Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Transkript

1 Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften Marc Rennhard,

2 Inhalt Motivation: Wieso Web-Applikationen? Angriffspunkte von Web-Applikationen SQL Injection Cross-Site Scripting Gegenmassnahmen Marc Rennhard,

3 Ein paar Zahlen zur Motivation Web Application Security Consortium (WASC), Statistik für 2007 Daten: Manuelle Assessments, von verschiedenen Firmen durchgeführt Hauptergebnis: 97% der untersuchten Websites weisen high-risk Vulnerabilities auf Marc Rennhard,

4 Wieso Web-Applikationen? Sind heute sehr verbreitet e-banking, e-commerce, Informationsportale... Zugriff auf potentiell hochsensitive Daten Kundendaten, finanzielle Information... Via Web-Applikation hat auch der Benutzer/Angreifer darauf Zugriff Werden immer komplexer und damit anfälliger auf Schwachstellen Dynamischer statt statischer Inhalt Mehrere Komponenten auf der Serverseite Client- und serverseitige Scripts Vielen Web-Applikationsentwicklern fehlt das notwendige Security Know-How relativ leichte Ziele Marc Rennhard,

5 Web-Applikationen Angriffspunkte Cross-Site Scripting SQL Injection HTTP Request HTTP Response Database Query Marc Rennhard,

6 SQL Injection Web-Applikationen verwenden oft Datenbanken Benutzer-/Kundendaten, Produktdaten... Benutzer greifen indirekt auf die Datenbank zu: Eingaben mittels Web-Formular Daten werden zum Webserver gesendet und dort von einem Skript übernommen Skript verwendet die Daten in einer Datenbankabfrage, generiert eine Webseite und sendet diese zum Benutzer Die vom Benutzer eingegebenen Daten werden als Teil des HTTP Requests gesendet GET /path/search.php?string=security books HTTP/1.1 POST /path/search.php HTTP/1.1 Content-Length: 21 string=security books Marc Rennhard,

7 SQL Injection Beispiel - Login Benutzerverwaltung: Tabelle Users user Pete pwd tz&2_v user_id pete@pan.org John hogeldogel 1002 john@wayne.us Linda foo_bar 1003 linda@zhaw.ch SELECT * FROM Users WHERE user=' ' AND pwd=' ' Skript login.php erhält die eingegebenen Zugangsdaten und verwendet diese in einer SQL Query Benutzername/Passwort existiert: Query gibt eine Zeile zurück der Benutzer ist identifiziert & authentifiziert und erhält Zugang Andernfalls gibt die Query keine Zeile zurück und der Zugang wird verwehrt Marc Rennhard,

8 SQL Injection Beispiel - Attacke Ziel des Angreifers: Zugang zum System ohne Kenntnis von Benutzername/Passwort Dazu wählt er die eingegebenen Daten so, dass die SQL Query in jedem Fall mindestens eine Zeile zurückgibt Bei Logins funktioniert dies häufig mit ' or ''=' SELECT * FROM Users WHERE user='' or ''='' AND pwd='' or ''='' immer TRUE SQL Query gibt alle Zeilen der Tabelle Users zurück, meist wird login.php nur die erste Zeile davon beachten Der Angreifer wird von login.php als der dieser Zeile entsprechende Benutzer identifiziert und erhält Zugang Marc Rennhard,

9 SQL Injection Weiteres Beispiel Benützer wählt Produktkategorie via Drop-List: GET /path/showproducts.php?category_id=17 HTTP/1.0 SELECT name, description FROM Products WHERE catid= Der Angreifer möchte zusätzlich auch alle Benutzer und Passwörter erhalten GET /path/showproducts.php?category_id=17 UNION SELECT user, pwd FROM Users HTTP/1.0 SELECT name, description FROM Products WHERE catid=17 UNION SELECT user, pwd FROM Users Fazit: Fast beliebiger Datenzugriff durch Manipulation der SQL Queries möglich enormes Schadenspotential Marc Rennhard,

