Sicherheit und Skalierbarkeit im E-Business OXID Partnertag Björn Schotte

Transkript

1 Sicherheit und Skalierbarkeit im E-Business OXID Partnertag Björn Schotte

2 Wer bin ich? Been there, done that: Internet seit 1993/94 PHP seit 1997 PHP-Center.de PHP Magazin PHP Konferenz Faible für skalierbare & sichere Applikationen MAYFLOWER GmbH

3 Wer ist Mayflower? Deutschlands größter LAMP Dienstleister >40 Mitarbeiter 35 OXID eshop EE zertifizierte Entwickler Geschäftsbereiche: Premium Software Development Beratung/Training Support E-Commerce Kunden Premiere/T-Systems, neckermann.de Siemens, Vaillant Group, Telefónica, O2, e-fellows, sevenload, studivz, UnitedInternet, Deutsche Bank, HypoVereinsbank, MAYFLOWER GmbH

4 Mayflower GmbH Security Expertise tiefes KnowHow im Bereich PHP und JS Security Security Tool Chorizo! Security Audits sowie Zertifizierung, Security Trainings MAYFLOWER GmbH

5 Agenda Security JavaScript-Injections und Ajax (XSS) Bedeutung und Verbreitung von XSS Was sind JavaScript Injections? Warum Web 2.0 und XSS besonders wehtut Ajax / Web 2.0 Probleme Xml HTTP Request, Toolkits, JSON Ajax-Malware: XSS-Würmer und Viren Kurze Virengeschichte Web 2.0, Viren und Würmer Ajax-Malware: Web 2.0-Attacken Browser Zombies Intranet-Attacken Ajax-Applikationen absichern MAYFLOWER GmbH

6 Agenda Performance Mind your SQL Falsches SQL ist oftmals ein Bottleneck mehr SQL ist besser Achtung: Applikationsdesign! Kapselung in Objekten (Design Patterns) Saubere Auftrennung in Schichten (MVC Pattern) Komponenten-orientierte Bauweise (SOA?) Hilfe, die Session klemmt! Weitere Tools memcached lighttpd Y!Slow Bytecode Caches JMeter Nutzersimulation, Performance Messung Projektmethodiken: Continuous Integration & Continuous Inspection MAYFLOWER GmbH

7 Zitate zu XSS Symantec Internet Security Thread Report: 69% aller Vulnerabilities passieren in Webapplikationen Web 2.0 und AJAX Sicherheitsprobleme werden wichtiger Mitre Corporation CVE Datenbank: 21.5 % aller Lücken sind XSS-Lücken Von low über medium zu high risk XSS is the new hotness! Billy Hoffman, SPI MAYFLOWER GmbH

8 Wer ist alles betroffen? z.b. die Website einer Konferenz: Angela Merkels Rücktritt: Bundesregierung.de Spiegel Financial Times Deutschland Stern MAYFLOWER GmbH

9 Warum Web 2.0 und XSS besonders wehtut Mehr Logik im Client MVC: bis zu 100% von View und Controller können im Browser stattfinden Professionelle GUI-Erstellung mit JavaScript-Widgets und Komponenten Wachsendes JavaScript-Knowhow Mehr und neue Möglichkeiten für XSS Neue Vektoren Toolkits JSON RSS REST / SOAP MAYFLOWER GmbH

10 Wie Cross-Site-Scripting(XSS) funktioniert Same-Origin-Policy Wenn eine Seite JavaScript mitliefert, dann ist dieses JavaScript vertrauenswürdig Es darf die Seite ändern Daten vom gleichen Host können gelesen werden XSS verletzt diese Policy Es kann JavaScript in den aktuellen Seitenkontext eingeschmuggelt werden Es können beliebige Requests ausgeführt werden es können lokale Daten ausgelesen werden MAYFLOWER GmbH

11 Fortgeschrittene XSS-Exploits Password-Diebstahl Firefox Password-Safe gespeichert wird (Host, Feldname, Wert) -> wird nach dem onload des Dokuments befüllt Ein Login-Formular.. und wie man es ausliest Datenspionage CSS-History Hack per Stylesheet Firefox-Plugins per chrome-img-onerror MAYFLOWER GmbH

