BSI IT-Grundschutztag, , Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. -

Transkript

1 1

2 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt , 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum bayernhafen Linzer Str. 8, Regensburg 2

3 Praxis-Highlights der OWASP Top 10 BSI Grundschutzbaustein Web-Anwendungen Über OWASP OWASP Top 10 Über sic[!]sec und Ralf Reinhardt Wie "ticken" Web-Anwendungen? Highlight A2: Cross-Site Scripting (XSS) Highlight A1: Injection Highlight A4: Unsichere direkte Objektreferenzen Highlight A5: Cross-Site Request Forgery (CSRF) 3

4 BSI Grundschutzbaustein Web-Anwendungen Um Webanwendung angemessen abzusichern, wurde ein neuer Baustein für die IT-Grundschutz-Kataloge entwickelt, der vorab vom BSI zur Kommentierung veröffentlicht wurde. Daran teilgenommen hat unter anderem das Open Web Application Security Project (OWASP). Diese unabhängige und offene Expertengruppe hat sich zum Ziel gesetzt, Sicherheit in (Web-)Anwendungen sichtbar zu machen und praxisnahe Lösungen bereitzustellen. «Die konsolidierte Version des Bausteines 'Webanwendungen' wird mit der nächsten Ergänzungslieferung der IT-Grundschutz-Kataloge erscheinen», informierte Isabel Münch, Referatsleiterin IT-Grundschutz beim BSI. Vorab steht der Baustein auf den Webseiten des BSI als Download zur Verfügung. Aus einer Pressemitteilung des BSI vom anlässlich der Vorstellung des Bausteins auf dem 4. IT-Grundschutztag 2012 (it-sa) 4

6 Über OWASP (I / II) Open Web Application Security Project,,not-for-profit worldwide charitable organisation focused on improving the security of application software" ca. 160 Chapter in 80 Ländern,,free and open to the public" Struktur: Board, Chapter, Stammtisch, Mitglied

7 Über OWASP (II / II) OWASP Projekte PROTECT (guard) DETECT (find) LIFE CYCLE (add security related activities) OWASP Konferenzen OWASP Summit (global) OWASP AppSec (kontinental) OWASP Day(s) (national) OWASP Chapter Meeting / Stammtisch (regional) OWASP Mitgliedschaft (EUR 40,- p.a.) 7

8 Über OWASP, ausgewählte Projekte OWASP Top 10 OWASP Testing Guide OWASP Code Review Guide OWASP (Development) Guide OWASP ASVS (Application S. Verification Standard) OWASP OpenSAMM (Open S. Assurance MM) OWASP ESAPI (Enterprise Security API) OWASP Zed Attack Proxy OWASP Web Goat OWASP ModSecurity Core Rule Set OWASP Top 10 für Entwickler 8

10 OWASP Top 10 10

11 OWASP Top 10, Aufbau 11

12 OWASP Top 10, Highlights A1: Injection SQL-Injection, aber auch HQL, LDAP, Xpath, OS-Kommandos, usw. A2: Cross-Site Scripting (XSS) JavaScript-Injection A4: Unsichere direkte Objektreferenzen A5: Cross-Site Request Forgery (CSRF) 12

14 Über sic[!]sec sic[!]sec GmbH in Gröbenzell bei München, gegründet 2010 von Achim Hoffmann und Ralf Reinhardt als unabhängiges Beratungshaus Schwerpunkt Web Application Security Penetrationstests Source Code Analysen und Code Reviews Web Application Firewalls Guidelines und Policys Workshops und Seminare 14

15 Über Ralf Reinhardt Principal Consultant und Geschäftsführer der sic[!]sec GmbH Lehrbeauftragter für Web Application Security an der Technischen Hochschule Nürnberg OWASP Mitglied, Project Leader und Contributor Mitglied des ISSECO (International Secure Software Engineering Council) 27 Jahre IT-Erfahrung, darunter Client-, Server- und Datenbankprogrammierung, Administration (AIX, Linux, Oracle), IT-Projektleitung, Rollout, Betrieb, ITIL, usw. 15

17 Wie "ticken" Web-Anwendungen? Client Boundary Input Output Request Response Boundary Output Input Server Output Input Input Output Repository 17

19 Cross-Site Scripting, Eingabe 19

20 Cross-Site Scripting, Quellcode 20

21 Cross-Site Scripting Angriff (I / II) 21

22 Cross-Site Scripting Angriff (II / II) 22

23 Kein Cross-Site Scripting! 23

24 Korrektes Escaping :-) 24

25 A2: Cross-Site Scripting, Maßnahmen [...] nicht vertrauenswürdige Metazeichen [sollten] entsprechend escaped werden. [ ] OWASP XSS Prevention Cheat Sheet enthält weitere Informationen [...] Eingabeüberprüfungen durch Positivlisten [ ] wird empfohlen. [ ] Gültigkeitsprüfung [...] bevor die Eingabe akzeptiert wird. 25

