Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3. Alexander Weidinger FH STP, IT Security

Transkript

1 Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3 Alexander Weidinger FH STP, IT Security

2 Gliederung PHP potentielle Sicherheitslücken & Schutz Typo3 Werkzeuge für Extension-Entwicklung Zielgruppe PHP-Programmierer, Typo3-Entwickler, Webserver-Admins, sicherheits-affine Personen Fragen bitte am Ende des Vortrags stellen.

3 potentielle Sicherheitslücken und Schutzmöglichkeiten

4 Klassische Sicherheitslücken auch in aktuellen, großen Projekten Vor allem, wenn (unerfahrene) Programmierer Zusatzmodule (Extensions) schreiben. treten auf mehreren Ebenen auf ungefilterte Eingaben --> sollten eigentlich kein Thema mehr sein fehlerhafte Programmierung schlechte Server-Konfiguration (Tipp: Viele Provider bieten die Möglichkeit einer eigenen php.ini.) Lücken im Server/Daemon selbst

5 Schema einer Web-Applikation (stark vereinfacht)

6 zu viele Details oder: "Mr. Unknown" helfen, die eigene Applikation zu hacken genaue Versionsnummern in Fehlerseiten und im HTTP-Header Ausgabe von Fehlermeldungen im Produktivsystem (Wobei PHP detailliert berichtet, in welcher Zeile welcher Datei(en) Fehler aufgetreten sind) phpinfo() am Server (z.b bei manchen Shared-Hosting-Providern, wenn die IP-Adresse direkt in den Browser eingegeben wird)

7 zu viele Details Lösungsansätze php.ini expose_php = Off display_errors = Off log_errors = On modsecurity (Web Application Firewall) Bietet unter anderem Möglichkeiten mit Hilfe einer Outbound-Filterung Informationen abzufangen Core Rules == Grundkonfiguration der Firewall (Achtung!! False Positives --> Tests erforderlich)

8 GET / HTTP/1.1 Host: xxx.xxx.xxx.xxx User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive HTTP/1.x 200 OK Date: Wed, 29 Oct :16:39 GMT Server: Apache/ (Red Hat) X-Powered-By: PHP/4.3.9 Content-Type: text/html Content-Encoding: gzip Connection: close A769-00AA001ACF42?! GET /index.php?=phpe9568f34-d428-11d2-a769-00aa001acf42 HTTP/1.1 Host: xxx.xxx.xxx.xxx User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0) Accept: image/png,image/*;q=0.8,*/*;q=0.5 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: HTTP/1.x 200 OK Date: Wed, 29 Oct :16:39 GMT Server: Apache/ (Red Hat) X-Powered-By: PHP/4.3.9 Content-Length: 2962 Content-Type: image/gif Connection: keep-alive A769-00AA001ACF42

9 ungefilterte Ein-/Ausgaben Die Basis für Cross Site Scripting (clientseitig, JavaScript) PHP Code Injection (serverseitig, PHP) SPAM in Foren, Blogs,... SQL-Injection Grundprinzip: Der Applikation wird ein "Fremdkörper" untergeschoben, der in der Folge von den interagierenden Komponenten als Teil der Webapplikation behandelt wird.

10

11 Filterung von Eingaben in der Applikation selbst $f_input = mysql_real_escape_string( strip_tags($input) ); Funktionsweise: strip_tags: Entfernt HTML- und PHP-Tags (<?php [...]?>, <script></script>,...) mysql_real_escape_string: versieht folgende Zeichen mit einem Backslash ('\'): \x00, \n, \r, \, ', " und \x1a. "Die Funktion muss immer (mit wenigen Ausnahmen) verwendet werden, um Daten abzusichern, bevor sie per Query an MySQL übermittelt werden."

12 "Entschärfen" von Eingaben mit Hilfe globaler Einstellungen in php.ini magic_quotes stellt ' (single-quote), " (double quote), \ (backslash) und NULL characters einen Backslash voran. addslashes() macht das gleiche. "Dieses Feature ist DEPRECATED (veraltet) und wird in PHP ENTFERNT. Sich auf dieses Feature zu verlassen ist in keiner Weise empfehlenswert." register_globals = Off (Achtung bei Billig-Providern!!) Verhindert die "Vergiftung" von globalen Variablen durch Request- Parameter Variablen immer vor Verwendung initialisieren: $i=0; $a=array(); superglobale Arrays verwenden: $_GET, $_POST, $_SERVER

13 Code Injection hauptsächlich, wenn die Filterung der Eingaben versagt hat bzw. umgangen wurde Funktionen, die Code zur Ausführung bringen: PHP-Script-Code include(), include_once(), require(), require_once() Shell-Code (mit den Rechten des Webservers!!!) exec, system, popen, proc_open, eval, shell_exec, passthru benötigt Shell-Programm mail ( -Versand mit PHP --> SPAM?) Grundsätzlich gilt: Alles vom Server entfernen, das nicht unbedingt gebraucht wird.

