Server-Side-Scripting:

Transkript

1 Webtechnologien - webt Übersicht! Globale Variablen und Formulardaten! Datenbanken! Dateinamen und Dateisysteme Server-Side-Scripting: Sicherheitsaspekte! Verschlüsselung von wichtigen Daten! Dateizugriffsrechte! Shell-Befehle! Cross Site Scripting! Errorhandling webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ Exkurs: php.ini! php.ini ist das Konfigurationsfile von PHP! Funktionen werden mit Schlüsselwörter aktiviert oder deaktiviert: on, off, yes, no, true, false, 1, 0! Beispiel: safe_mode = off! Mit der php-funktion phpinfo(); kann das Konfigurationsfile eingesehen werden.! Werte können nur direkt im File gesetzt werden! Globale Variablen! Grundlegend gilt: Alle Informationen sind unsicher, bis das Gegenteil bewiesen wird!! Traue niemals dem Web validiere!! Der Entwickler hat die Aufgabe, Daten sicher zu machen!! Es ist nicht immer einfach festzustellen, ob Variablen sicher sind! Ein gutes Beispiel ist der Schalter register_globals in der php.ini Konfigurationsdatei webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/2007 4

2 Codebeispiel Variablen initialisieren if (check_privileges()){ $superuser = true: }...?>! Wenn check_privileges() true zurück gibt, wird $superuser gesetzt! Was passiert, wenn man die Seite mit z.b. test.php?superuser=1 aufruft?! Man erhält automatisch superuser-rechte!! Diese Art von Problem kann einfach gelöst werden:! Variablen immer initialisieren! $superuser = false; if (check_privileges()){ $superuser = true: }...?>! Bei dieser Variante hat man keine Möglichkeit, das superuser- Sicherheitsloch auszunutzen! error_reporting in php.ini auf on webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ register_globals variables_order! Für grösstmögliche Sicherheit register_globals in php.ini auf OFF! Verhindert das automatische Erstellen globaler Variablen! Eventuell laufen ältere Skripte nicht mehr korrekt! Abhilfe: $name = $_REQUEST['name']; $alter = $_REQUEST['alter']; //... und so weiter für alle eingehenden Formularparameter?> Parameter werden selber in globale Variablen kopiert! Globale Variablen werden automatisch aus Environment, GET-/POST-Parametern, Cookies und Serverinformationen erzeugt! Nur relevant, wenn register_globals auf ON! Voreingestellter Wert in php.ini ist EGPCS! besser: Ändern auf ES! Die Verwendung mehrerer erwähnten Sicherheitsoptionen ist besser, als nur eine Einzelne zu aktivieren! webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/2007 8

3 Formulardaten Checkfrage 1! Formulardaten immer überprüfen!! Ultimative Power: Reguläre Ausdrücke Beispiel: Diese Anweisung validiert eine eingegebene adresse auf Richtigkeit! Betrachten Sie Example 1 in den Unterlagen: $query = mysql_qery( SELECT COUNT(ID) FROM benutzer_passwort. WHERE Benutzer='$user' AND Passwort='$pass' ); if(mysql_result($query, 0)){...Login...}...?>! Durch Eingabe von ' OR '1'='1 sieht die SQL-Query neu so aus: SELECT COUNT(ID) FROM benutzer_passwort WHERE Benutzer='' OR '1'='1' AND Passwort='' OR '1'='1'! Schauen Sie sich die Checkfrage 1 an.! Die Unterlagen werden Ihnen abgegeben " SQL-Injection webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ Datenbanken! Datenbanken sind Hauptkomponenten jeder Webappliaktion! Hier gilt: Tiefgestaffelte Verteidigung Applikationen mit Datenbanken nie als DB-Eigentümer oder Superuser verbinden Verwenden von Constraints (ermöglichen es dem Programmierer, sich auf Präconditions verlassen zu können) Verbindung über SSL (Client/DB-Server) Verbindung über SSH (Client/DB-Server) Hersteller bietet encryption an webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ SQL Injection! Bei SQL Injection erstellt der Angreifer SQL-Kommandos oder verändert bereits existierende! Möglich, da mangelnde Inputvalidierung oder Verbindung zur DB als Superuser $offset = $_GET['offset']; // offset: wie viele Tupel werden übersprungen $query = "SELECT name FROM products ORDER BY name LIMIT 20 OFFSET $offset; $result = mysql_query($query);?>! Benutzer klicken auf nächste -Link mit dem $offset als Parameter 0; UPDATE user SET Password=PASSWORD('crack') WHERE user='root'; FLUSH PRIVILEGES; 0; liefert ein gültiges Offset zur ursprünglichen Abfrage und beendet sie Rest: 2. Query mit Update Manipulierter Offset in der URL webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/

