Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Transkript

1 The OWASP Foundation Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser Ralf Reinhardt 4.

2 Ausgewählte OWASP- Projekte OWASP Top 10 + Cheat Sheets OWASP Testing Guide + Tools OWASP Code Review Guide + Tools OWASP (Development) Guide OWASP Enterprise Security API, AntiSamy OWASP ModSecurity Core Rule Set

3 Die OWASP Top 10 OWASP German Chapter stellt sich vor Tobias Glemser/Ralf Reinhardt

4 Highlights A1: Injection SQL-Injection, aber auch HQL, LDAP, Xpath, OS-Kommandos, usw. A2: Cross-Site Scripting (XSS) JavaScript-Injection A4: Unsichere direkte Objektreferenzen A5: Cross-Site Request Forgery (CSRF)

5 Wie ticken Web- Anwendungen?

6 Cross-Site Scripting, Eingabe Quelle und der Grafik: sic[!]sec GmbH

7 Cross-Site Scripting, HTML Quelle und der Grafik: sic[!]sec GmbH

8 Cross-Site Scripting, 1 von 2 Quelle und der Grafik: sic[!]sec GmbH

9 Cross-Site Scripting, 2 von 2 Quelle und der Grafik: sic[!]sec GmbH

10 Kein Cross-Site Scripting! Quelle und der Grafik: sic[!]sec GmbH

11 Korrektes Escaping :-) Quelle und der Grafik: sic[!]sec GmbH

12 Cross-Site Scripting Maßnahmen [...] nicht vertrauenswürdige Metazeichen [sollten] entsprechend escaped werden. [ ] OWASP XSS Prevention Cheat Sheet enthält weitere Informationen [...] Eingabeüberprüfungen durch Positivlisten [ ] wird empfohlen. [ ] Gültigkeitsprüfung [...] bevor die Eingabe akzeptiert wird.

13 DB-Abfrage, Client Quelle und der Grafik: sic[!]sec GmbH OWASP German Chapter stellt sich vor Tobias Glemser/Ralf Reinhardt

14 SQL-Statement, Server Ergebnis der Ausgabe am Client: Abu Mouser, Einkauf Quelle und der Grafik: sic[!]sec GmbH OWASP German Chapter stellt sich vor Tobias Glemser/Ralf Reinhardt

15 Tabellenstruktur, DBMS Annahme: In der Datenbank existiert eine Tabelle namens USER mit den Spalten NICENAME INSTITUTION LOGIN PASSWORD Quelle und der Grafik: sic[!]sec GmbH OWASP German Chapter stellt sich vor Tobias Glemser/Ralf Reinhardt

16 (SQL-)Injection, Client Quelle und der Grafik: sic[!]sec GmbH OWASP German Chapter stellt sich vor Tobias Glemser/Ralf Reinhardt

17 (SQL-)Injection, Server Ergebnis der Ausgabe am Client: Name, , Abteilung für alle Benutzer! Quelle und der Grafik: sic[!]sec GmbH OWASP German Chapter stellt sich vor Tobias Glemser/Ralf Reinhardt

18 (SQL-)Injection, UNION Quelle und der Grafik: sic[!]sec GmbH OWASP German Chapter stellt sich vor Tobias Glemser/Ralf Reinhardt

19 (SQL-)Injection, UNION in DB SELECT nicename, , institution FROM user WHERE nicename = 'NN' UNION SELECT nicename, login, password FROM user --' Ergebnis der Ausgabe am Client: Name, Login-Name, Passwort für alle Benutzer!

20 (SQL-)Injection Maßnahmen [...] Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. [...] Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen.

21 Unsichere direkte Objektreferenzen, 1 1) Ziel des Benutzers von einer 3Webanwendung: Prüfen der eigenen Kontoumsätzen bei seiner Hausbank. 2) Bankanwendung bietet dafür einen Link Kontoumsätze an. Dieser ruft folgende URL auf:

22 Unsichere direkte Objektreferenzen, 2 3) Benutzer klickt von Link 3 4) Benutzer sieht die Umsätze seines Kontos 4711 und ist glücklich. 5) Benutzer wird neugierig...

23 Unsichere direkte Objektreferenzen, 3 6) Benutzer testet von direkte URL-Eingabe 3 7) Benutzer sieht die Umsätze des Kontos 4712; dieses Konto gehört ihm nicht. 8) Ist Benutzer Hacker, ist er jetzt noch glücklicher.

24 (Un-)sichere Maßnahmen Objektreferenzen Indirekte Objektreferenzen verwenden! [...] Referenzen [...] statt [...] Datenbankschlüssel. [ ] Die OWASP ESAPI enthält Referenzzuordnungen für sequentiellen wie wahlfreien Zugriff [ ]. Zugriffe prüfen! Jeder Abruf direkter Objektreferenzen aus nicht vertrauens-würdigen Quellen muss eine Prüfung der Zugriffsberechtigung beinhalten [ ].

25 Cross-Site Request Forgery 1) Ein Administrator berechtigt Benutzer A, Daten zu verändern. Folgender Request wird ausgelöst: 2) Benutzer B will ebenfalls Daten verändern und verlangt, dass A das Recht dazu entzogen wird. 3) Admin sagt: Nein! 4) Anwendung ist anfällig für CSRF.

26 Ein CSRF-Angriff, 1 von 3 5) Benutzer B hinterlegt CSRF-Inhalt unter 6) Benutzer B sagt Admin, dass dort coole Autos zu finden sind. Admin ist neugierig und öffnet diese Seite in einem andern Tab, während er im Browser noch eine gültige Session für die Anwendung offen hat.

27 Ein CSRF-Angriff, 2 von 3 Inhalt von [ ] <img src="/bilder/green-car.png"> <img src=" <img src=" <img src="/bilder/red-car.png"> [ ]

28 Ein CSRF-Angriff, 3 von 3 7) Admin sieht Grünes Auto, 2 x broken image, Rotes Auto 8) Admin hat unbemerkt innerhalb seiner eigenen gültiges Session folgende Requests abgesetzt, untergeschoben von einer fremden Seite:

29 Ergebnisse des CSRF- Angriffs 9) Benutzer B ist nun berechtigt, Daten zu ändern, während dieses Recht Benutzer A wieder entzogen wurde. Der CSRF-Angriff war somit erfolgreich.

30 Cross-Site Request Maßnahmen Forgery Um CSRF zu verhindern, muss ein unvorhersagbarer Token im Body oder in der URL eines jeden HTTP- Requests eingebettet sein (und geprüft werden). Ein solcher Token sollte für mindestens jede Nutzer-Session, besser noch für jeden Request, einzigartig sein. OWASPs CSRF Guard kann genutzt werden, um [ ] Token in [...] Anwendungen einzubinden. OWASPs ESAPI beinhaltet Token-Generatoren und Validatoren[...].

31 Fazit OWASP hilft ;-) OWASP Top 10 + Cheat Sheets OWASP Testing Guide + Tools OWASP Code Review Guide + Tools OWASP (Development) Guide OWASP Enterprise Security API, AntiSamy OWASP ModSecurity Core Rule Set OWASP ASVS (Application Security Verification Standard) OWASP OpenSAMM (Open Software Assurance Maturity Model)

32 Deutsche OWASP Projekte OWASP Top Übersetzung Project Lead: Kai Jendrian, Secorvo Frank Dölitzscher, HFU Tobias Glemser, Tele-Consulting Dr. Ingo Hanke, Ideas Ralf Reinhardt, sic[!]sec Michael Schäfer, Schutzwerk

33 Deutsche OWASP Projekte OWASP Review BSI-Grundschutz Baustein Webanwendungen Project Lead: Ralf Reinhardt, sic[!]sec Tobias Glemser, Tele-Consulting Kai Jendrian, Secorvo Dr. Markus Miedaner, Syracom Consulting Dennis Moers, init Matthias Rohr OWASP German Chapter stellt sich vor Tobias Glemser/Ralf Reinhardt

34 Exploits of a Mom Noch Fragen? Quelle:

35 Kontakt und Informationen o/ owasp-germany (eintragen!) Tobias Glemser Ralf Reinhardt