losgeht s

Transkript

1 losgeht s 1

2 Agenda erläutern 2

3 Warum jetzt zuhören? 3

4 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank der Webanwendung) [ ] beobachtet. CWE Top 25 Platz 2 Weakness Prevalence Consequences Remediation Cost Ease of Detection Attack Frequency Attacker Awareness High Data loss, Security bypass Low Easy Often High CWE = Common Weakness Enumeration A Community-Developed Dictionary of Software Weakness Types BSI = Bundesamt für Sicherheit in der Informationstechnik --- BSI: gefährlichste Schwachstellen, Q4/10 ( 4

5 alslagebericht_04_2010_ html) Platz 2! ( Einstufung der CWE ( CWE -> 4

6 6 Schlagzeilen! Sonys nicht endender Alptraum jap. und griech. Seite via SQL-Injection ( Barracuda Networks durch SQl-Injection-Lücke in PHP Script ( Sicherheitsfirma html) MySQL.com Schnittstelle ( Injection html) HBGary und Anonymous ( Sicherheitsfirma html) Masseninfektion über SQL-Injection[ Seiten!] ( jection, 5

7 kaspersky.com hacked ( StudiVZ-Lücke ( 5

8 nun zu Was ist das eigentlich? 6

9 ganz platt gesagt so siehtsaus nur 2 Voraussetzungen Auflistung bekannter Vertreter 7

10 Was ist mit SQL-Injection möglich? 8

11 Authentication Bypass (unerlaubter Login) Informationsdiebstahl (unberechtigte Informationen erlangen) Denial of Service (Server außer Gefecht setzen) Datenmanipulation (Daten unberechtigt verändern) Übernahme des Servers 9

12 Authentication Bypass => Einloggen ohne Kenntnis von Zugangsdaten PHP _GET => Übergabeparameter aus Formular 1.pass immer true 2. auskommentieren (Ausbruch aus ) 10

13 1. Kundentabelle (langweilig!) 2. Tabelle mit Logins Kunden-Detail-Seite mit ID-Übergabe fetter Code injected UNION SELECT - gleiche Parameterzahl - Datentypen übereinstimmend = gar nicht so einfach => Resultat (wenn Ausgabe sichtbar!) auch mit INSERT? => ja, über INNER SELECT 11

14 Viel Last = kein Service Idealfall bei Suche über viele Datensätze Last erzeugen: - aufwendige Funktionsaufrufe - direkter shutdown(batched/ stacked query) 12

15 einfach mal alles löschen oder alle Datensätze manipulieren oder gleich eine Tabelle oder einen Benutzer mit Adminrechten 13

16 nicht ganz so einfach abhängig von vielen Parametern Dateien auslesen wie im Penetrations-Test => Zugangsdaten gewinnen 14

17 Prinzip nun klar folgendes muss noch erwähnt werden! 15

18 Punkte erläutern. 16

19 ist natürlich aufwendiger Conditional Responses Queryergebnis sichtbar 1 mathematische Operationen id = 4 gehtauchid = stringverknüpfung 3 AND 1=1 und AND 1=0 Conditional Errors kein Queryergebnis/Fehlermeldung sichtbar Anwendung reagiert anders CASE WHEN Fehler auslösen oder nicht Fehler z.b. div/0 rantasten Time Delays die Webseite macht keinen muks da istdie ZeitunserFreund CASE WHEN mit Denail of Service 17

20 Out-of-Band Channeling alternativer Rückkanal: HTTP Request Funktion gar DB Verbindungsfunktion sehr DB und Konfigurationsspezifisch 17

21 gibt es auch 18

22 DBMS herausbekommen für detaillierter Angriffe. blindin Kombi mit CASE WHEN 19

23 Ziel: Informationen extrahieren Voraus: Query mit Ausgabe und Fehlermeldungen 1 bereits gezeigt 2 probieren UNION SELEC null Anzahl: ORDER BY X 3 auch probieren test, null, 1 etc. 4 nicht alles in der Query wird auch gezeigt 5 Versionsinfo ausgeben 6 System gezielt angreifen 20

24 nun mal was, was man dagegen machen kann! 21

25 Abwehrmaßnahmen sind einfach! ALLE Benutzereingaben überprüfen (Framework nutzen!) Rechte kleinhalten keine Fehlerausgabe Sicherheitslücken im DBMS beseitigen 22

26 Geht das auch wirklich? Browser: Chrome Proxy: WebScarab(OWASP) Ziel: WebGoat(OWASP) => Virtuelle Machine OWASP = Open Web Application Securtiy Project transparente non-profit, open community 23

27 Quellen 24

28 Ende. 25