Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>

Transkript

1 <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1

2 Security Consulting GmbH, Karlsruhe Seite 2

3 Security Consulting GmbH, Karlsruhe Seite 3

4 Security Consulting GmbH, Karlsruhe Seite 4

5 Security Consulting GmbH, Karlsruhe Seite 5

6 OWASP Top Security Consulting GmbH, Karlsruhe Seite 6

7 Top 10-4 Security Consulting GmbH, Karlsruhe Seite 7

8 Top 10: Unvalidated Redirects and Forwards Bsp.: ToDo: Keine Redirects und Forwards verwenden! Security Consulting GmbH, Karlsruhe Seite 8

9 Top 10: Unvalidated Redirects and Forwards Bsp.: ToDo: Keine Redirects und Forwards verwenden! Top 9: Insufficient Transport Layer Protection Bsp.: Kein SSL, "schlechte" Zertifikate ToDo: SSL verwenden! SSL richtig verwenden! Siehe: OWASP Transport Layer Protection Cheat Sheet Security Consulting GmbH, Karlsruhe Seite 9

10 Top 10: Unvalidated Redirects and Forwards Bsp.: ToDo: Keine Redirects und Forwards verwenden! Top 9: Insufficient Transport Layer Protection Bsp.: Kein SSL, "schlechte" Zertifikate ToDo: SSL verwenden! SSL richtig verwenden! Siehe: OWASP Transport Layer Protection Cheat Sheet Top 8: Failure to Restrict URL Access Bsp.: Zugriffskontrolle durch "Ausblenden" von Links ToDo: Jeder Zugriff muss authentifiziert und autorisiert sein! Siehe: OWASP Authentication Cheat Sheet Security Consulting GmbH, Karlsruhe Seite 10

11 Top 10: Unvalidated Redirects and Forwards Bsp.: ToDo: Keine Redirects und Forwards verwenden! Top 9: Insufficient Transport Layer Protection Bsp.: Kein SSL, "schlechte" Zertifikate ToDo: SSL verwenden! SSL richtig verwenden! Siehe: OWASP Transport Layer Protection Cheat Sheet Top 8: Failure to Restrict URL Access Bsp.: Zugriffskontrolle durch "Ausblenden" von Links ToDo: Jeder Zugriff muss authentifiziert und autorisiert sein! Siehe: OWASP Authentication Cheat Sheet Top 7: Insecure Cryptographic Storage Bsp.: Unsichere Speicherung vertraulicher Daten (Kreditkarten, Passwörter) ToDo: Durchgängige verschlüsselte Speicherung ALLER vertraulicher Daten Security Consulting GmbH, Karlsruhe Seite 11

12 Top 6: Security Misconfiguration Bsp.: Nutzung von Frameworks mit Sicherheitsproblemen Bsp.: Keine Anpassung von Standardkonten und -passwörtern Bsp.: Keine Anpassung von Grundkonfigurationen ToDo: Festlegung und Umsetzung von Härtungsprozessen! Security Consulting GmbH, Karlsruhe Seite 12

13 Top 6: Security Misconfiguration Bsp.: Nutzung von Frameworks mit Sicherheitsproblemen Bsp.: Keine Anpassung von Standardkonten und -passwörtern Bsp.: Keine Anpassung von Grundkonfigurationen ToDo: Festlegung und Umsetzung von Härtungsprozessen! Top 5: Cross Site Request Forgery Initiierung unerwünschter Aktionen durch Dritte (in Verbindung mit Social Engineering) Bsp.: ToDo: Bindung einer Aktion an einen vorhergehenden Request! Nutzung eines Tokens Siehe: OWASP CSRF Prevention Cheat Sheet Security Consulting GmbH, Karlsruhe Seite 13

14 Top 6: Security Misconfiguration Bsp.: Nutzung von Frameworks mit Sicherheitsproblemen Bsp.: Keine Anpassung von Standardkonten und -passwörtern Bsp.: Keine Anpassung von Grundkonfigurationen ToDo: Festlegung und Umsetzung von Härtungsprozessen! Top 5: Cross Site Request Forgery Initiierung unerwünschter Aktionen durch Dritte (in Verbindung mit Social Engineering) Bsp.: ToDo: Bindung einer Aktion an einen vorhergehenden Request! Nutzung eines Tokens Siehe: OWASP CSRF Prevention Cheat Sheet Top 4: Insecure Direct Object References Direkter Zugriff auf Informationen, die als Parameter spezifiziert werden Bsp.: Zugriff auf Dateien oder Datenbankeinträge ToDo: Nutzung indirekter Referenzen Keine echten Dateinamen, keine direkten Indizes ToDo: Prüfung der Berechtigungen bei jedem Zugriff! Security Consulting GmbH, Karlsruhe Seite 14