4 Checkfrage 2! Wie kann mit einem einfachen PHP-Befehl die $offset - Variable sicher gemacht werden?! Tipp: Techniken gegen DB-Attacken! Angreifer hat meistens Infos über das DB-System (dank Ausnutzung fehlerhaften Codes)! Folgende Punkte schaffen Abhilfe: - Limitieren der Datenbankrechte für Benutzer - Input-Überprüfung (z.b. is_num()) - Nicht numerischen Input escapen (addslashes) - Keine Errormeldungen ausgeben - Protokollieren der Vorgänge, um Attacken ein zweites Mal zu verhindern - Verwenden von stored procedures und prepared statements: webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ prepared statements! Übergabe der SQL-Anweisung an die DB mit Platzhaltern! Bei jeder Anweisung nur Werte für Platzhalter übermittelt $stmt = mysqli_prepare($link, "INSERT INTO example VALUES (?,?)"); mysqli_stmt_bind_param($stmt, "is", $id, $comment); // Werte verknüpfen Typen (Integer, String) $id = 1; $comment = "I prefer OpenSource software"; // Werte zuordnen mysqli_stmt_execute($stmt); // Statement ausführen! Mit PDO: $stmt = $dbh->prepare("insert INTO example VALUES (:id, :comment)"); $stmt->bindparam(':id, $id, PDO::PARAM_INT); // Werte verknüpfen $stmt->bindparam(':comment, $comment, PDO::PARAM_STR, 50); $id = 1; $comment = "I prefer OpenSource software"; $stmt->execute(); Typen-/Längen-Angaben // Werte zuordnen // Statement ausführen Dateinamen! PHP kann externe Dateien mit lokalen Funktionen ansprechen #Vorsicht!! Betrachten Sie Example 2 in den Unterlagen: highlight_file("$filename")?>! highlight_file() zeigt ein Textfile an. Durch die Eingabe von../../../../../../etc/passwd wird aber das Passwortfile ausgegeben webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/

5 Dateinamen! Noch verheerender ist ein Include via Variablen: include("$filenme")?>! Wird $filename auf gesetzt, wird der Code der badcode.inc-datei ausgeführt! Wichtig: Nur Dateien innerhalb des eigenen Systems zulassen $filename = $_POST['filename']; $vetted = basename(realpath($filename)); if ($filename!= $vetted) { die("$filename ist kein guter Dateiname"); }?> Dateisysteme! Wenn das Script mit dem Dateisystem arbeiten muss # open_basedir in php.ini setzen!! So funktionieren systemnahe Funktionen nur noch im angegebenen Verzeichnis open_basedir = /irgendwo/hier unlink( /irgendwo/hier/da.exe ); # möglich $fp = fopen( /irgendwo/hiernicht/da.exe, r ); # nicht möglich webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ Verschlüsselung von Daten! Nur sehr wenige DB verfügen über optimale Verschlüsselungsoptionen! Hashing ist eine Möglichkeit - Bekanntes Beispiel ist MD5 - Einweg-Codierung - Passwortvalidierung: Eingegebenes Passwort # codieren # Vergleich mit Tupel in DB! Betrachten Sie Example 3 und die Testfrage in den Unterlagen $passwort = md5($http_post_vars['passwort']); $query = mysql_query("select COUNT(ID) FROM tabelle WHERE username='$username' AND pwd='$passwort'") or die(mysql_error()); Dateizugriffsrechte! Verhindern von Race Conditions bei Kreierung von Datei and anschlies-sender Änderung der Zugriffsrechte! Verwenden von umask(): umask(077); // deaktivert ---rwxrwx $fp = fopen("/tmp/file", "w"); fopen() versucht Datei mit 666 zu öffnen umask() deaktiviert zuerst die Bits für Gruppe und others nun wird die Datei mit 600 erzeugt Problem: ownership (unter welchem User läuft PHP)! Weitere Möglichkeit: tmpfile() webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/

