Design Bugs OWASP The OWASP Foundation Alexios Fakos Senior Security Consultant n.runs AG

Transkript

1 Design Bugs Alexios Fakos Senior Security Consultant n.runs AG Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

2 Agenda Einführung Wortdefinition Probleme und Beispiele Fazit 2

3 Agenda Einführung 3

4 Einordnung in TOP 10 (2007) A1 - Cross Site Scripting (XSS) A2 - Injection Flaws A3 - Malicious File Execution A4 - Insecure Direct Object Reference A5 - Cross Site Request Forgery (CSRF) A6 - Information Leakage and Improper Error Handling A7 - Broken Authentication and Session Management A8 - Insecure Cryptographic Storage A9 - Insecure Communications A10 - Failure to Restrict URL Access 4

5 Motivation für diesen Vortrag (1/2) Identifizierung von regelmäßigen Problemen bei Security Assessments Oft Probleme, die Sie auch erkennen können! selten technisches Know-How notwendig 5

6 Motivation für diesen Vortrag (2/2) Probleme partiell zu beheben i.d.r. zeit- und kostenintensiv! Vgl. 6

7 Zielgruppe für den Vortrag Personenkreis, der Anforderungsdefinitionen schreibt Marketing Designer Software Architekten Anwendungsentwickler Personenkreis, das Problem evaluiert/entdeckt Support QA Security Consultants 7

8 Einführung Ihnen sollte das als Kunde nicht widerfahren 8

9 Einführung Behebung einer SQL Injection als Feature Enhancement 9

10 Feature Enhancement (1/3) 10

11 Feature Enhancement (2/3) 11

12 Feature Enhancement (3/3) 12

13 Agenda Wortdefinition Design + Bug 13

14 Wortdefinition Design Übersetzt: Gestaltung bedeutet meist Entwurf oder Formgebung Erfüllt technisch-praktische / informative Funktionen ästhetische Funktionen 14

15 Wortdefinition Design Entscheidungen Getrieben von Anforderungen Funktionale Fachliche Nicht funktionale Aussehen und Handhabung (Look and Feel) Sicherheitsanforderungen (CIA Triade) Korrektheit (Ergebnisse fehlerfrei) Flexibilität (Unterstützung von Standards) 15

16 Wortdefinition Bug Übersetzt: Programmfehler oder Softwarefehler Auftreten des Fehlverhaltens Wenn ein bestimmter Zustand nicht berücksichtigt wird» Unvollständigkeit» Ungenauigkeiten» Mehrdeutigkeiten etc. in der Anforderungsdefinition 16

17 Wenn es mal schief läuft Wer ist Schuld? 17

18 Agenda Probleme und (Parade) Beispiele 18

19 Probleme und Beispiele Fehlermeldungen A6 - Information Leakage and Improper Error Handling 19

20 Fehlermeldungen Aus Sicht eines Designer(s) * * in diesem Fall Designerin Registrierung und Login Formulare und Prozesse nutzerfreundlich und effektiv gestalten 20

21 Fehlermeldungen Aus Sicht eines Designer(s) * * in diesem Fall Designerin 21

22 Fehlermeldungen Registrierung 22

23 Fehlermeldungen Registrierung 23

24 Fehlermeldungen Registrierung 24

25 Fehlermeldungen Registrierung Folgen Enumerierung von gültigen Benutzernamen Adressen Benutzername + dazugehörige Adresse Finden Sie auch bei Login Funktion Passwort vergessen Funktion 25

26 Fehlermeldungen Registrierung heise News-Meldung vom :

27 Probleme und Beispiele Klartext reden A9 - Insecure Communications 27

28 Sicherer Transit Wer kennt das nicht? Anmeldung via Klartext Protokolle HTTP SMTP / POP3 FTP Telnet 28

29 Sicherer Transit Der sichere Login Umfrage 29

30 Sicherer Transit Der sichere Login 30

31 Sicherer Transit Der sichere Login Studie (2007) An evaluation of website authentication and the effect of role playing on usability studies 31

