SQL Injection. Sicherheitslücken in webbasierten DB-Anwendungen. (Und wie man sie schließt!)

Transkript

1 T-Systems Multimedia Solutions GmbH Dr. Frank Schönefeld Thomas Haase 152. DB-Stammtisch HTW Dresden SQL Injection. Sicherheitslücken in webbasierten DB-Anwendungen. (Und wie man sie schließt!)

2 SQL Injection: Die unterschätzte Gefahr..aber nicht die einzigste. 2

3 3

4 AGENDA. 1. Klassifikation von Angriffsarten und Bedrohungen 2. SQL Injection: Die Grundlagen 3. SQL Injection: Ein lebendes Beispiel 4. SQL Injection: Prävention 4

5 AGENDA. 1. Klassifikation von Angriffsarten und Bedrohungen 2. SQL Injection: Die Grundlagen 3. SQL Injection: Ein lebendes Beispiel 4. SQL Injection: Prävention 5

6 Mögliche Klassifikationen: WASC Web Application Security Consortium: Threat Classification 2.0 (172-seitiges Dokument mit 49 Schwachstellen und Angriffsarten; Clusterung von 2004 siehe ff.) CAPEC Common Attack Pattern Enumeration and Classification (MITRE und Homeland Security) OWASP Top 10: Open Web Application Security Project: Statistik der häufigsten Angriffe; sehr gutes Metamodell von Sicherheitsrisiken Ebenenmodell des BSI 2005; 2006: Unterscheidet Angriffe nach der Angriffsebene: Netzwerk; System; ; Mensch 6

7 Mögliche Klassifikationen: WASC Web Application Security Consortium: Threat Classification 2.0 (172-seitiges Dokument mit 49 Schwachstellen und Angriffsarten; Clusterung von 2004 siehe ff.) CAPEC Common Attack Pattern Enumeration and Classification (MITRE und Homeland Security) OWASP Top 10: Open Web Application Security Project: Statistik der häufigsten Angriffe; sehr gutes Metamodell von Sicherheitsrisiken Ebenenmodell des BSI 2005; 2006: Unterscheidet Angriffe nach der Angriffsebene: Netzwerk; System; ; Mensch 7

8 Klassifikation von Angriffsarten nach WASC. Web Application Security Consortium. Nutzerseitige Angriffe Cross Site Scripting Cross Site Tracing Inhaltsmanipulation Authentifizierung Brute Force Unzureichende Authentisierung Schwache Passwort Wiederherstellung Cross Site Authentication Autorisierung Berechtigungen vorhersagen Unzureichende Autorisierung Unzureichende Sitzungsbeendigung Sitzungs Fixierung Informationsoffenlegung Auflisten Verzeichnis Informationsleck Pfadmanipulation Vorhersagbare Quellen Befehlsausführung Injection Angriffe (Einschleusung) SQL Injection Nach: WASC04, WASC 2010 Logische Angriffe Unzureichende Anti- Automation Unzureichende Prozessprüfung Cross Site Request Forgery 8

9 Klassifikation nach Ebenenmodell des BSI. Bundesamt für Sicherheit in der Informationstechnik. 9

10 OWASP TOP 10. Open Web Application Security Project. 10

11 OWASP TOP 10. Open Web Application Security Project. 11

12 AGENDA. 1. Klassifikation von Angriffsarten und Bedrohungen 2. SQL Injection: Die Grundlagen 3. SQL Injection: Ein lebendes Beispiel 4. SQL Injection: Prävention 12

13 SQL Injection: Die Grundlagen. Wir erinnern uns: SQL Die Basics (1). Unscharfe Auswahl von Zeilen durch nur teilweise spezifizierte Zeichenketten select * from city where Name like 'Lon '; select * from city where Name like 'Lon%'; select * from city where Name like '%don%'; Verbindung von Statements durch Semikolon; statement1 ; statement2 Verwendung des UNION Konstrukts, um mehrere SELECTs abzusetzen select countrycode from country where continent = EUR UNION select ccode from cities where population > ; 13

14 SQL Injection: Die Grundlagen. Wir erinnern uns: SQL Die Basics (2). Kommentare in SQL - - das ist eine Kommentar ; Verwendung von AND oder OR, um logische Verknüpfungen in der WHERE Klausel zu erzeugen select countrycode from country where continent = EUR OR continent = AUS ; 14

15 SQL Injection: Die Grundlagen. Wir erinnern uns: SQL Die Basics. Beispiel: Anmeldung an einer Webseite Account Password Robert ******** Select password from accounts where account_name = Robert Kein Ergebnis: Ungültiger Account Falls eine Zeile gefunden wird: Vergleiche das Ergebnis der Abfrage mit dem eingegebenen Passwort Stimmt ja/nein? Quelle: Carsten Schmidt DLC2009, T-Systems MMS 15

16 SQL Injection: Eine selbsterfüllende Prophezeiung. Wenn das Passwort StrengGeheim ist. Account Password x union Select StrengGeheim from dual;-- StrengGeheim Select password from accounts where account_name = x union Select StrengGeheim from dual;-- Voila das Password stimmt! Quelle: Carsten Schmidt DLC2009, T-Systems MMS 16

