Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Transkript

1 Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier

2 Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp und XMLHttpRequest Funktionsweise des XMLHttpRequest Ajax und die Architektur Die Angriffsfläche Größere Angriffsfläche? Jein! Angriffspunkte von Webanwendungen Angriffspunkte von Webservices Angriffspunkte von Ajax-Anwendungen Angriffe auf Webanwendungen SQL-Injection Was ist SQL-Injection? Einige Beispiele Weitere Angriffe Blind SQL-Injection SQL-Injection verhindern XPath-Injection Ein einfaches Beispiel XPath-Injection verhindern Command Injection Command Injection verhindern Cross-Site Scripting Wie funktioniert XSS? Reflektiertes XSS Persistentes XSS 0avaScript-Injection) DOM-basiertes XSS Was kann XSS? Cross-Site Scripting verhindern CO CO CO CO Ajax Security 5

3 2.5 Cross-Site Request Forgery (CSRF) 42 CSRF - Ein alter Hut? 42 Wie funktioniert CSRF? 43 Wie wird der CSRF-Request eingeschleust? 45 CSRF-Schwachstellen finden 46 CSRF verhindern Lesen lokaler Dateien / Directory Traversal 47 Einbinden lokaler Dateien in PHP-Skripte 48 Directory Traversal verhindern Einbinden entfernter Dateien 51 Einbinden entfernter Dateien verhindern Session-Hijacking 52 Session-Hijacking verhindern Session Fixation 54 Session Fixation verhindern Cookie Poisoning 56 Cookie Poisoning verhindern Denial of Service (DoS) Buffer Overflow 57 Was passiert bei einem Pufferüberlauf? 57 Schutzmaßnahmen 59 Pufferüberläufe verhindern Formatstring-Schwachstellen 61 Formatstring-Schwachstellen verhindern Nicht verlinkte Ressourcen 62 Gegenmaßnahmen Brute-Force 62 Brute-Force-Angriffe verhindern Indirekte Angriffe 63 Man in the Middle 63 Social Engineering 63 3 Angriffe auf HTTP HTTP Request Smuggling 65 Vergiften des Webcaches 65 Request Hijacking 67 Request Credential Hijacking 68 Täuschung von Firewalls und Intrusion-Detection- bzw. Prevention Systemen 69 HTTP Request Smuggling erkennen und verhindern HTTP Response Splitting 72 Durchführung eines Angriffs 72 Schwierigkeiten beim HTTP Response Splitting 75

4 Vergiften von Webcaches 76 Angriffe erkennen 82 Angriffe verhindern 83 4 Angriffe auf TCP/IP Denial of Service-Angriffe Spoofing 87 IP-Spoofing TCP-Hijacking 89 Vor dem Angriff: Sniffen 90 Es geht los: Verbindung stören, Pakete einschleusen 90 ARP-Spoofing DNS-Spoofing 93 Die Namens-Auflösung 93 Cache Verschmutzung HTTP-Hijacking 98 Beispiel: HTTPS-Hijacking Distributed Denial of Service Angriffe 101 DDoS am Beispiel von Trinoo 102 DDoS durch Botnets 102 DDoS durch DNS Amplification Attacks 103 Gegenmaßnahmen Weitere Schutzmaßnahmen Was kann Cross-Site-Scriptinq? Ausspähen von Cookies Ausspähen von Tastatureingaben Auslesen von Passwörtern Einschleusen falscher Informationen Ausspähen der Browser-History Portscan über JavaScript 114 Zusammenfassung HTTP-Auth-Popup verhindern Ziel erkannt - Attacke! 120 Cross-Site Request Forgery 121 Ausprobieren von Default-Passwörtern Weitere Ziele Fernsteuerung Ausnutzen von Browser-Schwachstellen Fazit 124 Ajax Security