10 SQL Injection Demonstration (1) Problem 1: Wie testet man, ob eine Applikation verwundbar auf SQL Injection ist? Eingabe von ' (einzelnes Hochkomma) in einem Formularfeld Wird dieses Zeichen einfach übernommen und in die Query eingefügt, so ist diese syntaktisch nicht korrekt SELECT... FROM... WHERE name = ' ' ' Wenn wir Glück haben, erhalten wir eine SQL Fehlermeldung Marc Rennhard,

11 SQL Injection Demonstration (2) Wir möchten mit UNION ein zweites SELECT Statement einfügen, um weitere Daten aus der Datenbank auszulesen Problem 2: Was müssen wir zum Server senden, damit dies klappt? Aussagen über die vorbereitete SQL Query Die Suchergebnisse lassen auf eine Suche mit Wildcard-Zeichen schliessen Wird in SQL typischerweise wie folgt implementiert: SELECT... FROM... WHERE name LIKE '% %' Wir senden deshalb folgende Zeichenkette zum Server: x' UNION SELECT '1 SELECT... FROM... WHERE name LIKE '%x' UNION SELECT '1%' 1. SELECT Statement 2. SELECT Statement Marc Rennhard,

12 SQL Injection Demonstration (3) Wir wissen jetzt, dass SQL Injection mit UNION funktioniert Problem 3: Wie erhalten wir Informationen über die verwendete Datenbankstruktur (Tabellen, Kolonnen)? Manchmal ist die Struktur öffentlich bekannt (z.b. Open Source Web- Shop Produkt), im Allgemeinen Fall ist dies aber nicht so Datenbanken enthalten meist Metatabellen, in welchen Information über die Datenbankstruktur gespeichert sind Bei MS SQL Server sind dies: sysobjects: Enthält alle Tabellen (Name und ID) syscolumns: Enthält alle Kolonnen (Name) Wir fragen deshalb einfach diese Metatabellen ab! Marc Rennhard,

13 Cross-Site Scripting (XSS) Javascript: Code in Webseiten, der im Browser ausgeführt wird Wertet die Funktionalität von Webseiten massiv auf Oft enthalten dynamisch generierte Webseiten die von einem Benutzer eingegebenen Daten Produktresultatseiten, Google etc. enthalten den eingegebenen Suchstring Bei XSS nutzt ein Angreifer diese Features aus: Angreifer sendet in einem Web-Formular ein Javascript zum Server Server baut das Javascript in die dynamisch generierte Webseite ein Sobald die Webseite im Browser angezeigt wird, wird das Script ausgeführt Marc Rennhard,

14 Testen auf XSS Schwachstellen Eingabe eines einfachen Javascripts in verschiedenen Feldern von Web-Formularen: <script>alert("testing XSS vulnerability");</script> Bei Erfolg öffnet sich ein Popup-Fenster Dies bedeutet, der Webserver übernimmt vom Benutzer eingegebene Javascripts in generierte Webseiten Proof-of-Concept für die Verwundbarkeit der Web-Applikation auf XSS Attacken Angreifer kann damit prinzipiell jedes Javascript einfügen Marc Rennhard,

15 Was kann man mit XSS tun? Schafft es ein Angreifer, Javascript Code im Browser eines Opfers ausführen zu lassen, ist z.b. folgendes möglich: Laden von weiterem Javascript Code von einem Server Auslesen der aktuell verwendeten Session-ID und damit Übernahme einer Session (e-commerce, e-banking ) Dynamisches Anpassen der Webseite bei der Darstellung, z.b. um den Login-Screen zu ersetzen Im Wesentlichen hat der Angreifer volle Kontrolle über den Browser eines Opfers Problem für den Angreifer: Um Javascript im Browser eines anderen Benutzers ausführen zu lassen, muss dieser Benutzer selbst das Javascript an den Webserver senden Wie kann der Angreifer das erreichen? Marc Rennhard,

16 Einfügen von Javascript Script wird per HTTP Request zum Server gesendet GET /path/search.php?string=<script>..</script> HTTP/1.0 Kann als Link in einem HTML-Dokument eingebaut werden (z.b. , Nachricht in Web-Forum) Ein Klick auf den Link lädt die Webseite mit dem Javascript Web-Server Web-Forum Marc Rennhard,

17 Konkrete Attacke mit XSS, Demonstration Opfer hat Account für einen Web-Shop, Angreifer möchte Zugangsdaten erhalten Angreifer hat ein entsprechendes Javascript in einem Link in einer Nachricht in einem Web-Forum platziert, Opfer hat die Nachricht geöffnet Marc Rennhard,

18 Gegenmassnahmen (1) Das Grundproblem vieler Schwachstellen in Web-Applikationen liegt bei der fehlenden oder mangelhaften Input Validation Der Server verarbeitet Daten, ohne diese hinreichend zu prüfen Grundregeln bei der Implementierung von Web-Applikationen: Niemals den Daten, die vom User gesendet werden, vertrauen Clientseitige Validierungen sind gut aus Usability-Sicht, bringen für die Sicherheit aber gar nichts Sämtliche Daten müssen serverseitig validiert werden, bevor sie weiterverarbeitet werden Grundlegende Möglichkeiten bei der Validierung: Whitelisting: explizit definieren, was erlaubt ist (z.b. Zeichen, Länge...) Blacklisting: explizit definieren, was nicht erlaubt ist (<script>, UNION...) In Kombination, um die Stärken beider Ansätze zu nutzen Marc Rennhard,

19 Gegenmassnahmen (2) Das tönt einfach, ist in der Praxis aber gar nicht trivial Angreifer kann Daten auf verschiedenen Arten codieren, um eine Filterung zu umgehen, z.b. <IMG SRC="jav&#x97;sc%#114;ipt:alert('XSS');"> Gegenmassnahme: zuerst auf eine Grundcodierung normalisieren und erst dann validieren Und: es genügt dem Angreifer im Allgemeinen, wenn die Validierung nur bei einem einzigen Eingabefeld vergessen/falsch gemacht wird Es existiert auch technische Unterstützung für die sichere Programmierung von Web-Applikationen Validierungsframeworks, z.b. J2EE: JSF-Validierung, Commons Validator Datenbank Queries nicht manuell zusammensetzen, sondern mit Stored Procedures oder Prepared Statements arbeiten Marc Rennhard,

20 Gegenmassnahmen (3) Web Application Firewalls (WAF) Vorgelagerte Geräte, um eine/mehrere Web-Applikationen zu schützen Diverse Features: Normalisierung, Input Filtering, Content Adaptation, URL Encryption, Form Protection, Session Handling... Aber: auch die WAF funktioniert nur so gut, wie sie konfiguriert wird Vor allem bezüglich Input Filtering Ansätze in Richtung automatisch generierte Filterregeln vorhanden, aber auch dabei müssen die Regeln laufend der Applikation angepasst werden Der Einsatz einer WAF kann durchaus sinnvoll sein Z.B. um eine gewisse Security-Baseline für seine Web-Applikationen zu erreichen Z.B. auch für den Schutz einer eingekauften Web-Applikation Aber: wer die Hausaufgaben bei den selbstentwickelten Web- Applikationen nicht macht, wird wohl auch bei der WAF-Config sündigen Einkauf als Managed Security Service kann Sinn machen Marc Rennhard,

21 Zusammenfassung Web-Applikationen sind zur Zeit sehr attraktive Angriffsziele Zwei der relevantesten Attacken sind dabei SQL Injection und Cross-Site Scripting SQL Injection: Der Angreifer manipuliert durch gezielte Benutzereingaben resultierende SQL Abfragen auf die Datenbank und kann dadurch prinzipiell Zugriff auf beliebige Daten erhalten Cross-Site Scripting: Der Angreifer fügt Javascripts in legitime Webseiten ein, um teilweise Kontrolle über den Browser eines Opfers zu erhalten, wenn dieses eine solche Webseite betrachtet Gegenmassnahmen sind durchaus vorhanden Validierungsframeworks, WAF Die Anwendung dieser Technologien ist aber nicht trivial Marc Rennhard,