12 XSS Filter und wie man sie umgeht Es existiert eine Vielzahl von Filtern in Anwendung und Firewall Problem: HTML soll möglich sein, JavaScript aber nicht Klassische Filter-Evasions: <IMG """><SCRIPT>alert("XSS")</SCRIPT>"> <META HTTP-EQUIV="refresh" CONTENT="0;url=data:text/html;base64,PHNjcmlwdD 5hbGVydCgnWFNTJyk8L3NjcmlwdD4K"> Code-Page-basierte Filter Evasions UTF-7 (Google XSS-Hack) Variable-Width Encoding Evasions Toolkit-basierte Filter Evasions Dojo: dojoattachevent MAYFLOWER GmbH

13 Exploiting Ajax MAYFLOWER GmbH

14 XmlHTTPRequest-Sicherheit Sicherheitskonzept hinter XmlHTTPRequest: Same-Origin-Policy Ähnlich Java-Sandbox Umgehen der Host-Begrenzung DNS-Pinning Wechsel der IP zwischen den Requests Proxy-Request-Spoofing Eine Seite ohne XSS: Trotzdem kann man einen XSS einschmuggeln: Web Cache Poisoning Url MAYFLOWER GmbH

15 JavaScript / Toolkit Manipulation Vollständiger Vertrauensverlust in JavaScript Nutzer-Variablen und Funktionen Systemfunktionen und Methoden Formulare und (Hidden-)Variablen Content, Cookie, Beispiel: Überschreiben von alert() old_alert = alert; function myalert(str) { old_alert('myalert: '+str); } alert = myalert; alert('test'); Prototype.js: Ajax.Request = myrequestmitm MAYFLOWER GmbH

16 JSON JavaScript Object Notation If JSON were Food it would be Sushi Beispiel: { "type": "menu", "value": "File", "items": [ {"value": "New", "action": "CreateNewDoc"}, {"value": "Open", "action": "OpenDoc"}, {"value": "Close", "action": "CloseDoc"} ] } Vorteil: kann direkt in in JavaScript evaluiert werden Nachteil: kann direkt in JavaScript evaluiert werden Zusätzlicher Vektor zum Einschleusen von JavaScript MAYFLOWER GmbH

17 JavaScript-Malware Willkommen im Browser: Viren, Intruder, Spyware und Trojaner MAYFLOWER GmbH

18 Kleine Virengeschichte 1949: John von Neumann prophezeit sich replizierende Software 1986: der erste PC-Virus verbreitet sich 1992: Michelangelo-Virus der erste Medien-Virus 1995: Script-Viren im Mail-Client (Outlook/Express) 1998: Melissa-Wurm in Outlook 2004: Web Application Würmer 2005: MySpace-Virus: Samy is my hero 2006: Ihre Ajax-Applikation (just FUDding) MAYFLOWER GmbH

19 Was sind Web 2.0 Würmer/Viren? Ort: Innerhalb einer/mehrerer Webapplikationen Infizierung per XSS und AJAX Verbreitung per AJAX, Formular, Link, RSS Der Browser führt den Virus aus Applikation ist Speicherort des Virus Der erste wirkliche Cross-Platform-Virus! Kritische Payloads sind möglich Datenänderung Datenspionage (Kreditkarten usw) Durchführung von Transaktionen (Aktienkauf) Wer von Ihnen loggt sich immer aus? Auch bei Google Mail? Bei vorhandenen Logins kann im Hintergrund infiziert werden MAYFLOWER GmbH

20 XSS-Würmer und Viren Warum funktionieren Viren auf Web 2.0? LAW Die Nutzer stellen Inhalte für Nutzer (lokale Vermehrung) Mash-Ups Es werden Applikationsteile von anderen Websites eingebunden (verteile Vermehrung) Neue Verbreitungswege wie RSS, SOAP, REST (verteilte Vermehrung) Ajax-Möglichkeiten stehen auch Hackern offen (Infizierung und Vermehrung) Es gibt mehr Schnittstellen zwischen Client und Server(n) (mehr Möglichkeiten zur Infizierung) MAYFLOWER GmbH

21 Samy is my Hero der MySpace Wurm MySpace, zu dem Zeitpunkt 5-wichtigste Internetseite weltweit Samy hatte nur 73 Freunde. Zu wenig. Aber er hatte JavaScript-Knowhow. JavaScript im eigenen Profil, daß Samy per XmlHTTPRequest zum Freund macht MySpace war vorbereitet: Guter JavaScript-Filter - aber mit Filter-Evasions! CSRF-Schutz per ZufallsHash - per XHR umgangen! Nach 20 Stunden hatte Samy mehr als Freunde! MAYFLOWER GmbH

