DOAG 2016 Oracle APEX Security

Größe: px

Ab Seite anzeigen:

Download "DOAG 2016 Oracle APEX Security"

Leon Hafner
vor 5 Jahren
Abrufe

Für die Restricted Einstellung sind nur folgende Items vorgesehen: Display as Text (escape special characters, does not save state) Display as Text (does not save state) Display as Text (based on

5 Für die Restricted Einstellung sind nur folgende Items vorgesehen: Display as Text (escape special characters, does not save state) Display as Text (does not save state) Display as Text (based on LOV, does not save state) Display as Text (based on PLSQL, does not save state) Text Field (Disabled, does not save state) Stop and Start HTML Table (Displays label only) DOAG 2016 Oracle APEX Security

6 Stichwörter: Prüfsummen DOAG 2016 Oracle APEX Security

Legen Sie eine Verschüsselungsfunktion in der Datenbank an. Dies ist auf diese Weise in allen Version und Edition ohne Zusatzoptionen möglich.

7 Legen Sie eine Verschüsselungsfunktion in der Datenbank an. Dies ist auf diese Weise in allen Version und Edition ohne Zusatzoptionen möglich. Danach wird ein Report angelegt, der die Spalte, die verschlüsselt in ein Item gesetzt werden soll: Report: SELECT "EMPNO","ENAME","JOB","MGR","HIREDATE","SAL","COMM", "DEPTNO",crypt(empno) as empno_enc FROM "EMP" Auf der Zielseite haben wir ein Hilfsitem vom Typ Hidden angelegt, das die verschlüsselten Daten von empno_enc übernimmt. REM Hilfsitem P1_EMPNO_ENC überträgt Werte in P1_EMPNO mittels Before Header Computation SELECT to_number(crypt(:p1_empno_enc,cryptmode=>'d')) FROM dual DOAG 2016 Oracle APEX Security

Hier geht es vor allem darum, dass es mit Firebug (oder anderen Tools) möglich ist, in eine Dropdownliste einen Wert "einzuschleusen" der in dieser normalerweise nicht vorhanden ist.

12 Hier geht es vor allem darum, dass es mit Firebug (oder anderen Tools) möglich ist, in eine Dropdownliste einen Wert "einzuschleusen" der in dieser normalerweise nicht vorhanden ist. Dadurch kann der "Angreifer" unvorhergesehene Effekte auslösen. Mit einem "After Submit Prozess" können solche unerwarteten Angaben gefunden und neutralisiert werden. Stichwörter: Gefälschte Formularwerte DOAG 2016 Oracle APEX Security

Hinweis: Da der Appliaktionsbenutzer meist kein Zugriff auf die Verwaltungsdaten des APEX Benutzers (Schema apex_040200 oder ab 5.

16 Hinweis: Da der Appliaktionsbenutzer meist kein Zugriff auf die Verwaltungsdaten des APEX Benutzers (Schema apex_ oder ab 5.0 apex_050000) hat müssen Sie entweder eine View anlegen: CREATE OR REPLACE VIEW apex_app_items AS SELECT FLOW_STEP_ID, NAME, NAME_LENGTH, CSIZE, CMAXLENGTH, CHEIGHT FROM APEX_ WWV_FLOW_STEP_ITEMS where flow_id=<3000; Oder Sie vergeben direct die Rechte an der Tabelle mittels: grant select on APEX_ WWV_FLOW_STEP_ITEMS to scott; DOAG 2016 Oracle APEX Security

Dieser Applikationsprozess wird gesetzt auf "On Submit before Computation and Validation" Wird erkannt das z.b. mittels Firebug jemand die Feldlängen der Items erhöht hat, erfolgt noch vor dem beenden der Seiten ein ABSTURZ!

17 Dieser Applikationsprozess wird gesetzt auf "On Submit before Computation and Validation" Wird erkannt das z.b. mittels Firebug jemand die Feldlängen der Items erhöht hat, erfolgt noch vor dem beenden der Seiten ein ABSTURZ! Sie können z.b. die Information zusätzlich in einer Tabelle speichern, wann welches Item mit welchem Inhalt versucht wurde zu hacken. Damit lernt man etwas über die Vorgehensweise des Hackers kennen. DOAG 2016 Oracle APEX Security

22 Hinweis: Fast noch schlimmer ist die Kombination mit einem UNION. So können z.b. evtl. Benutzernamen und gehashte Passwörter aus der DB gelesen werden. UNION SELECT username ':' password from dba_users; Stichwörter: SQL Injection DOAG 2016 Oracle APEX Security

26 Tipp für VBA Programmierer: Dim cmd As ADODB.Command, rs as ADODB.Recordset With cmd Set.ActiveConnection = cn Set.CommandType = adcmdtext Set.CommandString = "SELECT spalte FROM tab WHERE id=paramsp2".parameters.append.createparameter("paramsp2", advarchar, adparaminput, 25, spalte2wert) '25 ist die max. länge Set rs =.Execute End With Stichwörter: Gefährliche Module DOAG 2016 Oracle APEX Security

