Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Transkript

1 Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus?

2 Bekannt gewordene Schwachstellen & Angriffe

3 Bekannt gewordene Schwachstellen & Angriffe Quelle:

4 Bekannt gewordene Schwachstellen & Angriffe

5 Bekannt gewordene Schwachstellen & Angriffe

6 Vergleich Web-App vs. Applikation Web-Applikation (PHP, JSP, ASP, Ruby, ) Prinzipiell weltweit abrufbar Verwenden von standardisierten Protokollen Häufig sehr typische Entwurfs-Pattern (MVC) Zustandslos Session-Management wird notwendig Kommunikation lässt sich mit Proxy leicht untersuchen und verändern Anwendung (C,C++, VB, C#, Delphi, ) Häufig Installation notwendig In der Regel nur lokal verfügbar Gefundene Schwachstelle nicht sofort ausnutzbar Zustandsbehaftet Kommunikationsflüsse für Anwender nicht ersichtlich

7 Webanwendungen Komplexe Architekturen, basierend auf mehreren Plattformen und Protokollen Web Anwendung HTTP Network Client WebServer Anwendungsserver Datenbank Server Browser Mobil API Apache, IIS PresentaEon Layer Medien AuGereitung von Daten für Client Kapselt die Anwendungs Logic AuthenEfizierung, Session Management Erstellt Inhalte im User Context Liefert Inhalte auf Anfrage des Anwendungsserver z.b. User InformaEonen, Bestände

8 Webanwendungen Kommunikation i.d.r. über HTTP Hauptsächlich Austausch von Web-Inhalten (HTML, Bilder, CSS) Vollständig unter der Kontrolle des Clients Client WebServer Anwendungsserver Datenbank Server Browser Mobil API Apache, IIS PresentaEon Layer Medien AuGereitung von Daten für Client Kapselt die Anwendungs Logic AuthenEfizierung, Session Management Erstellt Inhalte im User Context Liefert Inhalte auf Anfrage des Anwendungsserver z.b. User InformaEonen, Bestände

9 Webanwendungen Internet Intranet Fire wall Datenbank Client Port 80/443 Webserver SAP Fire wall SMB

10 Auftreten von Schwachstellen Plaform AdministraEon Anwendung Bekannte Schwachstellen, z.b. Exploit für Apache Schwache Verschlüsselung z.b. bei älterer Version von IIS AdministraEve FunkEonen nicht ausreichend geschützt, z.b. versteckt Fehlerhade KonfiguraEon UnnöEge FunkEonen akeviert z.b. Server Stats InjecEon Cookies, SQL, XSS, CSRF, Parameter- ManipulaEon Brute Force Fehlende Validierung Session Management

11 Gründe für Angriffe Quelle:

12 Verwendete Angriffstechniken Quelle:

13

14 OWASP Best Practice Guides J2EE Encryption Windows Communication Foundation (WCF) Authentication SSL Virtual Patching Best Practices SDL Session Management Web Application Firewalls Application Code Review OWASP Good Component Practices Project

15 OWASP ZED Attack Proxy

16 OWASP Top 10 Zusammenfassung der Schwachstellen, die am häufigsten bei der Überprüfung von Webseiten erkannt wurden.

17 CWE/SANS Top 25 Quelle:

18 Definition von Cross Site Scripting (XSS) XSS-Schwachstellen treten auf, wenn eine Anwendung nicht vertrauenswürdige Daten entgegen nimmt und ohne entsprechende Validierung und Kodierung an einen Webbrowser sendet. XSS erlaubt es einem Angreifer, Scriptcode im Browser eines Opfers auszuführen und somit Benutzersitzungen zu übernehmen, Seiteninhalte zu verändern oder den Benutzer auf bösartige Seiten umzuleiten. Quelle: hhps://

19 Unterscheidungen von XSS XSS wird je nach Stelle der Infektion bzw. Persistenz unterschieden: Reflektiert oder nicht-persistent sehr häufig / einfach Persistent oder beständig für Angriffe wünschenswert DOM-basiert oder lokal

20 Quelle: hhps://isc.sans.edu/diary.html?storyid=9130

21 Häufige Beispiele für XSS JavaScript-Code alert Eingebunden mit script-element Harmlos, dient zur Veranschaulichung <script type="text/javascript">alert("xss");</script> Nachladen von Java Script aus externen Quellen <script src=" />

22 Reflektiertes XSS Nicht-persistentes oder reflektiertes Cross Site Scripting Benutzereingabe wird vom Server direkt zurückgeliefert Nur temporär, nicht gespeichert ohne manipulierte URL oder Formular nicht enthalten Beispiel: Suche auf einer Webseite Aufruf: Server (PHP): echo <p>sie suchten nach: $_GET[ suche ]</p> ; Ausgabe: Manipuliert: <p>sie suchten nach: Suchbegriff</p> type="text/ javascript">alert("xss")</script>

23 Persistentes XSS Schadcode wird auf dem Webserver gespeichert bei jeder passenden Anfrage ausgeliefert Beispiel: Daten werden in einer Datenbank gespeichert und irgendwann wieder ausgegeben Gästebuch auf einer Webseite Kommentare in Foren Zuletzt angemeldete/neu registrierte Benutzer Manipulierte Nachricht: Eine wirklich sehr informative Website!<script type="text/javascript">alert("xss")</script> Konkreter Angriff: Eine wirklich sehr informative Website!<script src=" />

24

25 DOM basiertes XSS Nur Clientseitig Beispiel: JavaScript wird zum Suchen, Markieren oder Selektieren in bereits geladener Seite verwendet. Bild-Quelle:

26 Zusammenfassung der verschiedenen XSS-Arten Reflektiertes XSS Persistentes XSS DOM-based XSS

27 SQL-Injections SQLI bezeichnen die Vermischung von SQL-Abfragen und von Daten, die mit den Queries kombiniert werden sollen. Durch die Vermischung ändert sich der Sinn der Abfrage.