5 6 Webservices Geschichte SOA REST 126 Grundlagen von REST Webservices 126 Aufbau von REST Webservices SOAP 128 Arbeitsweise von SOAP UDDI WSDL Sicherheit und Webservices 131 Identifizierung 131 Authentifizierung 131 Autorisierung 132 Sicherheit auf Transportebene 132 Sicherheit auf Nachrichtenebene 133 Alle Schwachstellen sind schon da Mashups Die Grundlagen Einmal mischen, bitte! Konstruktion von Mashups Ajax-Proxies und Sicherheit 139 Wie kann ein Angreifer den Ajax-Proxy nutzen? 139 Angriffe verhindern Ajax-Portale oder»aggregate-sites«143 Schutzmaßnahmen Vertraulichkeit und Integrität 146 Vertrauen und Vertraulichkeit 147 Integrität 148 Gefahren für Mashup-Betreiber 148 Schutzmaßnahmen Verfügbarkeit JSON und JavaScript-Hijackinq JSON is evil Ajax-Hijacking 152 Funktionen umdefinieren 152 Ajax-Hijacking verhindern 156 Probleme beim Hijacking 156 On-Demand-Ajax und Hijacking 156

6 8.3 JSON-Hijacking 158 Angriff mit Mozilla-spezifischen Funktionen 158 Angriff ohne Mozilla-spezifische Funktionen 159 Verhindern von JSON-Hijacking Requests und ihre Herkunft Wer oder was ist der Client? 163 Mensch oder Maschine? 164 Gegenmaßnahmen Webwürmer Der erste seiner Art: Samy 167 Die Technik hinter Samy Nach Samy kam Yamanner 170 Der Wurm-Code 171 Die Folgen Ein letztes Beispiel: Der Orkut-XSS-Wurm 171 Der Code 172 Die Folgen Zusammenfassung 173 Was wäre wenn Wieso ist es bisher nicht passiert? 174 Worm for fun - und wo bleibt der Profit? 175 Web würmer verhindern Zertifikate und SSL/TLS Identitätsprüfung 179 Hierarchische Zertifizierungssysteme Das TLS-Protokoll 181 Einsatz von Zertifikaten bei SSL/TLS 183 X.509-Zertifikat 183 Verwendung der Zertifikate Nutzung von SSL/TLS in eigenen Programmen Der Ajax-Client Allgemeine Probleme im Client 187 Ein Beispiel Datenumwandlungen auf dem Client 188 Beispiel: SQL-Injection 189 Gegenmaßnahmen Der Ajax-Quelltext 190 Gegenmaßnahmen Asynchronität 190 Race Conditions Schlussbemerkung 192 Ajax Security 9

7 A A.l A.2 B B.l B.2 B.3 C C.l D D.l D.2 D.3 E E.l E.2 E.3 F El F.2 Literaturverzeichnis Vorbemerkung Literaturverzeichnis Die Same Origin Policy Die Funktion der Same Origin Policy Umgehen der Same Origin Policy Anti-DNS-Pinning JavaScript-Portscan Quelltext Der Quelltext eines JavaScript-Portscanners: Die Ausgabe Quelltexte der Webwürmer Samy, der MySpace-Wurm Der eigentliche Quelltext von Samy Der formatierte Quelltext von Samy Yamanner, der Yahoo!-Wurm Der Quelltext von Yamanner Der Orkut-XSS-Wurm Die Flash-Datei des Orkut-Wurms Der getarnte Schadcode des Orkut-Wurms Der entpackte Schadcode des Orkut-Wurms Kryptographie Grundlagen Symmetrische Systeme Asymmetrische Systeme Konzelationssysteme Authentikationssysteme Hash-Funktionen Vorstellung einiger Verfahren Symmetrische Verfahren Asymmetrische Verfahren Ein hybrides Verfahren Hash-Algorithmen Links & Literatur TCP/IP Grundlagen Das TCP/IP-Schichtenmodell Die Netzzugangsschicht Ethernet-Paket (Version 2) B

8 Die Netzwerkschicht IP-Paket (RFC 791) ICMP-Paket (RFC 792) Die Transportschicht TCP-Paket (RFC 793) UDP-Paket (RFC 768) Kapselung der Daten Aufbau eines Botnets Der Aufbau Die Nutzung Stichwortverzeichnis Ajax Security 11