17 SQL Injection: Die Grundlagen. Wir erinnern uns: SQL Die Basics. Suchbegriff Kamera Treffer1 100 Treffer2 120 Treffer3 60 Etc. sofort Verfügbar sofort Verfügbar 3 Wochen Lieferfrist Select produkt, preis, lieferzeit from produkte where beschreibung like %Kamera% Zeige alle Ergebnisse an Quelle: Carsten Schmidt DLC2009, T-Systems MMS 17

18 SQL Injection: Wer sucht, der findet auch. AND 0=1. Suchbegriff Kamera and 0=1 union Select valid_to, 0, kartennummer from kreditkarten; -- 12/ / / Etc. Select produkt, preis, lieferzeit from produkte where beschreibung like %Kamera% and 0=1 union Select valid_to, 0, kartennummer from kreditkarten; -- % Quelle: Carsten Schmidt DLC2009, T-Systems MMS 18

19 SQL Injection: In der Realität. Etwas Kredit gefällig. SearchSecurity.com 18.August 2009 The hackers responsible for the largest data security breach in U.S. history allegedly used a SQL injection attack. A coding error was cited as the starting point in the indictment handed down against a Miami man and two Russian hackers, enabling them to allegedly bilk Heartland Payment Systems Inc. and Hannaford Brothers Co. of more than 130 million credit and debit card numbers. 19

20 SQL Injection: Weitere Möglichkeiten. Kaum Grenzen krimineller Phantasie. SELECT url, title FROM myindex WHERE keyword LIKE '%sql' ;GO EXEC cmdshell('format C') --%' SELECT author, subject, text FROM artikel WHERE ID=42; UPDATE USER SET TYPE="admin" WHERE ID=23 Select into Dumpfile; (Einschleusen beliebigen Codes) Zeitbasierte Angriffe Aus Fehlermeldungen Struktur der DB erforschen (mit ORDER BY Klausel Anzahl der Spalten ermitteln) Quelle: Topics 1-5 Wikipedia 20

21 AGENDA. 1. Klassifikation von Angriffsarten und Bedrohungen 2. SQL Injection: Die Grundlagen 3. SQL Injection: Ein lebendes Beispiel 4. SQL Injection: Prävention 21

22 SQL Injection: Ein lebendes Beispiel. Achtung: Demo Wiederherstellung des alten (ungesicherten) Zustands Don t try at home 22

23 SQL Injection: Ein lebendes Beispiel (1). Suche nach verwundbaren Webanwendungen: Vorgehensweise im Rahmen eines Angriffs: 23

24 SQL Injection: Ein lebendes Beispiel (2). 24

25 SQL Injection: Ein lebendes Beispiel (3). Insecure Web App Anwendung mit Schwachstellen zum Ausprobieren SQL Injection, Cross Site Scripting, Information Leakage u.a. Schritte Fehlerzustände provozieren Umwandlung in gültige Abfragen Abfrage / Manipulation geschützter Daten 25

26 AGENDA. 1. Klassifikation von Angriffsarten und Bedrohungen 2. SQL Injection: Die Grundlagen 3. SQL Injection: Ein lebendes Beispiel 4. SQL Injection: Prävention 26

27 SQL Injection: Die Wurzel(n) des Übels. SQL als deskriptive Sprache erlaubt die Spezifikation beliebiger Resultatsmengen (beschreibt das Was und nicht das Wie ) Zeichenketten können sowohl Parameter als auch Befehlsanweisungen selbst sein Zusammenbau von SQL-Statements zur Laufzeit durch Zeichenkettenverknüpfung interpretative Abarbeitung Klare relationale Struktur und Metadaten erlauben gezieltes Erraten der Struktur Datenbank ist tief mit den Systemeigenschaften verwoben 27

28 SQL Injection: Prävention. Validierung von Eingaben Filterung / Maskierung Einsatz von Prepared Statements (=Verhinderung der interpretativen Abarbeitung) Sicherheitsvorkehrungen Datenbankserver Nutzerberechtigungen Einsatz einer Web Application Firewall auf Plattformebene 28

29 SQL Injection: Prävention mit Prepared Statements. Statement stmt = con.createstatement(); String updatestring = "UPDATE COFFEES SET SALES = 75 " + "WHERE COF_NAME LIKE 'Colombian'"; stmt.executeupdate(updatestring); PreparedStatement updatesales = con.preparestatement( "UPDATE COFFEES SET SALES =? WHERE COF_NAME LIKE? "); updatesales.setint(1, 75); updatesales.setstring(2, "Colombian"); updatesales.executeupdate(); Quelle: Carsten Schmidt DLC2009, T-Systems MMS 29

30 SQL Injection: Einsatz einer Web Application Firewall. Netzwerk Firewall 30

31 SQL Injection: Einsatz einer Web Application Firewall. Netzwerk Firewall + Web Application Firewall 31

32 SQL Injection: Einsatz einer Web Application Firewall. Verhinderung von Angriffen auf Webanwendungen Filterung des HTTP Requests Konfigurierbare Sicherheit Logging, Reporting 32

33 Vorsicht, wenn man Ihnen Schokolade anbietet Quelle: 33

34 BE PART OF OUR COLLECTIVE INTELLIGENCE. AND LET US BE PART OF YOURS. T-Systems Multimedia Solutions GmbH Internet: Blog: Flickr: Video: XING: MMS in Flickr Webcasts Xing with us! Adress: Dresden Phone: 0351/ Fax: 0351/ twitter.com/tsystems_mms Twitter: 34