15 Top 3 Security Consulting GmbH, Karlsruhe Seite 15

16 Broken Authentication and Session Management Ich darf das - ehrlich! Security Consulting GmbH, Karlsruhe Seite 16

17 Unbefugter Zugriff auf Webanwendung Security Consulting GmbH, Karlsruhe Seite 17

18 Unbefugter Zugriff auf Webanwendung Highlights: Zugangsdaten sind ungesichert gespeichert Security Consulting GmbH, Karlsruhe Seite 18

19 Unbefugter Zugriff auf Webanwendung Highlights: Zugangsdaten sind ungesichert gespeichert Zugangsdaten können geraten oder vorhergesagt werden Security Consulting GmbH, Karlsruhe Seite 19

20 Unbefugter Zugriff auf Webanwendung Highlights: Zugangsdaten sind ungesichert gespeichert Zugangsdaten können geraten oder vorhergesagt werden Session-IDs sind Bestandteil der URL Security Consulting GmbH, Karlsruhe Seite 20

21 Unbefugter Zugriff auf Webanwendung Highlights: Zugangsdaten sind ungesichert gespeichert Zugangsdaten können geraten oder vorhergesagt werden Session-IDs sind Bestandteil der URL Sessions verfallen nicht Security Consulting GmbH, Karlsruhe Seite 21

22 Unbefugter Zugriff auf Webanwendung Highlights: Zugangsdaten sind ungesichert gespeichert Zugangsdaten können geraten oder vorhergesagt werden Session-IDs sind Bestandteil der URL Sessions verfallen nicht Keine neue Session-ID bei Zustandswechsel Security Consulting GmbH, Karlsruhe Seite 22

23 Unbefugter Zugriff auf Webanwendung Highlights: Zugangsdaten sind ungesichert gespeichert Zugangsdaten können geraten oder vorhergesagt werden Session-IDs sind Bestandteil der URL Sessions verfallen nicht Keine neue Session-ID bei Zustandswechsel Transport von Zugangsdaten und Session-IDs über ungesicherte Verbindungen Security Consulting GmbH, Karlsruhe Seite 23

24 Was tun? Security Consulting GmbH, Karlsruhe Seite 24

25 Was tun? Zentrale Authentifizierung und Session-Management Security Consulting GmbH, Karlsruhe Seite 25

26 Was tun? Zentrale Authentifizierung und Session-Management Nutzung geprüfter Frameworks wie ESAPI Security Consulting GmbH, Karlsruhe Seite 26

27 Was tun? Zentrale Authentifizierung und Session-Management Nutzung geprüfter Frameworks wie ESAPI Durchgängige Verwendung von SSL/TLS Security Consulting GmbH, Karlsruhe Seite 27

28 Was tun? Zentrale Authentifizierung und Session-Management Nutzung geprüfter Frameworks wie ESAPI Durchgängige Verwendung von SSL/TLS Sichere Speicherung von Zugangsdaten Security Consulting GmbH, Karlsruhe Seite 28

29 Was tun? Zentrale Authentifizierung und Session-Management Nutzung geprüfter Frameworks wie ESAPI Durchgängige Verwendung von SSL/TLS Sichere Speicherung von Zugangsdaten Blick ins "OWASP Authentication Cheat Sheet" Security Consulting GmbH, Karlsruhe Seite 29

30 Was tun? Zentrale Authentifizierung und Session-Management Nutzung geprüfter Frameworks wie ESAPI Durchgängige Verwendung von SSL/TLS Sichere Speicherung von Zugangsdaten Blick ins "OWASP Authentication Cheat Sheet" Umsetzung der Sicherheitsanforderungen zu Authentifizierung und Session-Management aus "OWASP Application Security Verification Standard" Security Consulting GmbH, Karlsruhe Seite 30

31 Top 2 Security Consulting GmbH, Karlsruhe Seite 31

32 Cross-Site Scripting Ich habe mal kurz Ihren Rechner benutzt... Security Consulting GmbH, Karlsruhe Seite 32

33 Ausführung bösartiger Scripte im Browser Security Consulting GmbH, Karlsruhe Seite 33

34 Ausführung bösartiger Scripte im Browser Problem: Daten enthalten HTML-Tags Security Consulting GmbH, Karlsruhe Seite 34

35 Ausführung bösartiger Scripte im Browser Problem: Daten enthalten HTML-Tags und werden ungefiltert ausgegeben! Security Consulting GmbH, Karlsruhe Seite 35

36 Ausführung bösartiger Scripte im Browser Problem: Daten enthalten HTML-Tags und werden ungefiltert ausgegeben! $name = "foo<script>alert('xss');</script>"; Security Consulting GmbH, Karlsruhe Seite 36

