IHK: Web-Hacking-Demo

Transkript

1 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 IHK: Web-Hacking-Demo Achim Hoffmann [email protected] Bayreuth 1. April 2014 sic[!]sec GmbH

2 spezialisiert auf Web Application Security > 12 Jahre. Penetrationstests WAF Web Application Firewall Web-Anwendungsentwicklung SCA - Source Code Analysen System-Programmierung (Unix) Guidlines, Policies Software-Entwicklung (CAD) Workshop, Seminare OWASP Germany, Board Member ([email protected]) AppSec EU 2013, OWASP Day 201x (Orga-Team) sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34

3 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Veröffentlichungen BSI-Maßnahmenkatalog und Best Practices OWASP Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen Einsatz von Web Application Firewalls WASC Web Application Firewall Evaluation Criteria WASC-TC The WASC Threat Classification HTTP State Management Mechanism (Cookie) RFC 6265

4 Veröffentlichungen Artikel, Paper /WebSec_pdf.pdf %C3%BCfung_von_W ebanwendungen_v101.de.pdf Tools sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34

5 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Agenda das Internet Probleme sind... OWASP Top 10 Unsichere direkte Objektreferenz SQL-Injection XSS Lösungen

6 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 eine kleine Welt... das Internet

7 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 meine kleine Welt... mein Internet

8 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Problem sind nicht nur..., GCHQ, NSA, PRISM, Tempora, XKeyScore,... Viren, Trojaner,...

9 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Problem Internet reale Welt... Ihre Kronjuwelen...

10 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Problem Webserver Ziel der Web-Hacking-Demo: Schwachstellen im Webserver zeigen (nicht Browser!) Auffinden der Schwachstellen Ausnutzen der Schwachstellen Cyber-Spionage Lösungsansätze skizzieren

11 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Problem Webserver Ziel der Web-Hacking-Demo: Schwachstellen im Webserver zeigen (nicht Browser!) Auffinden der Schwachstellen Ausnutzen der Schwachstellen Cyber-Spionage Lösungsansätze skizzieren Ziel Sicherheitsbewustsein beim Betreiber schaffen

12 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 OWASP Top 10 A1 - Injection A2 - Broken Authentication and Session Management A3 - Cross-Site Scripting (XSS) A4 - Insecure Direct Object Reference A5 - Security Misconfiguration A6 - Sensitive Data Exposure A7 - Missing Function Level Access Control A8 - Cross-Site Request Forgery (CSRF) A9 - Using Components with Known Vulnerabilities A10 - Unvalidated Redirects and Forwards Ref.:

13 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 OWASP Top 10 Ref.:

14 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 OWASP Top 10 Ref.: einfach zu finden, einfach auszunutzen und ernste technische Auswirkungen aktuelles Beispiel ( ): 2.5 Millionen Nutzerdaten bei chip.de

15 OWASP Top 10 Ref.: einfach zu finden, einfach auszunutzen und ernste technische Auswirkungen aktuelles Beispiel ( ): 2.5 Millionen Nutzerdaten bei chip.de A4 - Unsichere direkte Objektreferenz A1 - Injection (SQL-Injection) A3 - XSS (Cross-Site-Scripting) sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34

16 Demo: Schwachstellen Unsichere direkte Objektreferenz Opfer: Benutzer, Kunden (evtl. Betreiber) Angriff: Vertraulichkeit Ergebnis: Benutzernamen und Passwörter Injection (SQL-Injection) Opfer/Geschädigter: Webseite (Daten des Eigentümers) und Kunden Angriff: Datenintegrität und Vertraulichkeit Ergebnis: alle Datenbank-Tabellen der Anwendung mit Inhalt XSS (Cross-Site-Scripting) Opfer: Benutzer der Anwendung (Browsers) Angriff: Vertrauenskontext (Benutzer vertraut Webseite) Ergebnis: Benutzername und Passwort erschleichen Ergebnis: Anmeldung als Admin ohne Benutzername und Passwort sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34

17 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Demo: Werkzeuge Firefox

18 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Demo: Werkzeuge Firefox Chromium

19 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Firefox Chromium Internet Explorer Demo: Werkzeuge

20 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Demo: Werkzeuge Firefox Chromium Internet Explorer... sowohl Opfer als auch Angreifer!

