Cross- Site Request Forgery

Transkript

1 Prez en tace k p řed n ášce o CSRF ú tocích Přip raven o p ro SOOM session #4 2007

2 Jiné ozna ení této zranitelnosti č Cross- Site Request Forgery CSRF Cross- Site Reference Forgery XSRF

3 Historie CSRF (první zmínky) 1988 Norm Hardy označení Confused deputy 2OOO Bugtrag zranitelnost na ZOPE 2001 Bugtrag poprvé použito označení CSRF u příspěvku The Dangerous of Allow- ing Users to Post Images

4 Cílem CSRF útok ů jsou koncoví uživatelé Díky právům obětí je možné útočit na webové služby a aplikace Podle zranitelnosti webové aplikace může, ale také nemusí, být vyžadována spoluúčast oběti Podobnost s XSS

5 Jak servery kontrolují identitu uživatelů Sessions Cookies Předávané parametry Sou část URL

6 Popis zranitelnosti Kam úto č ník nem ů že Nasm ě rování ob ě ti Využití oběti a provedení akce

7 Použité metody GET POST

8 Utoky m etodou GET Cíle útoků Hlasování v anketách ( / hlasuj.php?volba= 2) Volba funkčnosti ( / index.php?akce= logout)

9 Utoky m etodou GET Popis útoku Vložení vhodného odkazu ( / hlasuj.php?volba= 2) Maskování p ř esm ě rováním ( / Využití odkaz ů na externí zdroje IMG, IFRAME... < IMG SRC= / hlasuj.php?volba= 2 width= 0 height= 0 >

10 Utoky m etodou POST Cíle útoků Vkládání příspěvk ů do diskuzí Změny v nastavení uživatelských učtů Změna přístupového hesla Změna e- m ailové adresy Přidání adresy pro přesěrování příchozí pošty

11 Utoky m etodou POST Popis útoku Zjišt ě ní informací o formulá ř i, odesílaných datech a cílovém scriptu Doplnek pro webový prohlížeč Pr ůzkum sítové kom unikace Pr ůzkum zdrojového kodu stránky Vytvo ř ení kopie formulá ř e Nalákání oběti Odeslání dat z formuláře

12 Utoky m etodou POST Nedostatky popsaného útoku a vylepšení Viditelnost form uláře Prvky typu hidden Odeslání form ulá ř e kliknutím na tla č ítko Autom atické odeslání JavaScriptem Zobrazení odpovědi od serveru Vložení formuláře do skrytého rámu

13 Napadení intranetu Intranetové aplkace Sítová za ř ízení ovládaná p ř es webové rozhraní Změny v nastavení hraničních bod ů mohou umožnit vstup útočníka do intranetu

14 Další cíle CSRF útoků Ovlivn ě ní výsledk ů anket Vkládání příspěvk ů do diskuzí Nákupy v e- shopech Přihazování v aukcích Zm ě ny v nastavení uživatelského ú č tu Krádež uživatelského účtu S vyššími právy možnost nadadení aplikace Utoky na webové aplikace v intranetu Zm ě ny v nastavení FW, router ů, apd.

15 Odkud může útok přijít Odkaz na webových stránkách Vložení odkazu do jakéhokoliv dokum entu, flashe, apd... E- maiem E- mail ve formátu html Vložení odkazu na ex terní zdroje (obrázek) Vložení formulá ř e p ř ímo zprávy Autom atické odeslání form uláře IE - sdílení cookies s webovým prohlížečem

16 Elektroncké pasy Nejznámější Microsoft Passport Jednorázová registrace Po přihlášení ke služb ě možnost navštěvo- vat všechny servery, které jsou partnerem, pod svou identitou. Veliká hrozba a dopad CSRF útoků

17 Standardní scéná ř útočníka při CSRF Vytvo ř ení ú č tu na napadeném serveru Vyzkoušení veškerých akcí k odhalení chování aplikace Hledání slabých míst, vkládání externích obrázk ů, XSS... Výběr vhodné metody a provedení útoku

18 Obrana Odhalení útoku uživatelem Jak se může uživatel bránit Odhalení útočníka správcem aplikace Možnosti obrany na stran ě serveru Zadávání hesla při akci Hlavička referer Prom ěnné URI Skrytá pole Metoda lístků

19 Obrana na stran ě uživatele Odhalení útoku většinou pozdě Paranoidní nastavení webového browseru Paranoidní nastavení firewallu Obrana prakticky neexistuje

20 Vystopování útočníka Ihned ze strany uživatele sledováním sítového provozu Pozd ě ji pouze na stran ě serveru a to jen v případ ě, pokud jsou vedeny logy včetn ě položky referer

21 Obrana zadáváním hesla Učinná metoda Nemožnost použít při všech akcích Př i častém zadávání hesla otevírá nové možnosti pro jeho zcizení

22 Kontrola položky referer Učinná metoda Filtrování refereru na stran ě klienta znemožní provedení legitimních požadavků Výskyt ex ploit ů na spoofing hlavičky refer- er

23 Ochrana použitím proměnného URI / JK34ADE4H543/ script.php S dostatečn ě dlouhým a náhodným řetězcem bezpečná metoda Nalezením zranitelnosti XSS prolomitelné

24 Obrana pom ocí náhodného identifikátoru ve skrytém poli Na začátku sezení je vygenerován náhodný řetězec, který se předává ve skrytém poli do všech formulá řů. Bezpeč né Napadnutelné pomocí XSS

25 Obrana pom ocí lístků Náhodný ř et ě zec vygenerován pro každou činnost Každý lístek uložen do úložišt ě s popisem činnosti Př i provedení žádosti se ověřuje zda exstu- je lístek Velice bezpečné Napadnutelné pomocí XSS

26 Obrana není jednoduchá Zranitelností CSRF trpí m noho aplikací Konkrét ní případy: Seznam.cz Volný.cz A mnoho dalších