22 Browser Zombies JavaScript bedeutet Kontrolle über den Browser JavaScript muss nicht statisch sein Es könnte auch ein Mensch auf der anderen Seite sein, oder ein intelligentes Script Besuchen Sie uns! Wir besuchen Sie auch! Browser Exploitation Framework COMET! MAYFLOWER GmbH

23 Intranet-Attacken Hinter der Firewall ist das Paradies Ungepatchte Software Default-Passworte Ungeschützte Dienste Aber: das Intranet kann gescannt werden 1. die lokale Adresse ermitteln 2. das lokale Class-C-Netz auf Port 80 scannen Erkennung der Infrastruktur Individuelle Attacken Siehe Proxy-Exploit bekannte Lücken: Linksys-WRT-Router MAYFLOWER GmbH

24 Ajax Applikationen sichern MAYFLOWER GmbH

25 Status bei Web 2.0 Sicherheit XSS ist kein kleines Risiko mehr mehr Funktionalität im Client bedeutet mehr Potentielle Lücken Um so mehr JavaScript kann, um so mehr kann auch XSS JavaScript- und integrierte Toolkits haben regelmässig Lücken Alle 2 Monate eine neue XSS-Lücke bekannt Security is a process, not a product MAYFLOWER GmbH

26 Strategien zur Sicherung Der Weg zu 100-prozentiger Sicherheit im Web: 25% Web Application Firewalls wie mod_security 25% Web Security Scanner 25% Source Code Audits und Entwicklung mit Security in Mind da fehlt doch was Vermeidung von kritischen Funktionalitäten HTML-Eingaben Vertrauen auf externe Quellen MAYFLOWER GmbH

27 Sichern von Anwendungen Dem Client nicht vertrauen: Header, Cookies, Get, Post Auch nicht der Applikationslogik im Client Daten Filtern: Formate erzwingen: Es sind nur bestimmte Zeichen valide (0-9,) Es ist nur ein Format gültig (089/ ) Es ist nur eine bestimmte Länge möglich Bei Nutzung escapen Entities für HTML Hochkomma für SQL Slashes für JavaScript Meist in einer Zeile machbar Im Falle PHP: mit Suhosin PHP abhärten MAYFLOWER GmbH

28 Fazit Security JavaScript etabliert sich als Angriffsplattform Die Möglichkeiten und Gefahren von JavaScript-Malware werden zur Zeit deutlich unterschätzt Es wird mehr Viren und Würmer auf Web-Applikationen geben Sie werden Applikations- und Domainübergreifend sein Es wird gezielte XSS-Attacken geben Intranet-Attacken werden über JavaScript stattfinden Sicherheit wird bei der Applikationsentwicklung fürs Web in der Vordergrund rücken MAYFLOWER GmbH

29 Skalierbare Webanwendungen, SQL Tuning (I) Mind your (My)SQL! Probleme oftmals bei schlecht designten Tabellen oder SQL Abfragen EXPLAIN SELECT Replikation (Master zum Schreiben, Sklaven zum Lesen) 1 Master, n Slaves oder n Master, n Slaves (Multi- Master Setup) verteilt auf n Datacenter MySQL Proxy! MAYFLOWER GmbH

30 SQL Tuning (II) Clustering (In-Memory Cluster, disk based Cluster soon) Partitionierung Auf dem gleichen Server Lösung: Sharding! ( + MySQL Proxy) Mehr SQL Primary Keys -> SELECT der IDs, dann iteratives Auslesen der Datensätze zusätzlich MySQL Certification zur Sicherung der eigenen Ausbildung MAYFLOWER GmbH

31 MySQL Proxy MySQL, fly light! klein und schlank Query interceptor Sitzt zwischen Client (z.b. PHP) und dem MySQL Server Query Manipulation leicht gemacht per lua scriptbar Applikationen auf Master-Slave Setups hieven ohne Änderung am Programmcode Sharding ohne Änderung am Programmcode noch Alpha viele Tester gesucht! MAYFLOWER GmbH

