Netzwerksicherheit Übung 9 Websicherheit

Transkript

1 Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 1 / 21

2 Hausaufgabe David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 2 / 21

3 Wie werde ich Hacker? David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 3 / 21

4 Google-Hacking Sicherstellen, dass keine kritischen Dateien von außen erreichbar sind. Erst recht nicht von google! filetype:pwd service filetype:bak inurl: config.inc.php filetype:properties inurl:db intext:password VNC Desktop inurl:5800 This file was generated by Nessus David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 4 / 21

5 Wie finden Angreifer ihre Ziele? Ping-Sweeps Port-Scanning TCP-Connect SYN FIN ACK NULL-Scan, UDP-SCAN nmap -st ss sf sa SN <host> Betriebssystem erkennen Stack-Fingerprinting, TCP Fenstergröße, ACK-Werte,... nmap -O <host> Gegenmaßnahmen Keine Wirklichen ICMP blockieren Filtered Ports Port-Scan Detektor David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 5 / 21

6 Wie finden Angreifer ihre Ziele? Banner-Grabbing Services verraten sehr viel über sich oder gar das gesamte System Dies ermöglicht Suche: Horizontal nach einem bestimmten Dienst Vertikal nach irgendeinem verwundbarem Dienst Gegenmaßnahmen Maulkorb für Services Irreführen durch falsche Banner Portscan-Detektor David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 6 / 21

7 Top 10 der Sicherheitslücken Open Web Application Security Project (OWASP) OWASP Top Ten 2010? David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 7 / 21

8 Top 10 der Sicherheitslücken Open Web Application Security Project (OWASP) OWASP Top Ten 2010 David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 7 / 21

9 Informationen und Standardpfade Zu aufschlussreiche Fehlermeldungen geben Informationen preis Standardpfade können bruteforced werden phpinfo phpmyadmin install.php David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 8 / 21

10 PHP: Register_Globals Soll dem Programmierer erlauben anstatt $_GET[ User ] oder $_SESSION[ User ] nur $User zu benutzen Erlaubt das Überschreiben von Variablen über GET oder POST Kann bei Erraten oder Kennen von Code zu erheblichen Sicherheitslücken führen Code, der register_globals benötigt nicht benutzen David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 9 / 21

11 PHP: Register_Globals Macht doch keiner mehr! David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 10 / 21

12 PHP: Register_Globals Macht doch keiner mehr! David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 10 / 21

13 SQL Injections Immer noch Sicherheitslücke Nr. 1 Fehlende Eingabevalidierung in GET und POST requests führt zur Ausführung beliebiger SQL Statements Auch über Cookie-Inhalte möglich David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 11 / 21

14 SQL Injections Immer noch Sicherheitslücke Nr. 1 Fehlende Eingabevalidierung in GET und POST requests führt zur Ausführung beliebiger SQL Statements Auch über Cookie-Inhalte möglich David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 11 / 21

15 Schutz vor SQL Injections Jede Eingabe des Users überprüfen Sonderzeichen in Eingaben escapen Prepared Statements Datenbanksystem bekommt ganzes Statement vor den Parameterwerten SELECT user, password FROM tbl_user WHERE (user=?) Server bereitet Statement zur Ausführung vor Danach werden Parameter einzeln übergeben Sogar deutlich schneller bei wiederholter Ausführung eines Statements David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 12 / 21

16 XSS - Cross-Site-Scripting Nicht-Persistentes Cross-Site-Scripting Einschleussen von Schadcode/Fremdscripten über GET oder POST-Methode Schadcode wird nicht permament auf Seite eingebettet Opfer muss auf einen Link gelockt werden Persistentes Cross-Site-Scripting Schadcode wird permanent in die Seite eingebettet Jeder Besucher der manipulierten Seite ist potentiell angreifbar David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 13 / 21

17 Schutz vor XSS User-Eingaben grundsätzlich für gefährlich halten Genaue Prüfung von Usereingaben HTML-Sonderzeichen codieren/escapen/filtern Als Client: Scripte ausschalten/whitelisten David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 14 / 21