27 Datenbankabfrage durch Client 27

28 SQL-Statement im Server regulären Anfrage Ergebnis der Ausgabe am Client: Abu Mouser, Einkauf 28

29 SQL-Injection über Client 29

30 Resultat der SQL-Injection im Backend Ergebnis der Ausgabe am Client: Name, , Abteilung für alle Benutzer! 30

31 Tabellenstruktur der Datenbank Annahme: In der Datenbank existiert eine Tabelle namens USER mit den Spalten NICENAME INSTITUTION LOGIN PASSWORD 31

32 SQL-Injection mit union 32

33 Resultat der union -SQLInjection im Backend Ergebnis der Ausgabe am Client: Name, Login, Passwort für alle Benutzer! 33

34 A1: (SQL-) Injection Maßnahmen [...] Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. [...] Metazeichen unter Berücksichtigung der jeweiligen Syntax sorgfältig entschärfen. 34

36 Unsichere direkte Objektreferenzen (I / III) 1) Ziel des Benutzers einer Webanwendung: Prüfen der eigenen Kontoumsätze bei seiner Hausbank. 2) Bankanwendung bietet dafür einen Link Kontoumsätze an. Dieser ruft folgende URL auf: 36

37 Unsichere direkte Objektreferenzen (II / III) 3) Benutzer klickt Link 4) Benutzer sieht die Umsätze seines Kontos 4711 und ist glücklich. 5) Benutzer wird neugierig... 37

38 Unsichere direkte Objektreferenzen (III / III) 6) Benutzer testet direkte URL-Eingabe 7) Benutzer sieht die Umsätze des Kontos 4712; dieses Konto gehört ihm nicht. 8) Ist Benutzer Hacker, ist er jetzt noch glücklicher. 38

39 A4: Unsichere direkte Objektreferenzen, Maßnahmen Indirekte Objektreferenzen verwenden! [...] Referenzen [...] statt [...] Datenbankschlüssel. [ ] Die OWASP ESAPI enthält Referenzzuordnungen für sequentiellen wie wahlfreien Zugriff [ ]. Zugriffe prüfen! Jeder Abruf direkter Objektreferenzen aus nicht vertrauenswürdigen Quellen muss eine Prüfung der Zugriffsberechtigung beinhalten [ ]. 39

41 Szenario Cross-Site Request Forgery 1) Ein Administrator berechtigt Benutzer A, Daten zu verändern.folgender Request wird ausgelöst: 2) Benutzer B will ebenfalls Daten verändern und verlangt, dass A das Recht dazu entzogen wird. 3) Admin sagt: Nein! 4) Anwendung ist anfällig für CSRF. 41

42 Ein CSRF-Angriff (I / III) 5) Benutzer B hinterlegt CSRF-Inhalt unter 6) Benutzer B sagt Admin, dass dort coole Autos zu finden sind. Admin ist neugierig und öffnet diese Seite in einem andern Tab, während er im Browser noch eine gültige Session für die Anwendung offen hat. 42

43 Ein CSRF-Angriff (II / III) Inhalt von [ ] <img src="/bilder/green-car.png"> <img src=" <img src=" <img src="/bilder/red-car.png"> [ ] 43

44 Ein CSRF-Angriff (III / III) 7) Admin sieht Grünes Auto, 2 x broken image, Rotes Auto 8) Admin hat unbemerkt innerhalb seiner eigenen gültiges Session folgende Requests abgesetzt, untergeschoben von einer fremden Seite:

45 Ergebniss eines CSRF-Angriffs 9) Benutzer B ist nun berechtigt, Daten zu ändern, während Benutzer A dieses Recht entzogen wurde. Der CSRF-Angriff war somit erfolgreich. 45

46 A5: Cross-Site Request Forgery (CSRF), Maßnahmen Um CSRF zu verhindern, muss ein unvorhersagbarer Token im Body oder in der URL eines jeden HTTPRequests eingebettet sein (und geprüft werden). Ein solcher Token sollte für mindestens jede Nutzer-Session, besser noch für jeden Request, einzigartig sein. OWASPs CSRF Guard kann genutzt werden, um [ ] Token in [...] Anwendungen einzubinden. OWASPs ESAPI beinhaltet Token-Generatoren und Validatoren[...]. 46

47 Fragen, Anregungen? sic[!]sec GmbH Industriestr D Gröbenzell 47

48 IT Security Process Optimization Data Protection sic[!]sec GmbH Industriestr Groebenzell Germany Phone: Fax: "Praxis-Highlights" aus den OWASP Top 10 48