Aktuelle Sicherheitsprobleme im Internet

Transkript

1 Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1

2 Inhalt Angriffspunkte Webapplikationen Typische Situation im Netz SQL-Injection Cross-Site Scripting Zusammenfassung Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 2

3 Angriffspunkte: - Klassische Angriffspunkte hat man heute meistens unter Kontrolle - Erraten von Passwörtern - Abhören von Kommunikationskanälen - Firewalls haben sich durchgesetzt, um Systeme nur soweit zugänglich zu machen wie nötig - Der Fokus der Angriffe hat sich auf die Anwendungen verschoben. - Dabei werden Schwachstellen in Webapplikationen ausgenutzt Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 3

4 Warum sind Web-Applikationen populäre Ziele? - Webbasierte Anwendungen haben stark an Bedeutung zugenommen - E-Banking, E-Commerce, Informationsportale - Web-Applikationen werden immer komplexer und dadurch anfälliger auf Schwachstellen - Dynamischer statt statischer Inhalt - Mehrere Komponenten auf der Serverseite - Client- und Serverseitige Scripts - Web-Applikationen greifen auf hochsensitive Daten zu - Kundendaten, finanzielle Informationen (Kreditkarten, Konten) Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 4

5 Typische Situation im Netz Cross-Site Scripting SQL-Injection User HTTP Request HTTP Response SQL-Query Internet Web-Server Anwendungen Database Server Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 5

6 SQL-Injection - Fast alle Webapplikationen verwenden eine Datenbank - Benutzerdaten, Bestellungen, Logins - Benutzer greifen indirekt auf die Datenbank zu - Benutzer machen Eingaben via Webformular - Daten werden vom Webserver gesendet und von einem Skript übernommen - Das Skript verwendet die Daten in einer Datenbankabfrage und generiert eine neue Webseite - Die vom Benutzer eingegebenen Daten werden als Teil des HTTP-Requests gesendet - GET /path/search.php?searchstring=security books HTTP/1.0 Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 6

7 SQL-Injection SQL-Injektion (engl. SQL Injection) bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken. Diese entsteht bei mangelnder Maskierung oder Überprüfung von Funktionszeichen. Der Angreifer versucht über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen. Sein Ziel ist es dabei, Kontrolle über die Datenbank oder den Server zu erhalten. (gemäss Wikipedia) Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 7

8 SQL-Injection Bsp. Login Benutzer werden in einer Tabelle Users verwaltet: user pwd Suti hallo Thomi velo Das Skript login.php erhält die von einem Benutzer eingegebenen Zugangsdaten und verwendet diese in einer SQL Query. Bei einer existierenden Benutzername/Passwort-Kombination gibt die Query eine Zeile zurück; der Benutzer ist identifiziert und erhält Zugang. Andernfalls gibt die Query keine Zeile zurück und der Zugang wird verwehrt. Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 8

9 SQL-Injection Bsp. Login Der Angreifer möchte Zugang zum System, obwohl er keinen Benutzernamen und kein Passwort besitzt. Dazu wählt er die von ihm eingegebenen Daten so, dass die resultierende SQL-Query in jedem Fall mind. eine Zeile zurück gibt. Bei Logins funktioniert dies häufig wie folgt: Die SQL-Query gibt sämtliche Zeilen der Tabelle Users zurück. Der Angreifer wird als Benutzer identifiziert und erhält Zugang. Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 9

10 SQL-Injection Ein Benutzer wählt eine Produktekategorie über eine Drop-List: GET /path/showproducts.php?category_id=17 HTTP/1.0 Der Angreifer möchte zusätzlich alle Benutzernamen und Passwörter erhalten. GET /path/showproducts.php?category_id=17 UNION SELECT user, pwd FROM Users HTTP/1.0 Fazit: Enormes Schadenspotential, weil der Angreifer durch Manipulation der SQL Queries fast beliebig auf Daten zugreifen kann. Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 10