18 Session-Hijacking Ein Angreifer versucht in den aktuellen Kontext einer Verbindung zwischen Opfer und Server einzusteigen und die Identität des Opfers anzunehmen Session fixation Angreifer versucht dem Opfer eine ihm bekannte Session-ID zu geben Session sidejacking Abgreifen des Session-Cookie durch Wireshark oder aehnliches via XSS User schickt ohne Mitwissen sein Session-Cookie an die Seite eines Angreifers Angreifer setzt sein Session-Cookie auf die abgehörte Session-ID David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 15 / 21

19 Schutz vor Session-Hijacking Lösungen auf Server Seite zu suchen Session-IDs nicht ratbar wählen Nicht nur Session-ID als Authentifizierung benutzen Session-IP-Tupel speichern David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 16 / 21

20 Cross-Site Request Forgery (CSRF) aka Session Riding Problem: Browser sendet manche Credentials automatisch Ablauf: David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 17 / 21

21 Cross-Site Request Forgery (CSRF) aka Session Riding Problem: Browser sendet manche Credentials automatisch Ablauf: 1 Opfer benutzt Browser um sich bei Website A anzumelden 2 Browser speichert Credentials 3 Angreifer bringt Browser des Opfers dazu, präparierten HTTP-Request an Website A zu schicken 4 Browser verwendet gespeicherte Credentials 5 Website A verarbeitet HTTP-Request Angriffsvektoren: David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 17 / 21

22 Cross-Site Request Forgery (CSRF) aka Session Riding Problem: Browser sendet manche Credentials automatisch Ablauf: 1 Opfer benutzt Browser um sich bei Website A anzumelden 2 Browser speichert Credentials 3 Angreifer bringt Browser des Opfers dazu, präparierten HTTP-Request an Website A zu schicken 4 Browser verwendet gespeicherte Credentials 5 Website A verarbeitet HTTP-Request Angriffsvektoren: <a href=" David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 17 / 21

23 Cross-Site Request Forgery (CSRF) aka Session Riding Problem: Browser sendet manche Credentials automatisch Ablauf: 1 Opfer benutzt Browser um sich bei Website A anzumelden 2 Browser speichert Credentials 3 Angreifer bringt Browser des Opfers dazu, präparierten HTTP-Request an Website A zu schicken 4 Browser verwendet gespeicherte Credentials 5 Website A verarbeitet HTTP-Request Angriffsvektoren: <a href=" <img src=" David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 17 / 21

24 Cross-Site Request Forgery (CSRF) aka Session Riding Problem: Browser sendet manche Credentials automatisch Ablauf: 1 Opfer benutzt Browser um sich bei Website A anzumelden 2 Browser speichert Credentials 3 Angreifer bringt Browser des Opfers dazu, präparierten HTTP-Request an Website A zu schicken 4 Browser verwendet gespeicherte Credentials 5 Website A verarbeitet HTTP-Request Angriffsvektoren: <a href=" <img src=" <form action=" ><input type="hidden"... David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 17 / 21

25 Schutz vor CSRF nicht (nur) auf automatisch übertragene Credentials verlassen (z.b. durch Tokens in allen Links) nochmalige Eingabe des Passworts vor gefährlichen Aktionen David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 18 / 21

26 Insecure Direct Object References Server lädt Ressourcen nach ohne ihre Validität zu prüfen Erlaubt Angreifer u.u. beliebige Scripte nachzuladen Führt oftmals zur totalen Komprimittierung des Systems David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 19 / 21

27 Insecure Direct Object References Server lädt Ressourcen nach ohne ihre Validität zu prüfen Erlaubt Angreifer u.u. beliebige Scripte nachzuladen Führt oftmals zur totalen Komprimittierung des Systems Gegenmaßnahme: Programmieren lernen David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 19 / 21

28 A7,A9,A10 Failure to Restrict URL Access User kann Webseite direkt aufrufen, umgeht u.u. authentication code, z.b.: User kann auf Konfigurationsdateien und andere kritische Dateien zugreifen Insufficient Transport Layer Security TLS wird nicht für jede kritische Kommunikation zur Webseite verwendet Session-Hijacking durch Abhören von Traffic Firesheep Unvalidated Redirect Forwards User kann von einer vertrauenswürdigen Seite auf eine andere, nicht vertrauenswürdige umgeleitet werden David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 20 / 21

29 Quellen S. McClure et al., Das Anti-Hacker-Buch, bhv, minutes David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 21 / 21