Ein Webinar von Mario Heiderich antwerpes ag Köln, HTML5. Seifenblasen - aber Bulletproof

Transkript

1 Ein Webinar von Mario Heiderich antwerpes ag Köln, HTML5 Seifenblasen - aber Bulletproof

2 Bitte wer und was? Mario Heiderich Forscher für Ruhr-Universität Bochum Microsoft IE Security Team in Redmond HTML5 - was ist das eigentlich? Wo kommt es her und wer hat's gemacht? HTML5 und Security Warum ist das überhaupt ein Thema? Vielleicht sogar aktuell das Thema für Webdevs?

3 Daher... Ein kurzer Blick auf das Kommende

4 Heute wird s was geben HTML Geschichtsunterricht Was ist anders an HTML5? Neuartige Angriffe Adäquate Verteidigung Blick über den Tellerrand HTML5 und SVG CSS und Parser-Fehler Fazit und Blick in die Zukunft

5 All die Jahre :: erste SGML basierte HTML Versionen von CERN/IETF 1995 :: W3C veröffentlicht HTML :: HTML3.2 viel Neues, Java, Frames, Bilder und mehr :: HTML4 nach wie vor im Gebrauch so wie DOM Level :: DOM Level 2 Core 2003 :: DOM Level 2 HTML, XForms 2004 :: HTML5 eine Idee and XHTML 2.0 vorbei, WHATWG wird gegründet :: W3C hat sich's anders überlegt jetzt :: WHATWG und W3C gemeinsam im HTML5 Boot

6 HTML5 Heute HTML5 ist weder fertig... Noch ansatzweise flächendeckend implementiert Zwei mal HTML5? Dennoch existent Die User wollen's Die Browser können's (ein bisschen) Ein halbfertiger Standard der halbwegs unterstützt wird Hier ein bisschen dort ein bisschen What could go wrong!?

7 Freude machen Nicht wenig Dinge an HTML5 machen durchaus Sinn. Und tun nicht weh! Struktur <header>, <section>, <article>, <menu> Neue Formularele- mente Gezähmte IFrames Optik Runde Ecken - oh yes! Hübsche Validierung im Browser Video, Audio, Inline SVG Mehr und mehr CSS SVG und Canvas

8 Mehr Awesome Animationen und Transformationen WebGL und 3D Beschleunigung Video und Audio Support mal so mal so Schriftarten in Hülle und Fülle Geolocation Weniger Flash und Silverlight mehr Offenheit Barrierefreiheit und Semantik

9 Aber... wollten wir nicht eigentlich über unangenehme Dinge sprechen?

10 Ärger machen HTML5 als Troublemaker. Aber so richtig. Formulare autofocus formaction Safari 5 form data stealing Regex DoS Weiteres History Spoofing LocalStorage und IndexedDB XSS via SVGs CSS Fehler

11 Beispielszenario Frames Quell des Glücks seit späten 90ern Frames können überlagert werden Formulare können autofocus nutzen Frame 1 kann dank CSS Frame 2 überlappen Frame 2 kann mit autofocus Fokus stehlen Frame 1 wird beschrieben Frame 2 empfängt den Input We should never have added autofocus to HTML5 Srsly?

12 Mehr Autofocs <input onfocus=write(1) autofocus> <input onblur=write(1) autofocus><input autofocus> <body oninput=alert(1)><input autofocus> <body onscroll=alert(1)><br><br><br><br><br><br>...<br><br> <br><br><input autofocus> Und viele weitere...

13 Action! <form id="test">... </form> <div>lorem ipsum dolor...</div> <button form="test" formaction="javascript:alert(1)">x Was könnte dieser Vektor anrichten? Formulare von außen beeinflussen? Submit auf javascript: URI umlenken Phishing und Form Hijacking Ohne jeden Event Handler? HTML5 Rocks!

14 Gegenwehr Framebuster, die funktionieren X-FRAME Header setzen! Keine Blacklists! <video poster=javascript:alert(1)> Keine IDs für <form> Elemente Und Obacht for Backticks...

15 Backticks? `` Backticks of Evil! Warum genau? Probleme im Internet Explorer 8 Später mehr dazu!

16 Bleiben noch Mindestens 5 Angriffstechniken von 500 Formulare autofocus formaction Safari 5 form data stealing Regex DoS Weiteres History Spoofing LocalStorage und IndexedDB XSS via SVGs CSS Fehler

17 Heia Safari!

18 Alles im Client <input pattern=^((a+.)a)+$ value=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!> Validierung im Browser Regulärer Ausdruck im Attribut Denial Of Service vorprogrammiert history.pushstate(null, null, '/unschuldig/') Angriffe verstecken Sichtbarer reflektiver XSS das war einmal! HTML5 Rocks!

