OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

Größe: px

Ab Seite anzeigen:

Download "OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12"

Katja Lorentz
vor 8 Jahren
Abrufe

1 OWASP Top 10 im Kontext von Magento 1

2 Ich Fabian Blechschmidt PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt gerne, aktuell mit OWASP TOP10

de PHP seit 2004 Freelancer seit 2008 Magento

3 Überblick Injection Cross-Site-Scripting Session-Management Unsichere direkte Objektreferenzen Kryptografisch unsichere Speicherung Unzureichende Absicherung der Transportschicht Cross-Site-Request- Forgery (CSRF) 3

Kryptografisch unsichere Speicherung Unzureichende

4 Überblick Injection Cross-Site-Scripting Session-Management Unsichere direkte Objektreferenzen Kryptografisch unsichere Speicherung Unzureichende Absicherung der Transportschicht Cross-Site-Request- Forgery (CSRF) 4

5 Injection 5

6 Injection Ungeprüfte Parameter in sicheren Kontext einfügen 5

7 Injection Ungeprüfte Parameter in sicheren Kontext einfügen Verschiedene Formen 5

8 Injection Ungeprüfte Parameter in sicheren Kontext einfügen Verschiedene Formen SQL-Injection 5

9 Injection Ungeprüfte Parameter in sicheren Kontext einfügen Verschiedene Formen SQL-Injection LDAP 5

10 Injection Ungeprüfte Parameter in sicheren Kontext einfügen Verschiedene Formen SQL-Injection LDAP mail() 5

11 Injection Ungeprüfte Parameter in sicheren Kontext einfügen Verschiedene Formen SQL-Injection LDAP mail() Systemaufrufe (exec(), `rm -rf /`, passthru(), system()) 5

12 SQL-Injection Magento kümmert sich um alles...wenn ihr Magento lasst! 6

13 SQL-Injection: Collections & Models 7

14 SQL-Injection: Collections & Models $collection 7

15 SQL-Injection: Collections & Models $collection ->addfieldtofilter() 7

16 SQL-Injection: Collections & Models $collection ->addfieldtofilter() ->addattributetoselect() 7

17 SQL-Injection: Collections & Models $collection ->addfieldtofilter() ->addattributetoselect() ->addattributetosort() 7

18 SQL-Injection: Collections & Models $collection ->addfieldtofilter() ->addattributetoselect() ->addattributetosort() ->addattributetofilter() 7

19 SQL-Injection: Collections & Models $collection ->addfieldtofilter() ->addattributetoselect() ->addattributetosort() ->addattributetofilter() 7

20 SQL-Injection: Collections & Models $collection ->addfieldtofilter() ->addattributetoselect() ->addattributetosort() ->addattributetofilter() 7

21 SQL-Injection: Collections & Models $collection $model ->addfieldtofilter() ->addattributetoselect() ->addattributetosort() ->addattributetofilter() 7

22 SQL-Injection: Collections & Models $collection $model ->addfieldtofilter() ->load($id, $field=null) ->addattributetoselect() ->addattributetosort() ->addattributetofilter() 7

23 SQL-Injection: Collections & Models $collection $model ->addfieldtofilter() ->load($id, $field=null) ->addattributetoselect() ->addattributetosort() z.b. ->load( 123, sku ) (geht nicht überall!) ->addattributetofilter() 7

24 SQL-Injection: Collections & Models $collection $model ->addfieldtofilter() ->load($id, $field=null) ->addattributetoselect() ->addattributetosort() ->addattributetofilter() z.b. ->load( 123, sku ) (geht nicht überall!) Mage_Catalog_Model_Product 7

25 SQL-Injection: Collections & Models $collection $model ->addfieldtofilter() ->load($id, $field=null) ->addattributetoselect() ->addattributetosort() ->addattributetofilter() z.b. ->load( 123, sku ) (geht nicht überall!) Mage_Catalog_Model_Product loadbyattribute($attr, $val, $additionalattributes = '*') 7

26 mail() Injection mail ($to, $subject, $message, $additional_headers, additional_parameters) 8

27 mail() Injection mail ($to, $subject, $message,$additional_headers, additional_parameters) SMTP Header From: To: Subject: Testmail Date: Thu, 26 Oct :10:

28 mail() Injection mail ($to, $subject, $message,$additional_headers, additional_parameters) SMTP Header From: To: BCC: Subject: Testmail Date: Thu, 26 Oct :10:

29 mail() Injection über Kundenregistrierung 11

30 mail() Injection über Kundenregistrierung 11

31 mail() Injection über Kundenregistrierung 11

32 mail() Injection über Kundenregistrierung geht nicht. 11

33 Mails versenden mit Magento Mage::getModel('core/ _template') ->settemplatesubject($mailsubject) ->sendtransactional($templateid, $sender, $ , $name, $vars, $storeid); auf Basis von Zend_Mail kümmert sich um alle Probleme! 12

34 Überblick Injection Cross-Site-Scripting Session-Management Unsichere direkte Objektreferenzen Kryptografisch unsichere Speicherung Unzureichende Absicherung der Transportschicht Cross-Site-Request- Forgery (CSRF) 13

35 Cross-Site-Scripting Braucht ihr das wirklich? Wichtig: ALLES muss extra escaped werden! HTML-Kontext ($this->escapehtml()) JavaScript-Kontext 14

