizace prohlížeče Minimalizace doplňků Sice nevím co to je, ale instaluju?? NE! Co nepoužívám nepotřebuji, tedy zakazuji/mažu Na sporné prvky se ptám ActiveX, Java

18 Bezpečné prostředí Šifrování spojení Dříve nutná vlastní IP, dnes SNI Certifikační autority Verisign, Thawte DNSSEC Ověření platnosti záznamu Podepsané kořenové servery Cyklické generování

19 Uživatel == Problém Social engineering Nikomu nevěř! Nevíš kde jsi? Pryč odsud! Vypadá to podobně, ale... Pošlete heslo mailem?? Nikdy! Řekněte heslo do telefonu pro ověření? NE!

20 Cena za bezpečnost Vše něco stojí, bezpečnost dvojnásob Náročnější HW šifrovaní Náklady navíc, certifikáty, testování... Menší komfort, captcha, hesla, potvrzování... Co je a co není nutné? 100% zabezpečení neexistuje Skládanka, každý dílek pomůže Čím více tím lépe, ale...

21 Bezpečný konec Děkuji za pozornost! Dotazy??