Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Transkript

1 Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur

2 Angriffspunkt im heutigen Internet Klassische Angriffspunkte hat man heute gut unter Kontrolle Erraten von Passwörtern ist schwieriger geworden (Durchsetzen minimaler Passwortlängen/-komplexität, Two-factor Authentication) Abhören von Kommunikationskanälen ist bei Verwendung von sicheren Protokollen wie SSL/TLS und IPsec praktisch unmöglich Buffer Overflow Attacken nehmen tendenziell ab (besseres Patch-Management, technische Kernel-Erweiterungen) Firewalls haben sich durchgesetzt, um Systeme nur soweit zugänglich zu machen, wie es unbedingt notwendig ist Der Fokus der Attacken hat sich auf die Anwendungen verschoben Dabei werden Schwachstellen in über das Internet zugängliche Applikationen ausgenutzt Web-Applikationen haben sich dabei als sehr populär Ziele herauskristallisiert

3 Gemeldete Schwachstellen im Mai 2006 Quelle: IEEE Security & Privacy Magazine, July/August 2006

4 Wieso sind Web-Applikationen populäre Ziele? Web-basierte Anwendungen haben stark zugenommen e-banking, e-commerce, Informationsportale... Web-Applikationen werden immer komplexer und dadurch anfälliger auf Schwachstellen Dynamischer statt statischer Inhalt Mehrere Komponenten auf der Serverseite Client- und serverseitige Scripts Web-Applikationen haben Zugriff auf potentiell hochsensitive Daten Kundendaten, finanzielle Information (Kreditkarten, Kontodaten)... Via Web-Applikation hat auch der Benutzer/Angreifer darauf Zugriff

5 Typische Web-Applikation und Angriffspunkte Cross-Site Scripting SQL Injection HTTP Request HTTP Response Database Query

6 SQL Injection Fast alle Web-Applikationen verwenden eine Back-End Datenbank Benutzer-/Kundendaten, Produktdaten, aufgegebene Bestellungen... Benutzer greifen indirekt auf die Datenbank zu: Benutzer können Eingaben mittels Web-Formularen machen, zb um nach Produkten in einem e-shop zu suchen Diese Daten werden zum Webserver gesendet und dort von einem Skript übernommen Das Skript verwendet die Daten in einer Datenbankabfrage, erhält die Resultate, generiert eine Webseite und sendet diese zum Benutzer Die vom Benutzer eingegebenen Daten werden als Teil des HTTP Requests gesendet GET /path/search.php?searchstring=security books HTTP/1.0

7 SQL Injection Beispiel - Login Benutzer werden in einer Tabelle Users verwaltet: user Pete pwd perobina peter@pan.org John hogeldogel john@wayne.us Linda foo_bar linda@zhwin.ch Das Skript login.php erhält die von einem Benutzer eingegebenen Zugangsdaten und verwendet diese in einer SQL Query SELECT * FROM Users WHERE user=' ' AND pwd=' ' Bei einer existierenden Benutzername/Passwort-Kombination gibt die Query eine Zeile zurück der Benutzer ist identifiziert und erhält Zugang Andernfalls gibt die Query keine Zeile zurück und der Zugang wird verwehrt

8 SQL Injection Beispiel - Attacke Ziel des Angreifers: Er möchte Zugang zum System erhalten, obwohl er weder einen Benutzernamen noch ein zugehöriges Passwort kennt Dazu wählt er die von ihm eingegebenen Daten so, dass die resultierende SQL Query in jedem Fall mindestens eine Zeile zurückgibt Bei Logins funktioniert dies häufig mit ' or ''=' SELECT * FROM Users WHERE user='' or ''='' AND pwd='' or ''='' immer TRUE Die SQL Query gibt sämtliche Zeilen der Tabelle Users zurück, typischerweise wird login.php nur die erste Zeile davon beachten Der Angreifer wird von login.php als der dieser Zeile entsprechende Benutzer identifiziert und erhält Zugang

9 SQL Injection Weiteres Beispiel Ein Benützer wählt eine Produktkategorie über eine Drop-List: GET /path/showproducts.php?category_id=17 HTTP/1.0 SELECT name, description FROM Products WHERE catid= Der Angreifer möchte auch zusätzlich alle Benutzer und Passwörter erhalten GET /path/showproducts.php?category_id=17 UNION SELECT user, pwd FROM Users HTTP/1.0 SELECT name, description FROM Products WHERE catid=17 UNION SELECT user, pwd FROM Users Fazit: Enormes Schadenspotential, weil der Angreifer durch Manipulation der SQL Queries fast beliebig auf Daten zugreifen kann

10 Cross-Site Scripting (XSS) Javascript: In Webseiten eingefügte Codeelemente, die im Browser ausgeführt werden Wertet die Funktionalität von Webseiten massiv auf, nicht mehr wegzudenken Sehr häufig enthalten dynamisch generierte Webseiten die von einem Benutzer eingegebenen Daten Produktresultatseiten, Google etc. zeigen den eingegebenen Suchstring an Bei XSS, nutzt ein Angreifer dieses Feature aus: Der Angreifer sendet in einem Web-Formular ein Javascript zum Server Der Server baut das Javascript in die dynamisch generierte Webseite ein Sobald die Webseite im Browser angezeigt wird, wird das Script ausgeführt

11 Testen auf XSS Schwachstellen Bei Webseiten, die Benutzereingaben als Teil der generierten Webseite zurücksenden, gibt man ein einfaches Javascript ein <script>alert("testing XSS vulnerability");</script> Bei Erfolg öffnet sich ein Popup-Fenster Dies bedeutet, der Webserver übernimmt vom Benutzer eingegebene Javascripts in generierte Webseiten Proof-of-Concept für die Verwundbarkeit des Webservers auf XSS Attacken Angreifer kann damit prinzipiell jedes Javascript einfügen

12 Was kann man mit XSS tun? Schafft es ein Angreifer, Javascript Code im Browser eines Opfers ausführen zu lassen, ist zb folgendes möglich: Nachladen von beliebigem weiteren Javascript Code von einem Server Auslesen der aktuell verwendeten Session-ID und damit Übernahme einer Session Session Hijacking (e-commerce, e-banking ) Dynamisches Anpassen der Webseite während des Lade-/Rendering-Vorgangs, zb um den Login-Screen zu ersetzen Problem für den Angreifer: Um Javascript im Browser eines anderen Benutzers ausführen zu lassen, muss dieser Benutzer selbst das Javascript an den Webserver senden Wie der Angreifer das erreichen?

13 Einfügen von Javascript Javascript wird als Teil eines HTTP Requests zum Server gesendet GET /path/search.php?searchstring=<script>...</script> HTTP/1.0 Kann als Link in einem HTML-Dokument eingebaut werden Klickt das Opfer auf diesen Link, lädt es die Webseite mit dem Javascript Zwei populäre Möglichkeiten: Platzierung des Links in einer Nachricht in einem Web-Forum oder senden einer an das Opfer Web-Server Web-Forum

14 Konkrete Attacke mit XSS Opfer hat einen Account für einen Web-Shop (mit XSS-Schwachstellen) Ziel des Angreifers: Account-Daten Angreifer hat ein entsprechendes Javascript in einem Link in einer Nachricht in einem Web-Forum platziert, Opfer hat die Nachricht geöffnet

15 SQL Injection und XSS - Gegenmassnahmen Klassische Sicherheitsmechanismen nützen nichts Angriffe gehen durch offene Ports auf Firewalls Sichere Kommunikationskanäle nützen auch nichts, weil die Attacken die Applikationen und nicht die Kommunikationswege betreffen Was hilft sind primär implementatorische Massnahmen Serverseitige Validierung aller Daten, welche vom Benutzer gesendet werden (White Lists) Bereinigung sämtlicher Benutzerdaten, bevor diese in einer Webseite integriert und zurückgesendet werden Bei SQL Injection: Benutzerdaten nicht direkt in SQL Queries einfügen sondern Daten einer Stored Procedure auf dem Datenbankserver übergeben

16 Zusammenfassung Das Ausnutzen von Schwachstellen in Web-Applikationen ist zur Zeit der dominierende Typ im Bereich der Internetattacken Zwei der relevantesten Attacken sind dabei SQL Injection und Cross- Site Scripting Bei SQL Injection manipuliert der Angreifer durch gezielte Benutzereingaben resultierende SQL Abfragen auf die Datenbank und kann dadurch prinzipiell Zugriff auf beliebige Daten erhalten Bei Cross-Site Scripting fügt der Angreifer Javascripts in legitime Webseiten ein, um teilweise Kontrolle über den Browser eines Opfers zu erhalten, wenn dieses eine solche Webseite betrachtet