36 ALLES $_POST $_GET $_COOKIE $_SERVER[,HTTP_HOST ] $_SERVER[,HTTP_USER_AGENT ] $this->getrequest()->getparam(*); 15

37 filter_var() & json_encode() FILTER_SANITIZE_ FILTER_SANITIZE_SPECIAL_CHARS FILTER_SANITIZE_FULL_SPECIAL_CHARS json_encode() 16

38 Überblick Injection Cross-Site-Scripting Session-Management Unsichere direkte Objektreferenzen Kryptografisch unsichere Speicherung Unzureichende Absicherung der Transportschicht Cross-Site-Request- Forgery (CSRF) 17

39 Session Management Session Hijacking Session Fixation Angriff 18

40 Session Hijacking Benutzer hat authentifizierte Session Hacker bekommt Session-ID Braucht anderen Fehler üblicherweise XSS 19

41 Magento gegen Session Hijacking Validate REMOTE_ADDR Validate HTTP_VIA Validate HTTP_X_FORWARDED_FOR Validate HTTP_USER_AGENT 20

42 Session Hijacking einzige gute Lösung: Code bugfrei halten 21

43 Session Fixation Angriff Hacker schiebt Benutzer Session-ID unter Benutzer authentifiziert sich mit dieser 22

44 Session-ID über URL unterschieben z.b. 23

45 Magento gegen Session-Fixation nach erfolgreichem Login neue Session-ID generieren 24

46 Ikonoshirt_SecureSession wenn Session in URL/POST Logout ( neue Session-ID) ACHTUNG: SID zum StoreView wechsel geht nicht mehr! 25

47 Überblick Injection Cross-Site-Scripting Session-Management Unsichere direkte Objektreferenzen Kryptografisch unsichere Speicherung Unzureichende Absicherung der Transportschicht Cross-Site-Request- Forgery (CSRF) 26

48 Unsichere direkte Objektreferenzen Benutzer: Alice macht Bestellung Benutzer: Mallory ruft diese auf: order_id/1/ Beispiel, geht nicht! 27

49 Unsichere direkte Objektreferenzen Typisches Problem: in der Collection wird gefiltert beim direkten Aufruf wird nicht mehr geprüft 28

50 Überblick Injection Cross-Site-Scripting Session-Management Unsichere direkte Objektreferenzen Kryptografisch unsichere Speicherung Unzureichende Absicherung der Transportschicht Cross-Site-Request- Forgery (CSRF) 29

51 Cross-Site-Request- Forgery (CSRF) Aufruf von URL erzeugt Aktion ggf. ohne das der User das will Beispiel: <img src= cart/add?product=46&qty=2 /> 30

52 CSRF Beispiel schlimmere Sache: Maßnahmen: HTTP Method prüfen Token mitgeben (wie im Magento Backend) 31

53 Überblick Injection Cross-Site-Scripting Session-Management Unsichere direkte Objektreferenzen Kryptografisch unsichere Speicherung Unzureichende Absicherung der Transportschicht Cross-Site-Request- Forgery (CSRF) 32

54 Kryptografisch unsichere Speicherung 33

55 Kryptografisch unsichere Speicherung Wie speichert Magento Passwörter? 33

56 Kryptografisch unsichere Speicherung Wie speichert Magento Passwörter? MD5, zwei Zeichen Salt. 33

57 Kryptografisch unsichere Speicherung Wie speichert Magento Passwörter? MD5, zwei Zeichen Salt. Zeit zum knacken pro Passwort? 33

58 Kryptografisch unsichere Speicherung Wie speichert Magento Passwörter? MD5, zwei Zeichen Salt. Zeit zum knacken pro Passwort? Keine Ahnung, aber 1,3 Milliarden+ Versuche/Sekunde möglich 33

59 Wie Passwörter speichern? key derivation function, z.b. PBKDF2-HMAC-SHA256, c = bcrypt, cost = 11 scrypt, N = 214,r = 8,p = 1 langer Salt, z.b. md5(username) md5(time()) 34

60 Ikonoshirt_PBKDF2 Observer auf erfolgreichem Login wenn Passwort md5-hash, ersetzen durch PBKDF2 Admin, API und Customer-Login 35

61 Überblick Injection Cross-Site-Scripting Session-Management Unsichere direkte Objektreferenzen Kryptografisch unsichere Speicherung Unzureichende Absicherung der Transportschicht Cross-Site-Request- Forgery (CSRF) 36

62 Unzureichende Absicherung der Transportschicht 37

63 Unzureichende Absicherung der Transportschicht SSL! 37

64 Unzureichende Absicherung der Transportschicht SSL! ÜBERALL! 37

65 Unzureichende Absicherung der Transportschicht SSL! ÜBERALL! weil die Session-ID schützenswert ist 37

66 Secure Sockets Layer ordentliches Zertifikat für richtige Domain Next Step: alle Cookies secure-flag: 1 damit sie nur via HTTPS übertragen werden 38

67 Ikonoshirt_ StrictTransportSecurity Implementiert HSTS (HTTP Secure Transport Security) Kommunikation nur via SSL, kein http! Kein HTTPS -> keine Verbindung 39

68 40

69 Links StrictTransportSecurity 41

Ähnliche Dokumente

Session Management und Cookies

LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss