<Insert Picture Here> APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung. Carsten Czarski, ORACLE Deutschland B.V. Co.

Transkript

1 <Insert Picture Here> APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung Carsten Czarski, ORACLE Deutschland B.V. Co. KG

2 Themen Grundsätzliches zur APEX-Architektur Security-Attribute in APEX APEX-Instanz, Workspace, Anwendung Sicherheit in der APEX-Anwendung... Grundsätzliche Dinge: Code-Organisation und mehr... Autorisierung: Was sollte beachtet werden? Session State Protection, SQL Injection, XSS Verwendung von Plugins Das APEX-Dictionary für 'Security-Audits' nutzen

3 Sichere APEX Umgebungen APEX ARCHITEKTUR

4 Application Express: Architektur

5 APEX: Beteiligte Datenbankschemas -I- APEX-Engine: APEX_ Enthält APEX-Engine und Metadaten Hochprovilegiert Sollte stets gesperrt sein SQL> ALTER USER APEX_ IDENTIFIED BY VALUES 'APEX' 2 ACCOUNT LOCK; Connect-User: APEX_PUBLIC_USER Physikalische DB-Verbindung als dieser User Hält nur das CREATE SESSION Privileg Nur für APEX Webserver verwenden Passwort schützen!

6 APEX: Beteiligte Datenbankschemas -II- APEX-Engine: FLOWS_FILES Enthält hochgeladene Dateien Sollte stets gesperrt sein SQL> ALTER USER FLOWS_FILES IDENTIFIED BY VALUES 'APEX' 2 ACCOUNT LOCK; Workspace Schema: SCOTT, USER01,... Hält die Anwendungsobjekte Parsing Schema für Anwendungs-SQL Hält für die Anwendung nötige Privilegien Bei reinem APEX-Betrieb kann der Account gesperrt werden

7 APEX SQL Parsing Vorgehensweise Physikalische Verbindung: APEX_PUBLIC_USER Aufruf der APEX-Engine Bspw. Prozedur "F" APEX_ WWV_FLOW.SHOW Request wird komplett von APEX ausgeführt Ermitteln der Anwendungs-ID aus der URL Abrufen der Anwendungs-Metadaten aus dem Repository Und wie geht das...? Ermitteln des Parsing Schemas aus Metadaten SYS.DBMS_SYS_SQL erlaubt das Ausführen eines SQL mit den Privilegien eines anderen Users. Alle SQL-Kommandos werden ausgeführt... Physikalisch verbunden als APEX_PUBLIC_USER Package ist undokumentiert und nur für Oracle Vorgesehen eigene Nutzung am besten gar nicht. Innerhalb der Prozeduren von APEX_ Mit den Rechten des Parsing Schemas der Anwendung

8 Sichere APEX Umgebungen SICHERHEITS-ATTRIBUTE IN APEX

9 Sicherheit in der APEX-Instanz

10 Sicherheit in der APEX-Instanz

11 Sicherheit in der APEX-Instanz Enable / Disable Admin-Login Enable / Disable Public File Upload Restrict Connection by IP-Address Erzwinge HTTPS-Verbindungen Maximale Dauer einer APEX-Session einstellen Verhalten bei fehlerhaftem Login einrichten Automatisches Account-Locking nach X Fehlversuchen Wartezeiten nach einem Fehlversuch Passwort-Policies einrichten Für APEX-Workspace Für die APEX-Instanz Workspace INTERNAL

12 Sicherheit im APEX Workspace 3 Nutzerklassen Administratoren Entwickler Endbenutzer Workspace-Login nur mit Workspace User möglich Anwendungs-Login anhand Authentifizierungsschema LDAP, SSO, etc... Workspace-User nicht zu empfehlen

13 Sicherheit in der APEX-Anwendung Sicherheitseinstellungen Gemeinsame Komponenten Definition Sicherheit Authentifizierungsschema Deep Linking erlaubt oder nicht? Einstellung des Parsing Schemas Session-Timeout (Instanzwerte überschreiben) Session State Protection (SSP) Browser-Security (Cache, Escaping, IFrame)

14 Beispiel: Browser Security Browser Cache abschalten Einbindung in IFRAMEs verbieten HTML Escaping auch für UTF8-Sonderzeichen

15 Auch Sicherheitsrelevant: Debugging Gemeinsame Komponenten Definition In Produktion: Abschalten!

16 Sichere APEX Umgebungen TIPPS FÜR ENTWICKLER

17 Zunächst: Sicherheit auf allen Ebenen! Auch APEX-Anwendungen sind mehrschichtig 1. Tabellen 2. Views und PL/SQL-Pakete 3. APEX-Applikation Keine Schicht sollte der anderen trauen! Parameter-Prüfung auf allen Ebenen Privilegien-Check nicht nur in APEX, sondern auch in den PL/SQL-Paketen

18 Autorisierungen in APEX - Generelles Bereich Sicherheit in Gemeinsame Komponenten Können an jede Komponente gehängt werden Berichte, Seiten, Prozesse und mehr... Beantwortet die Frage Darf der das? Implementierung ist frei

19 Autorisierungen durchgehend einsetzen Was ist damit gemeint? Die Reiterkarte alleine reicht nicht... Man kann eine Seite auch direkt aufrufen Alle Komponenten schützen!