28 Structured Query Language - einfache Abfrage SELECT id, name, mail, gender FROM Accounts WHERE id = 41;

29 Login-Anfrage per PHP (vereinfacht) $pwdfromuserinput = $_POST[ password ]; Eingegebenes Passwort aus POST-Variable auslesen. $query = Select * from accounts where pwd = md5( $pwdfromuserinput ); ; Datenbank-Abfrage definieren, die Benutzer anhand seines verhashten Kennworts zurück gibt. $result = mysql_query($query); Anfrage an Datenbank abschicken.

30 Login-Anfrage per PHP (vereinfacht) Benutzer hat als Passwort Geheim12345! eingegeben: $pwdfromuserinput = $_POST[ password ]; $query = Select * from accounts where pwd = md5( $pwdfromuserinput ); ; $result = mysql_query($query); Inhalt der Variablen Query: Select * from accounts where pwd = md5( Geheim12345! ); Nutzerdaten sind in $query deutlich zu erkennen.

31 SQL Injection durch immer wahre Aussage Benutzer hat als Passwort xxx ) or ( 1 = 1 eingegeben: $pwdfromuserinput = $_POST[ password ]; $query = Select * from accounts where pwd = md5( $pwdfromuserinput ); ; $result = mysql_query($query); Inhalt der Variablen Query: Select * from accounts where pwd = md5( xxx ) or ( 1 = 1 ); Grenzen zwischen Nutzdaten und query verschwimmen.

32 Öffentliche Fehlermeldungen liefern Hilfe für SQL Injections

33 Durch SQL-Abfragen lässt sich Struktur der Datenbank rekonstruieren Durch einfache SQL-Abfragen lassen sich die Struktur der Datenbank, der Tabellen, die angemeldeten Benutzer und vieles mehr herausfinden. Alle Tabellen incl. Details in der Datenbank anzeigen: SELECT * FROM informaeon_schema.tables WHERE table_schema!= mysql AND table_schema!= informaeon_schema Alle Spalten einer Tabelle anzeigen: SELECT table_schema, table_name, column_name FROM informaeon_schema.columns WHERE table_schema!= mysql AND table_schema!= informaeon_schema

34 Gezielte Suche nach Tabellen mit Passwörtern Auch komplexere Abfragen per SQL- InjecEon sind möglich. Welche Tabelle besitzt eine Spalte deren name "pass" enthält? (Passwort, password, passwd) SELECT FROM WHERE table_schema, table_name informaeon_schema.columns column_name LIKE '%pass%';

35 Blind SQL-Injections ermöglichen Datenübertragung ohne Darstellung am Bildschirm Durch Blind InjecEon kann der Benutzer InformaEonen aus der Datenbank abrufen, obwohl diese nicht am Bildschirm dargestellt werden: Wenn die drime Stelle des Passworts ein "a" ist wird die weitere Bearbeitung um 5 Sekunden pausiert wenn nicht wird sie ohne Zeitverzögerung fortgesetzt. SELECT FROM WHERE if (substr(password 3, 1) == 'a', SLEEP(5), '') Accounts ID=324345;

36 SQL-Injection mit Zugriff auf Dateisystem Durch falsch gesetzte BenutzerberechEgungen sind auch Zugriffe auf das Dateisystem des Servers möglich! Dateien des Servers lesen: SELECT '1' FROM Accounts WHERE 1=2 UNION ALL SELECT LOAD_FILE('/etc/passwd') Dateien des Servers schreiben: SELECT 'pause' FROM dual INTO dumpfile 'C:\Autoexec.bat';

37 XKCD ist super! :) Quelle: hhp://xkcd.com/327/

38 SQL-Injection Tools Spezifische, freie Tools um SQL-Injections zu erproben: sqlmap ( SQL Inject Me (Firefox-Plugin,

39 Cross Site Request Forgery Bei CSRF versucht ein Angreifer einen legitimen Benutzer dazu zu veranlassen, ungewollt eine Aktion in seinem (Berechtigungs-) Kontext auszuführen.

40 Cross Site Request Forgery inject request POST/GET -Request Response

41 Demo - HTML-Webfrontend für Cross Site Request Forgery

42 Demo - PHP-Backend für Cross Site Request Forgery

43 Demo - Cross Site Request Forgery - Angriff mit erwarteten POST- Parametern <script> function SendAttack () { form. = "attacker@example.com"; // send to profile.php form.submit(); } </script> <body onload="javascript:sendattack();"> <form action=" id="form" method="post"> <input type="hidden" name="firstname" value="funny"> <input type="hidden" name="lastname" value="joke"> <input type="hidden" name=" "> </form> </body>

44 Demo - Cross Site Request Forgery - Angriff mit erwarteten GET- Parametern <img src= />

45

46 Hochschule Augsburg HSASec Forschungsgruppe IT- Security + Forensik Noch Fragen?