27 Beispiel: SELECT * FROM ( WITH PROCEDURE p(id IN NUMBER) IS BEGIN DBMS_OUTPUT.put_line('id=' id); END; FUNCTION f(id IN NUMBER) RETURN NUMBER IS p(id); RETURN id; END; SELECT f(object_id) FROM all_objects WHERE rownum <1000 ) BEGIN DOAG 2016 Oracle APEX Security

Beispielcode: CREATE OR REPLACE FUNCTION test_inject ( p_statement IN VARCHAR2, p_object_list IN VARCHAR2 DEFAULT NULL) RETURN NUMBER IS PRAGMA AUTONOMOUS_TRANSACTION; str VARCHAR2(2000); v_obj_list

28 Beispielcode: CREATE OR REPLACE FUNCTION test_inject ( p_statement IN VARCHAR2, p_object_list IN VARCHAR2 DEFAULT NULL) RETURN NUMBER IS PRAGMA AUTONOMOUS_TRANSACTION; str VARCHAR2(2000); v_obj_list VARCHAR2(32760); BEGIN DELETE FROM sec_plan_table; EXECUTE IMMEDIATE 'EXPLAIN PLAN INTO sec_plan_table FOR ' p_statement; COMMIT; SELECT listagg(object_name,',') WITHIN GROUP (ORDER BY object_name) INTO v_obj_list FROM sec_plan_table WHERE object_name IS NOT NULL AND object_type='table'; IF p_object_list<>v_obj_list THEN RAISE_APPLICATION_ERROR(-20499,'Objektliste ungültig:' p_object_list '<>' v_obj_list); -- Für Debuggungzwecke drin RETURN -1; END IF; RETURN 0; END; / DOAG 2016 Oracle APEX Security

29 Beispiele, die OK sind: SELECT DBMS_ASSERT.simple_sql_name('"0Bond"') FROM dual; CHECK_INPUT "0Bond" SELECT DBMS_ASSERT.simple_sql_name('Bond') FROM dual; CHECK_INPUT Bond Stichwörter: SQL Injection Lösungen DOAG 2016 Oracle APEX Security

Oracle hatte bis Version 11.1.0.6 folgendes Problem: SELECT utl_inaddr.get_host_name((select name '=>' password FROM sys.

30 Oracle hatte bis Version folgendes Problem: SELECT utl_inaddr.get_host_name((select name '=>' password FROM sys.user$ where rownum=1)) FROM dual; =>SQL Error: ORA-29257: Host SYS=>4DE42795E66117AE unbekannt Oder setzen Sie alternativ folgenden Select ein: SELECT utl_inaddr.get_host_name((select name '=>' password '=>' spare4 FROM sys.user$ WHERE astatus=0 AND type#=1 AND rownum=1)) FROM dual; Stichwörter: SQL Injcetion, dbms_assert DOAG 2016 Oracle APEX Security

31 Stichwörter: SQL Injcetion, dbms_assert DOAG 2016 Oracle APEX Security

32 Stichwörter: SQL Injcetion, dbms_assert DOAG 2016 Oracle APEX Security

Hinweis: Welche Unterschiede weisen die Benutzer hier auf: Workspace administrators (rot): Sind in der Lage, Applikationen und Datenbank-Objekte zu erzeugen und zu modifizieren Sie können

36 Hinweis: Welche Unterschiede weisen die Benutzer hier auf: Workspace administrators (rot): Sind in der Lage, Applikationen und Datenbank-Objekte zu erzeugen und zu modifizieren Sie können Benutzer-Accounts und Gruppen administrieren und Services erstellen Developers (gelb): Sind in der Lage, Applikationen und Datenbank Objekte zu erzeugen und zu modifizieren End users (grün): Haben keine Entwicklungsrechte und können eine Applikation nur benutzen (wenn diese nicht external authentication scheme verwendet). Stichwörter: Benutzergruppen DOAG 2016 Oracle APEX Security

37 Stichwörter: Benutzergruppen DOAG 2016 Oracle APEX Security

38 Stichwörter: Benutzerauthentifizierung DOAG 2016 Oracle APEX Security

39 Legen Sie Benutzernamen nicht im Klartext in eine Tabelle sondern z.b. wenigstens kodiert: utl_raw.cast_to_raw('marco') utl_raw.cast_to_varchar2('4d f') Stichwörter: Authentifizierung durch PL/SQL DOAG 2016 Oracle APEX Security

40 Legen Sie Benutzernamen nicht im Klartext in eine Tabelle sondern z.b. wenigstens kodiert: utl_raw.cast_to_raw('marco') utl_raw.cast_to_varchar2('4d f') Stichwörter: Authentifizierung durch PL/SQL DOAG 2016 Oracle APEX Security

Ähnliche Dokumente

Oracle APEX Security. (in den Zeiten der Cholera)

Oracle APEX Security. (in den Zeiten der Cholera) Oracle APEX Security (in den Zeiten der Cholera) Muniqsoft GmbH Tätigkeitsbereiche: Oracle IT-Consulting & Services und Software-Lösungen Oracle Support Hotline: Mo-Fr 8.00 18.00 Uhr Erweiterung um Rufbereitschaft