6 Safe Mode vs. CGI Safe Mode vs. CGI! 2 Möglichkeiten, PHP-Skripte auszuführen: Als Webserver-Modul Als CGI-Programm! Modulvariante: Ressourcenschonender PHP-Interpreter nur einmal geladen Alle Skripte mit den gleichen Benutzerrechten Safe-Mode als Schutz zwischen verschiedenen Benutzern - Nicht vollständiger Schutz, aber besser als nichts! - Wenn aktiviert " kontrolliert u.a. ob eine zugegriffene Datei demselben Benutzer gehört wie das gerade ausgeführte PHP- Skript! CGI-Variante: PHP-Interpreter wird bei jedem Zugriff neu geladen Es wird ein neuer Prozess gestartet Prozess läuft unter bestimmten Benutzer Schutzmechanismen vom Betriebssystem werden verwendet, um Skripte unter den Benutzern abzugrenzen # Sicherheitstechnisch die bessere Variante webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ PHP-Bibliotheken verbergen Include-Pfad-Problem! Hacker kennen die Schwächen von Include-Dateien, die im document root abgelegt sind url: /home /public_html /web_includes! Es können alle Dateien unterhalb des document root über eine URL heruntergeladen werden! Abhilfe: Sensitive Daten ausserhalb des Dokumenten- Stammverzeichnis ablegen Einfachste Variante: include_path in php.ini! Apache so konfigurieren, dass Requests für z.b. *.inc Dateien abgelehnt werden (Problem: kann nur Provider machen) " /php index.php /html /log acceslog /config dblogin.inc include../../config/dblogin.php param.inc /config dblogin.inc param.inc $ url: PHP-Include-Dateien werden als Quellcode vom Webserver ausgeliefert wenn PHP-Interpreter nicht funktioniert wenn entsprechende URL (mit Pfad- und Dateiname) im Request steht! Abhilfe: diese Dateien ausserhalb des Webzugriffsbereiches lagern webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/

7 Shell-Befehle Cross Site Scripting (XSS)! Sehr heikle Funktionen: - exec(), system(), pass-thru() und popen() - Verwendung von Backtick-Operator (` `) im Code! Shell erkennt Sonderzeichen # Problem! <? system("ls $verzeichnis");?>! Wenn Benutzer "/tmp; cat /etc/passwd" für $verzeichnis übergibt: ls /tmp;cat /etc/passwd! system() führ diesen Code aus und gibt die Passwortdatei aus! Abhilfe: Argumente an die Shell überprüfen mit escapeshellarg() eine Stringeingabe säubern oder alle Arbeit durch den Code erledigen lassen! webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ ! Cross Site Scripting (XSS): Manipulation der Benutzereingaben, die an eine Web-Anwendung (z.b. Gästebuch, Forum) übergeben werden. Statt eines reinen Textes kann evtl. auch HTML-Code und Java-Script im Gästebuch gespeichert werden. Beim nächsten User, der diesen Text liest wird es ausgeführt.! Ziel: Ausspähen und Manipulation von Benutzerdaten (z.b.: Passwörter, Ausführen von Programmcode)! Angriffspunkte: - Parameter in URL ohne Prüfung vor Verwendung - Einbetten von JavaScript (Code Injection) - Auslesen von Cookies, Session-Informationen! Angriffsziele: - Foren, Gästebücher, Suchformulare, Webmailer webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ Cross Site Scripting (XSS) Errorhandling! Weit verbreitet: suchen Sie z.b. in google nach <script>confirm("do you hate purple dinosaurs?");</script>! Schutzmassnahmen: - Überprüfung sämtlicher Benutzereingaben - Sonderzeichen vor der Ausgabe in HTMLEntities umkonvertieren! Betrachten Sie Example 4 in den Unterlagen! Im produktiven Umfeld: Fehlermeldungen und Warnungen deaktivieren! Errormeldungen ermöglichen Einsicht in die Funktionsweise des Skripts! Gute Ansätze: php.ini folgendermassen konfigurieren: - display_errors = off - log_errors = on - error_log = Verzeichnis Errormeldungen direkt im Skript abfangen und auswerten Manipulationen loggen und auswerten! webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/

8 Errorhandling Testaufgabe <? $debug = true;... $result = mysql_query($sql); if (!$result) { if($debug){ echo("<p>error performing query: ". mysql_error(). "</p>"); exit(); }else{ echo Fehler im Code! ; } }?>! Schauen Sie die Aufgabe (Test Final) in den Unterlagen an! Die genauen Unterlagen werden Ihnen abgegeben Sobald die Variable $debug auf true gesetzt wird, werden die Errormeldungen sichtbar. webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/ webt sicherheitsaspekte meyer, zeman, feisthammel, marti, burkert 04/