Web Application Security: SQL-injection, Cross Site Scripting -- w3af

Transkript

1 Web Application Security: SQL-injection, Cross Site Scripting -- w3af 1

2 Web 2.0 Application und Angriffspunkte Grundlagen: SQL SQL-injection Cross Site Scripting Web Application Scans mit w3af 2

3 Eine Web 2.0 Application 3

4 Probleme / Angriffspunkte Anwendungen sind oft komplex Verschiedene Technologien sind für einfache Aktionen notwendig (z.b. Login) Verwendete Technologien sind selbst löchrig (Webserver, PHP) Protokolle beinhalten unzureichende, sicherheitsrelevante Kriterien (HTTP) => Jede Eingabe ist prinzipiell gefährlich 4

5 Grundlagen: SQL Strukturierte Abfragen Sprache Web Application SQL-Abfrage Datensätze / Meldung DMBS Besteht aus Datenbank 5

6 Grundlagen: SQL Beispiel-Datenbank NutzerVerein Name Lieblingsverein Max Borussia Dortmund Anna FC Schalke 04 Attribute: Name, Lieblingsverein Datensätze: (Max, Borussia Dortmund) (Anna, FC Schalke 04) Tabelle: NutzerVerein 6

7 Grundlagen: SQL Datensätze mit select abfragen: SELECT Attribute FROM Tblname WHERE Bedingung; Attribute der Ergebnistabelle Ursprungstabelle der Datensätze Filterung von Datensätzen 7

8 Grundlagen: SQL NutzerVerein Name Lieblingsverein Max Borussia Dortmund Anna FC Schalke 04 SELECT Lieblingsverein FROM NutzerVerein WHERE Name = 'Max'; Lieblingsverein Ergebnis Borussia Dortmund 8

9 SQL-injection Häufig sollen SQL-Abfragen Nutzer-abhängig gestellt werden: Nutzer Parameter HTTP-Anfrage HTTP-Antwort Serverseitige Sprache Verwerte Daten Parameter SQL-Abfrage Rückgabe Ausführung Datenbank Application 9

10 SQL-injection Parameter verändern durch bestimmte Eingaben die Semantik der Abfrage: Bösartige SQL-Abfrage Angreifer Parameter HTTP-Anfrage HTTP-Antwort Serverseitige Sprache Verwerte Daten Parameter SQL-Abfrage Rückgabe Ausführung Datenbank Application 10

11 SQL-injection SQL-Anfrage wird durch Parameter manipuliert: Manipulation der Datenbank Sensible Daten in der HTTP-Antwort => SQL-injection Bösartige SQL-Abfrage Angreifer Parameter HTTP-Anfrage HTTP-Antwort Serverseitige Sprache Verwerte Daten Parameter SQL-Abfrage Rückgabe Ausführung Datenbank Application 11

12 SQL-injection name, pass durch Formular gegeben Weiterleitung, wenn Abfrage einen Datensatz liefert SELECT Id FROM User WHERE Name = 'name' AND Password = 'md5(pass)'; Eingabe: name= ' or 1=1;# SELECT Id FROM User WHERE Name = ' ' or 1=1;#' AND Password = 'md5(pass)'; 12

13 SQL-injection name, pass durch Formular gegeben Weiterleitung, wenn Abfrage einen Datensatz liefert SELECT Id FROM User WHERE Name = 'name' AND Password = 'md5(pass)'; Eingabe: name= ' or 1=1;# SELECT Id FROM User WHERE Name = ' ' or 1=1; 13

14 Cross Site Scripting (1) Anfrage eines Nutzers A mit Nutzerdaten D (2) Antwort auf Anfrage des Nutzers B (oder vorige) enthält Nutzerdaten D Falls D Scriptanweisungen enthält, Die Web Application Scriptanweisungen ungefiltert weitergibt => Browser führt Anweisungen aus Sicherheitslücke: Cross Site Scripting (XSS) 14

15 Cross Site Scripting Unterteilung in reflektiertes und persistentes XSS 15

16 Cross Site Scripting Unterteilung in reflektiertes und persistentes XSS Verseuchte Daten: Formular, GET (Link) HTTP-Anfrage Opfer Application Ausführung des Scripts HTTP-Antwort Erzeuge Antwort mit Nutzerdaten Schadcode befindet sich in der direkten Antwort auf eine verseuchte Anfrage => Reflektiertes XSS 16

17 Cross Site Scripting Unterteilung in reflektiertes und persistentes XSS Angreifer HTTP-Anfrage Speichert Nutzerdaten Opfer Ausführung des Scripts HTTP-Anfrage HTTP-Antwort Application Füge gespeicherte Daten ein Persistentes XSS 17

18 w3af web application attack and audit framework OpenSource Projekt in Python seit 2006 sqli HTTP-Client Webserver Audit Core Koordination Funktionen benötigt xss Crawl Form- & Linkextraktion En/decoder,.. web_spider 18

19 Bewertung w3af Konfiguration und Bedienung Leicht erweiterbar Hilfreiche Zusatztools (Encoder, eigene generierte HTTP- Anfragen/-Antworten) Nicht fehlerfrei ( false positiv, false negative ) Auswertung nicht immer leicht 19