11 Cross-Site Scripting Cross-Site Scripting (XSS) bezeichnet das Ausnutzen einer Computersicherheitslücke, indem Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden, in dem sie als vertrauenswürdig eingestuft sind. Aus diesem vertrauenswürdigen Kontext kann dann ein Angriff gestartet werden. Die Bezeichnung Cross-Site leitet sich von der Art ab, wie diese Attacke webseitenübergreifend ausgeführt wird (auf einer vom Angreifer kontrollierten Seite steht beispielsweise ein präparierter Hyperlink, der zur vermeintlich vertrauenswürdigen Website einer meist ahnungslosen dritten Partei führt). (gemäss Wikipedia) Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 11

12 Cross-Site Scripting Javascript: In Webseiten eingefügte Codeelemente, die im Browser ausgeführt werden Wertet die Funktionalität von Webseiten massiv auf, nicht mehr wegzudenken Sehr häufig enthalten dynamisch generierte Webseiten die von einem Benutzer eingegebenen Daten Produktresultatseiten, Google etc. zeigen den eingegebenen Suchstring an Bei XSS, nutzt ein Angreifer dieses Feature aus: Der Angreifer sendet in einem Web-Formular ein Javascript zum Server Der Server baut das Javascript in die dynamisch generierte Webseite ein Sobald die Webseite im Browser angezeigt wird, wird das Script ausgeführt Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 12

13 Testen auf XSS Schwachstellen Bei Webseiten, die Benutzereingaben als Teil der generierten Webseite zurücksenden, gibt man ein einfaches Javascript ein: <script> alert( Cross-Site Scripting funktioniert )</script> Bei Erfolg öffnet sich ein Popup-Fenster! Dies bedeutet, dass der Webserver vom Benutzer eingegebene Javascripts in generierte Webseiten übernimmt! Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 13

14 Was kann man mit XSS tun? Schafft es ein Angreifer, Javascript Code im Browser eines Opfers ausführen zu lassen, ist z.b. folgendes möglich: - Nachladen von beliebigem weiteren Javascript Code von einem Server - Auslesen der aktuell verwendeten Session-ID und damit Übernahme einer Session, Session Hijacking (e-commerce, e-banking ) - Dynamisches Anpassen der Webseite während des Lade-/Rendering- Vorgangs, z.b. um den Login-Screen zu ersetzen Problem für den Angreifer: Um Javascript im Browser eines anderen Benutzers ausführen zu lassen, muss dieser Benutzer selbst das Javascript an den Webserver senden. Wie kann der Angreifer das erreichen? - Kann als Link in einer HTML-Seite eingebaut werden - Klickt das Opfer auf den Link lädt es die Webseite mit dem JavaScript - Angreifer platziert Link in SpamMail oder in Forum Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 14

15 Was sollte man tun? Nie bedenkenlos unbekannte Links anwählen! Nie Benutzerdaten direkt in SQL-Queries einfügen! Immer: Serverseitige Validierung aller Daten von Benutzern! In PHP immer folgende Funktionen verwenden: - mysql_real_escape_string($_post[ name ]); - stripslashes($name); Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 15

16 Zusammenfassung Schwachstellen in Webapplikationen sind heute das grosse Angriffsziel. Die zwei relevantesten Attacken sind SQL-Injection und Cross-Site Scripting. Bei SQL Injection manipuliert der Angreifer durch gezielte Benutzereingaben SQL Abfragen auf eine Datenbank. Dadurch kann er sich Zugang zu Daten verschaffen. Bei Cross-Site Scripting fügt der Angreifer Scripts (JavaScript) in Webseiten ein, um teilweise die Kontrolle über den Browser eines Opfers zu erhalten. Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 16

17 Demo: Schlechte DBs im Netz Wir halten einen «Ehrenkodex» ein, d.h. wenn wir eine schlechte Webanwendung finden, würden wir diese niemals missbrauchen oder irgendwelchen Schaden anrichten. Für den Unterricht bin ich dankbar, wenn falls Sie mir Beispiele von ungeschützten Webapplikationen melden, damit wir diese im Unterricht besprechen können. Beispiel: Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 17

18 Hacker-Demo: Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 18

19 Hacker-Demo: «LOG OUT» zeigt, dass wir nun eingeloggt sind! Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 19