21 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Demo: Werkzeuge Firefox Chromium Internet Explorer... sowohl Opfer als auch Angreifer! gu.ck eigene Tools: catch.cgi und guck.cgi bwa OWASP Broken Web Applications Ref.:

22 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Demo: Werkzeuge Firefox Chromium Internet Explorer... sowohl Opfer als auch Angreifer! gu.ck eigene Tools: catch.cgi und guck.cgi bwa OWASP Broken Web Applications Ref.: (beliebige Plattform, jeder Browser, auch Smartphones) 202c STGB?

23 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Demo: Unsichere direkte Objektreferenz //badstore/robots.txt //badstore/backup //badstore/backup/userdb.bak speichern in userdb.bak term://demo... echo "john --format=raw-md5 userdb.bak"

24 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Demo: SQL-Injection //bwa/dvwa/ admin/admin //bwa/dvwa/vulnerabilities/sqli/ 1 3 2'or'2'='2 term://demo... sqlmap -c dvwa-quick.ini sqlmap -c dwva-all.ini sqlmap -c dwva-all.ini --dump

25 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Demo: XSS Angriff auf Integrität und Authenzitat Reflektiertes XSS nur während der (Browser-)Sitzung nur der Anwender im Browser betroffen Persistentes (stored) XSS unabhängig von (Browser-)Sitzung viele Anwender im Browser

26 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Demo: Reflektiertes XSS WackoPicko.com (/WackoPicko/) Home (/WackoPicko/users/home.php) Upload (/WackoPicko/pictures/upload.php) Recent (/WackoPicko/pictures/recent.php) Guestbook (/WackoPicko/guestbook.php) Login (/WackoPicko/users/login.php) Welcome to WackoPicko On WackoPicko, you can share all your crazy pics with your friends. But that's not all, you can also buy the rights to the high quality version of someone's pictures. WackoPicko is fun for the whole family. New Here? Create an account (/WackoPicko/users/register.php) Text <b>fett</b> Hallo <script>alert("heureca");</script> style="position:relative;top:-2em" background:white; height:4em; style="height:4em;background:white;position:relative;top:-4em"

27 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 //gu.ck/lab/cgi/guck.cgi Demo: Login sammeln :44:08 Unsere Besucher Datum Data args IP cookie=23 - p= PHPSESSID=snr6rmm47poupb2rv0ljjpo4j3;%20Loggedin=True gu.ck testen reset

28 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 //bwa/peruggia/ Demo: Persistentes XSS (Opera) user/user Text <s>durch</s>gestrichen Hallo <script>alert("nettes Bild");</script> (Opera) reload

29 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Demo: Persistentes XSS: Angreifer user1/user1

30 Demo: Persistentes XSS: Opfer (Admin) admin/admin (Opera) Admin Users->ESS Users klick user1 Edit bei Employee... Search Employees hover first sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34

31 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Demo: XSS: Admin übernehmen :44:08 Unsere Besucher Datum Data args IP cookie=23 - p= PHPSESSID=snr6rmm47poupb2rv0ljjpo4j3;%20Loggedin=True user1 oder kein User 2. submenutop=home1 reset Cookie setzen: PHPSESSID Loggedin

32 Lösungen Penetrationstest automatisiert Penetrationstest manuell Sicherheits-Check für Webseiten Sicherheitsaudit SCA - Source Code Analyse (automatisiert) SDLC - Software Development Live Cycle WAF - Web Application Firewall Sicherheit ist ein Prozess und kein Produkt. sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34

33 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Fragen? Danke fürs Zuhören Achim Hoffmann sic[!]sec GmbH

34 sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April von 34 Referenz der verwendeten Bilder Ref.: 29mar14 Ref.: 29mar14 Ref.: 28mar14 Ref.: 28mar14 Ref.: 11mar13