14 Code Injection Auch bei korrekter Filterung aller Eingaben und einem "sauberen" System kann es zu Code Injection kommen: allow_url_fopen = On bzw. allow_url_include =On + DNS-Poisoning = mittlere Katastrophe mögliche Lösung: SSH-Tunnel, OpenVPN (--> zertifikatsbasiert)

15 Code Injections eingrenzen (die Latte höher legen) am besten: Security by design bedenkliche Funktionen gar nicht erst verwenden/nutzbar machen nur bestimmte Funktionen/Pfade/Befehle erlauben: Suhosin-Whitelists, z.b.: suhosin.executor.include.whitelist (URL-Schemata für Parameter include&co.) suhosin.executor.func.whitelist (Liste aller erlaubten Funktionen) suhosin.executor.eval.whitelist (Liste aller erlaubten Funktionen, die mittels eval() aufgerufen werden können)

16 Exkurs: Suhosin Härten von PHP wurde entworfen um vor bekannten und unbekannten Fehlern in PHP-Anwendungen und im PHP-Kern zu schützen Umfangreiche Features Black- und Whitelists für Funktionsaufrufe Filterungsmechanismen Logging Engine Protection (u. a. Schutz gegen Buffer-Overflows) Session Protection (u. a. transparente Session-Verschlüsselung)

17 verborgene Wege Upload von Binärdateien/ELF-Dateien suhosin.upload.disallow_elf suhosin.upload.disallow_binary Upload von manipulierten Bilddateien Bilder nachträglich mit ImageMagick o. ä. manipulieren --> Zerstören des Schadcodes allgemein: Uploads immer verifizieren suhosin.upload.verification_script Uploads wenn möglich immer in eine speziell präparierte (nosuid, noexec) /tmp-partition speichern

18 Session Handling Ein Cookie hat den alleinigen Zweck, den Sitzungs-Identifikator zu transportieren ("schöne" URL, sauberer Referer) Was in einem Cookie nichts verloren hat: Zugangsdaten, Namen, jegliche Eingaben --> Schutz des Website-Besuchers Denkanstöße zum Thema Cookies: Cookies an IP-Adressen binden Session-Timeouts möglichst gering halten keine permanenten Anmeldungen

19 Sicherheitslücken in der Praxis praktisch überall vor allem in veralteten Software-Versionen (für die es dann auch schon die entsprechenden Exploits gibt) in Open Source Software besonders leicht auszunutzen, aber auch leichter selbst zu beheben

20 was zeichnet eine "sichere" Webapplikation aus? einheitliche Eingabefilterung, Zugriff nur über "saubere" globale Arrays $_GET --> $FGET $_POST --> $FPOST $_COOKIES --> $FCOOKIES Variablen vor Verwendung immer initialisieren Security by design Die Applikation muss so programmiert sein, dass sie auch auf vergleichsweise verwundbaren Plattformen das Maximum an Sicherheit herausholt.

21 Sicherheit in Werkzeuge für die Extension-Entwicklung

22 Was ist Typo3? Content Management System zuerst kommerziell, jetzt Open Source (GPL) Stärken: Stabiler, hochleistungsfähiger Kern Multi-User-System, Zugriffskontrolle, Workflows leistungsfähiger Caching-Mechanismus Extensions (Zusatzmodule) für fast jeden Zweck Sicherheit war von Anfang an Thema (Viele sicherheitsrelevante Einstellungen sind zentral verfügbar.) Schwächen: Für Laien/Anfänger schwierige Konfiguration

23 Unterstützung für Entwickler sichere Programmierung ist Sache des Entwicklers (--> Gestaltungsfreiheit) Plattformunabhängigkeit Typo3 abstrahiert Umgebungsvariablen t3lib_div::_get(), t3lib_div::_post(), t3lib_div::_gp() t3lib_div::getindpenv() Datenbank-Abstraktion Wrapper-Class verhindert SQL-Injection Session-Handling passiert durch den Kern $GLOBALS["TSFE"]->fe_user->setKey() $GLOBALS["TSFE"]->fe_user->storeSessionData()

24 Unterlagen für Entwickler TYPO3 Coding Guidelines Richtlinien zur Programmierung von Extensions Sicherheit Database Abstraction Layer Inside Typo3 Architektur des Kerns (Teil 1) TYPO3 Core API Architektur des Kerns (Teil 2) Typo3 Security Cookbook Checklist, um Typo3 grundlegend abzusichern

25 Danke für Ihre Aufmerksamkeit