32 Applikationsdesign Design-Patterns (Factory, Decorator, Singleton, ) Komponenten-orientierte Bauweise leichterer Überblick einfache Wartbarkeit schnell erweiterbar lässt sich später einfacher verteilen SOA Architektur (SOAP, XML-RPC, JSON, ) Integration mit anderen Sprachen Wegbereiter für mehr Performance MAYFLOWER GmbH

33 Hilfe, die Session klemmt! Clustering? Load Balancer mit Session Affinity und file-basierten Sessions Sessions in der Datenbank ablegen *hüstel* Sessions per ZendPlatform Session Clustering + Session Cache verteilen Sessions per memcached verteilen Ausflug nach memcached in der nächsten Folie MAYFLOWER GmbH

34 memcached a distributed memory object caching system Connect via Socket Ablage von Daten memcached selbst ist cluster-fähig n Server, die nur memcached machen Große Sites nutzen memcached extensiv, z.b. Ablage von Session Daten Ablage fürs Content-Caching MAYFLOWER GmbH

35 lighttpd fly light! (I) Es muss nicht immer Apache sein Stark skalierender Webserver, speziell für statische Dateien single process,top5 der Netcraft Statistik Besonders gut bei statischen Dateien (Produktbilder, CSS, JavaScript) und Flash Videostreams auch gut in Kombination mit PHP (FastCGI SAPI) kann load-balancing Beispielkonfigurationen: 1 lighttpd Server, n PHP Applikationsserver 1 lighttpd Server, n Apache Server (reverse Proxy) Cluster aus lighttpd Servern MAYFLOWER GmbH

36 lighttpd fly light (II) lua World of Warcraft? Content-Caching mit lua PHP muss dann nicht mehr ausliefern PHP kann lighttpd benachrichtigen (per MySQL UDF) leicht konfigurierbar MAYFLOWER GmbH

37 Performance Optimierungen für den Client Y!Slow Extension für Firebug (Extension für Firefox) Bewertung von zum Beispiel Ladezeiten einzelner Bilder oder Elemente (CSS, JS, ) Bewertung von sinnvoll oder sinnlos gesetzten HTTP Headern Entwickelt von Yahoo! (daher Y! ) Eingeteilt nach 13 simplen Performanceregeln Einteilung in Grade A bis F (A = Top, F = Flop) MAYFLOWER GmbH

38 Bytecode Caching APC ZendPlatform (bei OXID EE dabei) eaccelerator Sollte Standard in jeder Installation sein MAYFLOWER GmbH

39 Nutzersimulation mit JMeter Erster Gedanke: Apache Bench (ab) Hilft jedoch nicht viel, weil es nur stumpf Requests abfeuert Lösung: Tools wie JMeter Nutzersimulation Aufzeichnung von HTTP Requests Nutzer klickt sich durch den Shop legt Produkt in den Warenkorb Macht einen Checkout Virtuelles Ausschwärmen der Nutzer RampUp Phasen etc. Beispiel: Performance-Bottleneck in MySQL View durch JMeter gefunden MAYFLOWER GmbH

40 Continuous Integration - Einführung Kontinuierliche Integration besonders bei Entwicklung im Team auf Basis von CruiseControl (Java-basiert) mit eigenentwickelten AddOns & 3rd party tools Zend CodeAnalyzer Coding Guideline Check Selenium Tests inkl. Screenshots Code Browser Code Coverage Code Metriken PHP Doc Output CVS Stats Copy & Paste Detection MAYFLOWER GmbH

41 Continuous Integration was bringt es? Komfort Non-Event Analysen, Inspektion und Wächter -Funktion Konzept des Builds, das vieles machen kann (z.b. nach jedem Commit Tests, Analysen & Inspektion) Browserakzeptanztests mit Selenium (z.b. 1x täglich) Nutzersimulationen für Performance Tests (z.b. 1x wöchentlich) Absicherung und Qualitätssicherung während des Developments vor Releases in Produktion MAYFLOWER GmbH

42 CruiseControl Beispiele (I) MAYFLOWER GmbH

43 Cruise Control Beispiele (II) MAYFLOWER GmbH

44 Cruise Control Beispiele (III) MAYFLOWER GmbH

45 Vielen Dank für Ihre Aufmerksamkeit Björn Schotte Mayflower GmbH Pleichertorstr Würzburg +49 (931) schotte@mayflower.de