20 Autorisierungsschemas: Der Code... Es ist wie überall...

21 Autorisierungsschemas: Der Code... Der Code gehört in ein PL/SQL-Paket!

22 APEX Session State Protection Schützt APEX-Urls vor Manipulationen f?p=129:2: ::::p2_deptno:30 ' or 1=1 --

23 APEX Session State Protection Schützt APEX-Urls vor Manipulationen f?p=129:2: ::::p2_deptno:301 Prüfsumme in URL erforderlich APEX-Komponenten generieren diese automatisch Links in APEX-Berichten Erzeugung mit APEX_UTIL.PREPARE_URL

24 APEX Session State Protection SSP hat Grenzen! Schutz nur vor manipulierten URLs Kein Schutz beim Page Submit Eine Browser-UI ist nicht kontrollierbar! Inhalte von Pulldown-Listen können manipuliert werden Java-Script-Checks können umgangen werden Früher mit Browser-Plugins machbar (Firebug) Heute Standardfunktion aller Browser SSP alleine ist kein Schutz! Alle APEX-Items müssen immer geprüft werden! SQL Injection 'Awareness' immer noch nötig

25 SQL Injection und APEX APEX-Elemente: Auf die Syntax kommt es an! Substitution-Syntax (&PX_ITEM.) Die Ersetzung findet vor dem SQL-Parsing statt Bindevariablen-Syntax (:PX_ITEM) Die Ersetzung findet nach dem SQL-Parsing statt Der Zeitpunkt ist wichtig Vor dem SQL-Parsing: Inhalt wird als SQL interpretiert: SQL Injection-Gefahr! Nach dem SQL-Parsing Inhalt wird als Literal ausgefasst: Keine SQL Injection-Gefahr

26 SQL Injection: Ein weiteres Beispiel Ersetzung findet vor dem SQL Parsing statt

27 Cross Site Scripting... Fremder JavaScript-Code wird im Kontext der APEX-Anwendung ausgeführt... Und wie soll das gehen...?

28 Cross Site Scripting... Fremder JavaScript-Code wird im Kontext der APEX-Anwendung ausgeführt... Und wie soll das gehen...?

29 Cross Site Scripting... Fremder JavaScript-Code wird im Kontext der APEX-Anwendung ausgeführt... Und wie soll das gehen...?

30 XSS: Schutz... Im Prinzip einfach: Alle Inhalte vor Verwendung prüfen HTML-Sonderzeichen maskieren APEX-Komponenten richtig einstellen XSS-Gefahr!

31 XSS: Schutz... Im Prinzip einfach: Alle Inhalte vor Verwendung prüfen HTML-Sonderzeichen maskieren APEX-Komponenten richtig einstellen Sicher!

32 XSS: Schutz im PL/SQL Code PL/SQL Funktionen und Packages Funktion HTF.ESCAPE_SC Package APEX_ESCAPE (ab APEX 4.2) Jede Eingabe "behandeln"... SQL> select htf.escape_sc('hallo <b>welt</b>') from dual; HTF.ESCAPE_SC('HALLO<B>WELT</B>') Hallo <b>welt</b> 1 Zeile wurde ausgewählt.

33 APEX Plugins Plugins erweitern die Möglichkeiten von APEX Neue Typen für Formularelemente Neue Regionstypem Dynamic Action Plugins für AJAX-Funktionen Process Type Plugins Authorziation Plugins Authentication Plugins Einige Plugins von Oracle Community-Plugins von apex-plugin.com

34 Community-Plugins

35 Plugins... ist das sicher...? Plugins werden Teil der Anwendung SQL-Ausführung mit Rechten des Parsing Schemas Für den Browser ist das Plugin "die Anwendung" Community-Plugins kommen 'as is' Kein Vertrag - keine Gewährleistung Wer ein Plugin einsetzt, sollte es verstehen! Code Review durchführen "Plugin-Whitelist" im Unternehmen einführen

36 Sichere APEX-Umgebungen DAS APEX-DICTIONARY NUTZEN

37 Das APEX Dictionary nutzen Welche Berichte sind anfällig für XSS..? Welche Anwendungen verwalten ihre Passwörter selbst...? Welche Anwendungen nutzen nicht freigegebene Plugins...? Welche Anwendungen sind anfällig für SQL Injection...? Welche Anwendungen verwenden Session State Protection nicht...?

38 Das APEX Dictionary nutzen Welche Berichte sind anfällig für XSS..? SQL> select application_id, page_id, region_name 2 from apex_application_page_rpt_cols 3 where display_as = 'Standard Report Column' 4 order by 1,2; APPLICATION_ID PAGE_ID REGION_NAME Orders for this Customer Product Image Items for Order #&P29_ORDER_ID Items for Order #&P29_ORDER_ID My Most Recently Edited Meetings Most Recently Edited Meetings Decisions Notes Notes

39 Das APEX Dictionary nutzen Welche Anwendungen verwalten ihre Passwörter selbst...? SQL> select application_id, AUTHENTICATION_SCHEME_TYPE 2 from apex_applications APPLICATION_ID AUTHENTICATION_SCHEME_TYPE Oracle Application Server Single Sign-On 140 Oracle Application Server Single Sign-On 185 No Authentication (using DAD) 178 Oracle Application Server Single Sign-On 195 No Authentication (using DAD) 191 Application Express Accounts 9000 Oracle Application Server Single Sign-On 1801 No Authentication (using DAD) 8 Zeilen ausgewählt.

40 Das APEX Dictionary nutzen Wo werden welche Plugins genutzt...? SQL> select application_id, name from apex_appl_plugins; APPLICATION_ID NAME COM.ORACLE.APEX.MASKED_FIELD 101 COM.ORACLE.APEX.TIMER COM.ORACLE.APEX.TIMER 110 COM.ORACLE.APEX.SIMPLE_CHECKBOX 106 COM.ORACLE.DE.CCZARSKI.DYNAMICQUICKPICKS 112 COM.ORACLE.APEX.TAG_CLOUD 112 COM.ORACLE.APEX.CSS_BAR_CHART 112 COM.ORACLE.APEX.TAGS 112 COM.ORACLE.APEX.SIMPLE_CHECKBOX

41 Weitere Informationen: APEX Community

42