Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

Transkript

1 Secure Coding & Live Hacking von Webapplikationen Conect Informunity Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH

2 Motivation Datendiebstahl über (Web)-Applikationen passiert täglich Interne Mitarbeiter Externe Partner Industriespionage Hacker, Bots und Script Kiddies Nur wenige gelangen an die Öffentlichkeit Die Compliance Anforderungen werden stetig strenger ISO & Lokale Normen Vorgaben bestimmter Branchen wie z.b. PCI-DSS Gesetze: Data Breach Notification nach DSG Novelle 2010 Wie sicher sind: Ihre (Web)-Applikationen? Ihre Daten bei Partnern, Dienstleistern und Firmen? Open Source Komponenten und zugekaufte Software?

3 Applikationen Schwachstellen Schwachstellen haben immer größere wirtschaftliche Auswirkungen Immer mehr Schwachstellen werden gemeldet Quelle: Software Security Engineering, Allen et al

4 Webapplikationssicherheit Schwächen in der Webapplikationen lassen sich nicht durch eine Firewall beheben DB DB Angreifer Firewall

5 SQL-Injection Webapplikation verwendet SQL Abfragen zur Kommunikation mit der Datenbank SQL-Injection-Schwachstelle: Benutzereingaben werden in SQL-Abfragen verwendet ohne Validierung der Benutzereingaben oder entsprechende Behandlung der Benutzereingaben

6 Demo SQL-INJECTION BYPASSING A LOGIN

7 COMMAND INJECTION

8 Cross-Site Scripting (XSS) Erlaubt keinen direkten Angriff auf die Webseite Zielt auf andere Benutzer ab Unterarten Stored XSS Reflected XSS DOM-based XSS Die weitverbreitetste Lücke

9 Cross-Site Scripting (XSS) XSS-Lücke Benutzereingaben vom Server an den Browser geschickt werden Ohne die Daten zu validieren oder bei der Ausgabe zu escapen

10 XSS Warum? Warum Javascript innerhalb von XSS Lücke und nicht gleich eigene böse Seite mit dem Javascript Code? 2 Gründe: Angreifer möchte (oft) das Session-Cookie des Opfers. Same Origin Policy Glaubwürdige URL Link zeigt auf richtige Domainnamen URL-Obfuscation mittels URL-Encoding zum Verschleiern der bösartigen Absichten HTTPS Zertifikatsüberprüfung wird erfolgreich sein

11 Demo STORED XSS

12 Stored XSS - Ablauf 1. Angreifer speichert Forumsnachricht mit bösartigem Javascript Code in der Webapplikation 7. Angreifer übernimmt Session des Opfers Webapplikation 2. Benutzer meldet sich an 3. Benutzer betrachtet die Forumsnachricht des Angreifers 4. Server antwortet mit dem Javascript Code des Angreifers 5. Javascript Codes des Angreifers wird im Browser des Opfers ausgeführt Angreifer 6. Browser des Opfers schickt Session-Token an Angreifer Opfer

13 BeEF Browser Exploitation Framework Demonstriert die Auswirkungen von XSS BeEF + Metasploit + verwundbarer Browser = Vollständige Kompromittierung eines Computersystems Alternativen: XSS Shell

14 Demo BEEF

15 Metasploit Framework Tool: Ausführen und Entwickeln von Exploits Sammlung an Exploits Windows, Unix/Linux, MacOS Komfortable Auswahl der Exploits / Payloads Ausführung der Exploits

16 Bind Shell 1) Exploit mit Bind-Shell als Payload Angreifer Opfer 2) Verbindung zur Bind-Shell nicht möglich

17 Reverse Shell 1) Exploit mit Reverse-Shell als Payload Angreifer Opfer 2) Reverse-Shell verbindet sich selbsständig zum Angreifer

18 Demo ÜBERNEHMEN EINES SYSTEMS DURCH XSS (METASPLOIT & BEEF)

19 CONECT Kurse Fr, 11. März 2011: Webanwendungen sicher entwickeln Secure Coding I Mo, 14. März Di, 15. März 2011: Webanwendungen sicher entwickeln Secure Coding I + II (Kombikurs) Mo, 21. März 2011: Webanwendungen sicher entwickeln für Fortgeschrittene Secure Coding II

20 DANKE Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Office: Sommerpalais Harrach / Favoritenstr. 16 / 1040 Wien