37 Ausführung bösartiger Scripte im Browser Problem: Daten enthalten HTML-Tags und werden ungefiltert ausgegeben! $name = "foo<script>alert('xss');</script>"; Und? Security Consulting GmbH, Karlsruhe Seite 37

38 Ausführung bösartiger Scripte im Browser Problem: Daten enthalten HTML-Tags und werden ungefiltert ausgegeben! $name = "foo<script>alert('xss');</script>"; Und? Sagen Ihnen die Begriffe "BeEF" und "Drive-by-Download" etwas? Security Consulting GmbH, Karlsruhe Seite 38

39 Was tun? Security Consulting GmbH, Karlsruhe Seite 39

40 Was tun? Passendes Escaping von Daten vor der Ausgabe je nach Kontext (BODY, CSS, URL,...) Security Consulting GmbH, Karlsruhe Seite 40

41 Was tun? Passendes Escaping von Daten vor der Ausgabe je nach Kontext (BODY, CSS, URL,...) Blick ins "OWASP XSS Prevention Cheat Sheet" Security Consulting GmbH, Karlsruhe Seite 41

42 Was tun? Passendes Escaping von Daten vor der Ausgabe je nach Kontext (BODY, CSS, URL,...) Blick ins "OWASP XSS Prevention Cheat Sheet" Nutzung der Mozilla Content Security Policy Security Consulting GmbH, Karlsruhe Seite 42

43 Was tun? Passendes Escaping von Daten vor der Ausgabe je nach Kontext (BODY, CSS, URL,...) Blick ins "OWASP XSS Prevention Cheat Sheet" Nutzung der Mozilla Content Security Policy Umsetzung der Sicherheitsanforderungen zu Output Encoding aus "OWASP Application Security Verification Standard" Security Consulting GmbH, Karlsruhe Seite 43

44 Top 1 Security Consulting GmbH, Karlsruhe Seite 44

45 SQL-Injection Security Consulting GmbH, Karlsruhe Seite 45

46 Bösartige Veränderung von SQL-Queries Security Consulting GmbH, Karlsruhe Seite 46

47 Bösartige Veränderung von SQL-Queries Problem: Daten enthalten Zeichenketten, die Anfragen an Datenbanken verändern! Security Consulting GmbH, Karlsruhe Seite 47

48 Bösartige Veränderung von SQL-Queries Problem: Daten enthalten Zeichenketten, die Anfragen an Datenbanken verändern! $user = "foo"; $password = "bar' OR '1'='1"; $sql = "SELECT COUNT(*) FROM USERS WHERE USER='$user' AND PWD='$password'"; Security Consulting GmbH, Karlsruhe Seite 48

49 Bösartige Veränderung von SQL-Queries Problem: Daten enthalten Zeichenketten, die Anfragen an Datenbanken verändern! $user = "foo"; $password = "bar' OR '1'='1"; $sql = "SELECT COUNT(*) FROM USERS WHERE USER='$user' AND PWD='$password'"; Und? Bei SQL-Injection gehört die Datenbank dem Angreifer! Injection ist auch ein Problem für andere nachgelagerte Systeme! Security Consulting GmbH, Karlsruhe Seite 49

50 Was tun? Security Consulting GmbH, Karlsruhe Seite 50

51 Security Consulting GmbH, Karlsruhe Seite 51

52 Was tun? Konsequente Eingabeprüfung aller Eingaben Security Consulting GmbH, Karlsruhe Seite 52

53 Was tun? Konsequente Eingabeprüfung aller Eingaben Nutzung von typsicheren Datenbankabfragen (Prepared Statements) Security Consulting GmbH, Karlsruhe Seite 53

54 Was tun? Konsequente Eingabeprüfung aller Eingaben Nutzung von typsicheren Datenbankabfragen (Prepared Statements) Blick ins "OWASP SQL Injection Prevention Cheat Sheet" Security Consulting GmbH, Karlsruhe Seite 54

55 Security Consulting GmbH, Karlsruhe Seite 55

56 Bildquellen: Folie 01: [2006] Stephen Coburn, bigstockphoto.com Folie 02: [2010] Scott Griessel, bigstockphoto.com Folie 05: [2011] Aleksandar Kosev, bigstockphoto.com Folie 06: [2010] Dmitriy Shironosov, bigstockphoto.com Folie 07: [2007] Vincent Giordano, bigstockphoto.com Folie 16: [2005] Jamie Duplass, bigstockphoto.com Folie 32: [2010] Ron Sumners, bigstockphoto.com Folie 39: [2006] Jon Helgason, bigstockphoto.com Folie 45: [2009] Mau Kae Horng, bigstockphoto.com Folie 51: [2011] Folie 55: [2008] Edgard Rodriguez, bigstockphoto.com Folie 56: [2006] Jon Helgason, bigstockphoto.com Security Consulting GmbH, Karlsruhe Seite 56