32 Sicherer Transit Der sichere Login 97 % der Probanden sagten: Login ist sicher 32

33 Sicherer Transit Der sichere Login 3 % der Probanden: Verweigerten die Eingabe 33

34 Sicherer Transit Der sichere Login Auflösung 34

35 Sicherer Transit Da war doch was Abwrackprämie online Dienstleister-Arago-fest html 35

36 Passwortversand Geschäftsmodelle 36

37 Passwortversand Empfang nach Registrierung Passwort vergessen 37

38 Passwortversand Wenn das letzte verwendete Passwort mitgeschickt wird, dann 38

39 Probleme und Beispiele Datenhaltung A8 - Insecure Cryptographic Storage 39

40 Datenhaltung Passwörter in Klartext ablegen Datenbank Binäre Dateien Applet / ActiveX Flash Klientseitig Konfigurationsdateien Browser Cookie Flash / Silverlight Cookie HTML Hidden Fields Serialisierte Werte Kommentare 40

41 Datenhaltung Flash Login Datei 41

42 Datenhaltung Dissamblierte Flash Datei 42

43 Datenhaltung Passwörter in Klartext ablegen Nicht nur in historisch gewachsenen Applikationen Einige Beispiele (aus dem Jahr 2009) Orange (.fr,.co.uk) BNP Paribas (.fr) PwC (.de) 43

44 Orange 44

45 BNP Paribas 45

46 Datenhaltung Was kann Bösewicht den tun, mit Benutzername Adresse Passwort Vor- und Nachname 46

47 Fauxpas hat weitere Konsequenzen Gleiche Anmeldedaten werden oft wieder verwendet Interessantes Ergebnis aus einer Studie (2008) 47

48 Studie 61 % verwenden nur EIN Passwort für Ihre Online-Aktivitäten 48

49 Fauxpas hat weitere Konsequenzen PwC Daten wurden bei Online-Bezahldiensten missbraucht Moneybookers Click&Buy gmx: Adressen web.de: Adressen Hotmail: 3300 Adressen Yahoo: 2700 Adressen T-Online: 2200 Adressen 49

50 Probleme und Beispiele Bitte erinnere mich was ich letzten Sommer getan habe A7 - Broken Authentication and Session Management 50

51 Erinnerung Passwort vergessen 51

52 Erinnerung Passwort vergessen 52

53 Erinnerung Passwort vergessen 53

54 Erinnerung Passwort vergessen Paris Hilton Hack (2005) Sarah Palin Hack (2009) Erinnerungsfragen können oft ermittelt werden 54

55 Hintertüren??? Nicht dokumentierte Funktionen Passwort Varianten "default password" Sollten vom Benutzer geändert werden erfolgt oft nicht Zum Teil unbekannte Benutzer Beispiel: Oracle: OUTLN (ausgestattet mir DBA Rechte) "hardcoded password" "Wartungszugang" Zum Debugging 55

56 Einige Beispiele Cisco - IP Phone Default Administrative Password CVE

57 Einige Beispiele Cisco - WLSE and HSE devices contain hardcoded username and password CVE

58 Einige Beispiele Cisco - IP/VC 3500 Series Hard-Coded SNMP Community Strings CVE

59 Einige Beispiele Cisco - Unified IP Conference Stations and IP Phones Default Account, Administrative Bypass and Privilege Escalation CVE CVE

60 Einige Beispiele Aruba Networks - Unauthorized Administrative and WLAN Access through Guest Account CVE , n.runs-sa

61 Einige Beispiele Aruba Networks - Unauthorized Administrative and WLAN Access through Guest Account CVE , n.runs-sa

62 Agenda Fazit 62

63 Fazit (1/2) Verwenden Sie generische Fehlermeldungen Verwenden Sie keine Klartextprotokolle Speichern Sie sensible Daten nur server-seitig ab Wenden Sie kryptografisch unbedenkliche Algorithmen an Vorsicht bei Passwort vergessen Funktionen Verzichten Sie auf Features Standard Benutzer/Passwörter sind tabu 63

64 Fazit (2/2) Design Bugs sabotieren die Sicherheit der Gesamtlösung von Beginn an Selbst bei sicherer Implementierung kann das Endprodukt nicht sicher sein 64

65 Vielen Dank für Ihre Aufmerksamkeit! Fragen?! Alexios Fakos 65