19 Gegenwehr Als User im Safari Form Autocompletion abstellen Unsaubere reguläre Ausdrücke vermeiden! Kein Vertrauen in das location Objekt Auch und insbesondere im Internet Explorer <form id=location href=foo> <script>alert(location.href)</script>

20 Bleiben noch Mindestens 5 Angriffstechniken von 500 Formulare autofocus formaction Safari 5 form data stealing Regex DoS Weiteres History Spoofing LocalStorage und IndexedDB XSS via SVGs CSS Fehler

21 SQL Injection im Browser HTML5 fordert diverse Client-seitige Datenbanken sessionstorage, localstorage, createdatabase(), IndexedDB Einige nutzen SQLite als Grundlage Tatsächliche SQL Queries im DOM Vom XSS zur ClientSQLI Browser als autarker Attack Server History auslesen (CSS) Mails verschicken (Java) Keylogging (JavaScript) Webcam und Mikro steuern (Flash)

22 Scalable Vector Madness Schön, informativ und barrierefrei Skalierbar und Interaktiv Aber alles andere als ein Bild SVG == Vollständige HTML Applikation Neuerdings gibt s Inline SVG SVG via <img> Uploads Embeds und Schriftarten

23 Und schlimmer noch Und es geht noch schlimmer... /opera/pdf - <img> ruft per Skype an

24 Rich Text is Rich Moderne Seiten benötigen Rich Text User wollen Farben und Styles! Und warum auch nicht... Rich Text Editoren (RTEs) helfen. Wie es scheint. Aber RTEs sind böse. Richtig böse. Sprechen wir über Superwaffen

25 RTE Security Validierung und Filterung im Client Sicherheitslücken im Backend Komplexe DOM Operationen HTML Tidy oder schlimmer Viel DOMXSS <script> if(link.match(/https?:/)) { location.replace(link) } </script>

26 Stylebombs "data:,*%7bx:expression(write(1))%7d ";</style> <div style="font-family:'foo ;color:red;';">xxx <div style="background:url(/f#&#127;oo/;color:red/*/foo.jp g);">x <x style="background:url('x&#1;;color:red;/*')">xxx</x>

27 Gegenwehr Niemals im Browser validieren Niemals dem RTE vertrauen Keine hausgemachten Filter. Niemals. Garniemals. HTMLPurifier rockt so halbwegs... HTML4 ist unfassbar komplex Von HTML5 ganz zu schweigen

28 Obacht! Browser 0-Days Da hilft auch kein HTMLPurifier Im Gegenteil! <a (1\)\)//\)!\'');"></a>

29 All done Zeit für ein Fazit? Formulare autofocus formaction Safari 5 form data stealing Regex DoS Weiteres History Spoofing LocalStorage und IndexedDB XSS via SVGs CSS Fehler

30 Call to Action Wir brauchen einen HTML5 Purifier Am besten auch gleich einen SVG Purifier Wir brauchen bessere Dokumentation Einheitlichere Specs und Implementierungen Bessere Security Bulletins Mehr tatsächlich relevante Info! Make HTML5 Rock!

31 Document!

32 Links Überblick über HTML Tags und Elemente Der HTML 5 W3C Spec Draft Der HTML5 WHATWG Spec Draft Der HTML5 Security Cheatsheet alle erwähnten Angriffsbeispiele und mehr W3C Differences between HTML4 and HTML5 Wikipedia über HTML5 Attacks against autocomplete and specific input field types Busting frame busting Paper über Framebusting und Clickjacking Artikel über HTML5 Security im Allgemeinen W3C HTML Security Mailing List HTML5 Testcases

33 Das war's Vielen Dank für Ihre Aufmerksam... MO-MENT!

34 Da war doch noch was! Die Backticks des Grauens! Hausaufgabe! <div id="test"> <img src=x alt="``onerror=alert(1)"> </div> <script> alert(document.getelementbyid("test").innerhtml) </script> Bitte mal auf dem Internet Explorer testen Danach... Happy Fixing :-) Mehr dazu vielleicht im nächsten Webinar?

35 Over and Out Vielen Dank für Ihre Aufmerksamkeit Fragen willkommen!