Unkontrollierte Verarbeitung von Eingabedaten

Transkript

1 Unkontrollierte Verarbeitung von Eingabedaten Allgemeine Softwareschwachstellen und zugehörige Angriffstechniken Dr. Dominik Herrmann Folien:

2 Die unkontrollierte Verarbeitung von Eingabedaten ist die Ursache zahlreicher Softwareschwachstellen. Ausfall von > DSL-Routern in DE (Nov. 2016) 2

3 Gliederung 1. Einordnung 2. SQL-Injections 3. Typosquatting Lernziele: Die zwei Beispiele erläutern können Schutzmechanismen erklären können Grundlegende Kenntnis von PHP und SQL wird unterstellt. 3

4 Warum müssen Eingabedaten vor der Verarbeitung kontrolliert werden? Eingabedaten können von Angreifern manipuliert werden. Earn or give, but never assume, trust Center for Secure Design (IEEE, 2014) Establish and maintain control of all your inputs CWE/SANS Monster Mitigations (2011) Häufig missachtet; Folge: Code Injection Maschinencode Shellcode JavaScript, PHP, SQL Spezifikationdes Systems Software-Design Implementierung CWE: Common Weakness Enumeration 4

5 Gliederung 1. Unkontrollierte Verarbeitung von Eingabedaten 2. SQL-Injections 3. Typosquatting Spezifikationdes Systems Software-Design Implementierung 5

6 SQL-Injectionsverändern die Struktur der ursprünglichen SQL-Anfrage. Browser Webserver SQL-Datenbank u: admin, p: 123 SELECT id FROM users WHERE user = 'admin' AND password = '123' OK u: ' or 1=1 - - SELECT id FROM users WHERE user = '' or 1=1 -- ' AND password = '' OK auskommentiert u: '; DROP TABLE users -- SELECT id FROM users WHERE user = ''; DROP TABLE users -- ' AND password = '' OK $db = new mysqli('localhost','dbuser','dbpasswd','dbname'); $sql = "SELECT id FROM users WHERE ". "user = '$u' AND password = '$p' "; $result = $db->query($sql); if ($result->num_rows == 0) { /* invalid credentials */ } else { /* login sucessful */ } 6

7 Schutz vor SQL-Injections muss beim Software-Design berücksichtigt werden. Empfehlenswerter Ansatz Parametrisierung aller Anfragen mit Prepared Statements $sql = "SELECT id FROM users WHERE ". " user =? AND password =? "; $stmt = $db->prepare($sql); $stmt->bind_param('ss', $u, $p); $stmt->execute(); Problematische Ansätze Validierung: Zurückweisen von Eingabedaten, die Sonderzeichen enthalten, oder Sonderzeichen herausfiltern ' " ` ; Blacklist O'Brien Konflikt möglich a-z, A-Z Whitelist Escapen von Sonderzeichen durch Voranstellen des Zeichens \ SELECT id FROM users WHERE user = '\' or 1=1 -- ' AND password = '' $u = mysqli_real_escape_string($user); $p = mysqli_real_escape_string($pwd); $sql = "SELECT id FROM users WHERE ". "user = '$u' AND password = '$p' "; 7

8 Schutzmechanismen können falsch implementiert werden. Bestellhistorie Pizza Größe Menge Datum Emiliana M Sizilia L $u = mysqli_real_escape_string($user_id); $m = mysqli_real_escape_string($month); $sql = "SELECT pizza, size, qty, date ". "FROM orders ". "WHERE usrid = $u AND ". " month = $m " ; da brauche ich keine Anführungszeichen sind ja Integer-Werte Angriff überparameter month: 0 and 1=0 UNION SELECT Name, Nmbr, ExpMon, ExpYr FROM CC_Transactions Bestellhistorie Pizza Größe Menge Datum Peter Müller Silvia Huber Beispiel nach D. Boneh 8

9 Weitere Varianten und Schutzmechanismen in der Übung und im Hacker-Praktikum Ermittlung von Spalten und Tabellen-Bezeichnern Blind und Second-Order Injections Experimentierumgebung 9

10 Gliederung 1. Unkontrollierte Verarbeitung von Eingabedaten 2. SQL-Injections 3. Typosquatting Spezifikation d. Systems Software-Design Implementierung 10

11 In offenen Systemen ist eine Kontrolle von Eingabedaten nicht vorgesehen. Domain Name System: verteilt realisierter hierarchischer Namensdienst com DENIC de at Typosquatting: Domains mit (Tipp-)Fehlern bespiel.de beispeil.de bwspiel.de beispiell.de wwwbeispiel.de paypal.de paypai.de Homograph i/i vs. l/l Registrare Hohe Verbreitung Studie mit 500 populären Domains (2015); > Typo-Domains; 61 % davon waren erreichbar Eindämmung schwierig Registrare könnten Registrierungen kontrollieren, aber keine Anreize (Externalitätseffekte) P. Agten, W. Joosen, F. Piessens, and N. Nikiforakis. Seven Months Worth of Mistakes: A Longitudinal Study of Typosquatting Abuse. In NDSS,

12 Typosquatting ist nicht auf DNS beschränkt; betrifft auch Software-Entwickler. Software-Repositorys für Entwickler PyPi (Python), NPM (JS), RubyGems Jeder darf Pakete mit beliebigen Namen hochladen; diese sind sofort verfügbar. Üblicher Installationsweg bei Python: sudo pip install requests 1. Ausnutzen von Tippfehlern reqeusts request req7ests 2. Ausnutzen von Irrtümern urllib json bs4 in stdlib enthalten! import bs4 from BeautifulSoup pip install beautifulsoup4 Studie mit 214 Paketnamen (2015/16) Installationsmeldung per HTTP-Request; Warnhinweis für Entwickler auf Konsole Unterschätztes Problem > Installationen, 96 % Irrtümer > Hosts (44 % als root, 25 mil/gov) Strategien zur Eindämmung Not-Found-Fehler auswerten Entwickler bei neuen Paketen oder Tippfehlern warnen N. Tschacher: Typosquatting in Programming Language Package Managers. Bachelorarbeit, Universität Hamburg,

13 Zusammenfassung Unkontrollierte Verarbeitung von Eingabedaten Code-Injection-Angriffe SQL-Injections Schutz: Software-Design und und korrekte Implementierung Typosquatting-Angriffe Domain Name System und Software-Repositorys für Entwickler Fehlende Anreize zur Eindämmung Weiterführende Literatur A. Andonov (2007): The Unexpected SQL Injection (When Escaping Is Not Enough), available at J. Spaulding et al. (2016): The Landscape of Domain Name Typosquatting: Techniques and Countermeasures. arxiv.org/pdf/ pdf Dr. Dominik Herrmann