Grundlagen der Web-Sicherheit

Größe: px

Ab Seite anzeigen:

Download "Grundlagen der Web-Sicherheit"

Ferdinand Beckenbauer
vor 8 Jahren
Abrufe

1 Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert creativecommons.org/licenses/by-nc-nd/2.0/de

2 pwn pwn pwn...!"#$%&'($)*+,-&../% OS Interface Flaws: Format String, Race Condition Logic Flaws (MAX_INT) Data Reference Failures: Buffer, Integer, Heap Overflows Interface Flaws IO Errors: SQL Injection, XSS Quelle: Software Security is Software! Reliability, Felix Lindner, CACM 49/6 Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 2 / 27

3 Proxies: mod_security snort SSL Privoxy Orientierung Layer 2 - Physical Layer 3 - Network Layer 4 - Transport Layer 7 - Application Protokoll Client optional: Proxies Server HTTP (&DNS) Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 3 / 27

4 Orientierung DNS Client Betriebsysteme Browser-Engines: Opera, Firefox, MS IE Plugins: Flash, Silverlight, Java, ActiveX, et cetera JavaScript, LiveConnect Daten via HTTP Datenbanken 3rd Parties Server Filter: mod_security, snort, et cetera Server: Apache, IIS PHP, Ruby, Java, Python, ASP et cetera CakePHP, RoR, Django, et cetera Moodle, Wordpress, et cetera statische Seiten Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 4 / 27

5 :// Hyper Text Transfer Protocol (HTTP) iis: 2006 : 1 seh protection apache: eben wenig in komponenten: mod_rewrite bo openssl bo 1989 CERN, inkl HTML und URL Zustandslos: Anwendung implementiert Session HTTPd: IIS 35% Apache 50%* (kaum Security Bugs) GET /TEXT.html HTTP/1.1 Host: UserAgent: MS IE Referer: HTTP/ OK Server: Apache/ (Unix) PHP/4.3.4 Content-Length: (Größe TEXT.html) Content-Language: de Content-Type: text/html Connection: close * Quelle: netcraft (Inhalt TEXT.html) Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 5 / 27

6 turn it off. JavaScript (JS): objektbasierte Sprache für dynamisches HTML <body onload="document.write(document.cookie); window.print()"> Same Origin Policy (SOP) Local-Zone Scripting Ausführen von JS durch Angreifer = volle Kontrolle über Browser im Kontext der SOP HTTP ist Sitzungslos Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 6 / 27

7 ! F%-(-1%()$G%H"&$I">'&12)(-3! E'"#- lol, schau dir mal den link an... Cross Site Scripting (XSS) >20% der Mitre CVE = XSS Jede große Seite betroffen,!"#$%&'$())"&$*"'#+,,"-. unteranderem ~40 deutsche Banken!"#$%&'$())"&$*"'#+,,"-.! /('0#)%12$3%"$!"*&%'"$3"#$4+-,"#"-56! 2''7688(9(:%-(1'%+-;&+,'<(#"=&>77+#';*%58! /('0#)%12$3%"$!"*&%'"$3"#$4+-,"#"-56!?-@")($A"#B")&$C01B'#%''6! 2''7688(9(:%-(1'%+-;&+,'<(#"=&>77+#';*%58! D>-3"&#"@%"#>-@;3"!!?-@")($A"#B")&$C01B'#%''6 E7%"@")! D>-3"&#"@%"#>-@;3"! F%-(-1%()$G%H"&$I">'&12)(-3! E7%"@")! E'"#! F%-(-1%()$G%H"&$I">'&12)(-3! E'"#- Whitehat Security 7/10 Seiten betroffen Effektiv auf SN Sites und in Kombination mit Phishing / Social Engineering Session Fixation / Hijacking Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 7 / 27

8 demo: XSS Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 8 / 27

9 Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 9 / 27

10 AJAX Web 2.0 Prototype.js Browser User XML UI Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 10 / 27

11 Web 1.0 Zeit Browser Datenübertragung Benutzeraktivität Benutzeraktivität Datenübertragung Server Berechnungen Server Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert / 27

12 Web 2.0 Zeit User Interaktion Browser UI AJAX engine AJAX Logik Datenübertragung Datenübertragung Server Berechnungen Server Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 12 / 27

13 AJAX VX Server AJAX engine Browser User Steuer- und Nutzdaten AJAX Virus Bedienung XSS fuer einplanzen des Virus in die Nutzdaten XSS Was könnte man mit einem Virus auf einem Studentenverzeichniss machen? -> eine Millionen Freunde hinzufügen Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 13 / 27

14 i want to be your friend Virus erzeugte 1 Millionen Freunde in 24h damit ist Samy der schnellst verbreitende Virus der Geschichte MySpace.com Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 14 / 27

15 wer routet so spät durch Nacht und Wind? Mexico XSRF Router DNS Poison Incident PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET &NAME= &ADDR= It does not validate POST, or Referer or Anything hkm (at) hakim (dot) ws Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 15 / 27

16 demo: XSRF Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 16 / 27

17 A or A Logic Flaws unister.de/einladung_12345.html Einladung für User mit und Namen asmallworld Social Network (SN) Iteration über Namen wie oben <input name=price value= EUR type=hidden> Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 17 / 27

18 Interface Flaws example.com/?user=foo&pass=bar error: unknown user aber: example.com/?user=felix&pass= error: wrong password Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 18 / 27

19 demo: rfi Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 19 / 27

20 it s a feature, not a bug remote file inclusion (rfi) / local file inclusion (lfi): allow_url_fopen = 0 (rfi) nullbyte nur mgl. mit magic_quotes_gpc = 0 example.com/?file=../../../../../var/db/locatedb Mass Exploits via Google Dorking Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 20 / 27

21 Hello DB! Hello Mr DROPTABLE! IO Error: SQL Injection (SQLi) Benutzereingaben werden ungeprüft an SQL Datenbank weiter gereicht Benutzereingaben enthalten SQL Befehle Kompromittierung des Servers Problem des In-Band-Signalling (à la 2600 Hz) Trennung Kontroll-Befehle und Daten Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 21 / 27

22 demo: SQLi Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 22 / 27

23 Ausblick HTTP Response Splitting Web Exploit Toolkits DNS Rebinding XSRF Worms Client & Server Worms (auto-sqli-iframe) Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 23 / 27

24 Graphenbeispiel

25 Fazit Sichere Programmierung & Frameworks Web 2.0 Hebel Datamining: Datenschutz und Nutzer- Sensibilisierung wichtig wie nie zuvor PHP-ids.org / OWASP.org Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 25 / 27

26 !? Vielen Dank für Eure Aufmerksamkeit! Fragen oder Anmerkungen? Das Labor e.v Johannes Dahse, Felix Gröbert creativecommons.org/licenses/by-nc-nd/2.0/de

27 Werbung! CIPHER IV, Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 27 / 27

Ähnliche Dokumente

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt