sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH
spezialisiert auf Web Application Security > 12 Jahre. Penetrationstests WAF Web Application Firewall Web-Anwendungsentwicklung SCA - Source Code Analysen System-Programmierung (Unix) Guidlines, Policies Software-Entwicklung (CAD) Workshop, Seminare OWASP Germany, Board Member (achim@owasp.org) AppSec EU 2013, OWASP Day 201x (Orga-Team) sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 2 von 34
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 3 von 34 Veröffentlichungen BSI-Maßnahmenkatalog und Best Practices OWASP Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen Einsatz von Web Application Firewalls WASC Web Application Firewall Evaluation Criteria WASC-TC The WASC Threat Classification HTTP State Management Mechanism (Cookie) RFC 6265
Veröffentlichungen Artikel, Paper https://www.bsi.bund.de/cae/servlet/contentblob/476464/publicationfile/ 30632/WebSec_pdf.pdf https://www.owasp.org/images/0/00/owasp-projektierung_der_sicherheitspr %C3%BCfung_von_W ebanwendungen_v101.de.pdf http://www.owasp.org/images/1/1b/best_practices_guide_waf.pdf http://www.webappsec.org/projects/wafec/ http://projects.webappsec.org/w/page/13246978/threat%20classification http://www.ietf.org/rfc/rfc6265.txt Tools https://github.com/owasp/o-saft https://github.com/ende/ende https://github.com/ende/emir https://github.com/ende/redos sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 4 von 34
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 5 von 34 Agenda das Internet Probleme sind... OWASP Top 10 Unsichere direkte Objektreferenz SQL-Injection XSS Lösungen
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 6 von 34 eine kleine Welt... das Internet
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 7 von 34 meine kleine Welt... mein Internet
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 8 von 34 Problem sind nicht nur..., GCHQ, NSA, PRISM, Tempora, XKeyScore,... Viren, Trojaner,...
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 9 von 34 Problem Internet reale Welt... Ihre Kronjuwelen...
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 10 von 34 Problem Webserver Ziel der Web-Hacking-Demo: Schwachstellen im Webserver zeigen (nicht Browser!) Auffinden der Schwachstellen Ausnutzen der Schwachstellen Cyber-Spionage Lösungsansätze skizzieren
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 11 von 34 Problem Webserver Ziel der Web-Hacking-Demo: Schwachstellen im Webserver zeigen (nicht Browser!) Auffinden der Schwachstellen Ausnutzen der Schwachstellen Cyber-Spionage Lösungsansätze skizzieren Ziel Sicherheitsbewustsein beim Betreiber schaffen
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 12 von 34 OWASP Top 10 A1 - Injection A2 - Broken Authentication and Session Management A3 - Cross-Site Scripting (XSS) A4 - Insecure Direct Object Reference A5 - Security Misconfiguration A6 - Sensitive Data Exposure A7 - Missing Function Level Access Control A8 - Cross-Site Request Forgery (CSRF) A9 - Using Components with Known Vulnerabilities A10 - Unvalidated Redirects and Forwards Ref.: https://www.owasp.org/index.php/top_10_2013 https://www.owasp.org/index.php/top_10_2013-top_10
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 13 von 34 OWASP Top 10 Ref.: https://www.owasp.org/index.php/top_10_2013
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 14 von 34 OWASP Top 10 Ref.: https://www.owasp.org/index.php/top_10_2013 einfach zu finden, einfach auszunutzen und ernste technische Auswirkungen aktuelles Beispiel (28.3.14): 2.5 Millionen Nutzerdaten bei chip.de
OWASP Top 10 Ref.: https://www.owasp.org/index.php/top_10_2013 einfach zu finden, einfach auszunutzen und ernste technische Auswirkungen aktuelles Beispiel (28.3.14): 2.5 Millionen Nutzerdaten bei chip.de A4 - Unsichere direkte Objektreferenz A1 - Injection (SQL-Injection) A3 - XSS (Cross-Site-Scripting) sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 15 von 34
Demo: Schwachstellen Unsichere direkte Objektreferenz Opfer: Benutzer, Kunden (evtl. Betreiber) Angriff: Vertraulichkeit Ergebnis: Benutzernamen und Passwörter Injection (SQL-Injection) Opfer/Geschädigter: Webseite (Daten des Eigentümers) und Kunden Angriff: Datenintegrität und Vertraulichkeit Ergebnis: alle Datenbank-Tabellen der Anwendung mit Inhalt XSS (Cross-Site-Scripting) Opfer: Benutzer der Anwendung (Browsers) Angriff: Vertrauenskontext (Benutzer vertraut Webseite) Ergebnis: Benutzername und Passwort erschleichen Ergebnis: Anmeldung als Admin ohne Benutzername und Passwort sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 16 von 34
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 17 von 34 Demo: Werkzeuge Firefox
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 18 von 34 Demo: Werkzeuge Firefox Chromium
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 19 von 34 Firefox Chromium Internet Explorer Demo: Werkzeuge
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 20 von 34 Demo: Werkzeuge Firefox Chromium Internet Explorer... sowohl Opfer als auch Angreifer!
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 21 von 34 Demo: Werkzeuge Firefox Chromium Internet Explorer... sowohl Opfer als auch Angreifer! gu.ck eigene Tools: catch.cgi und guck.cgi bwa OWASP Broken Web Applications Ref.: http://www.owasp.org/index.php/owasp_broken_web_applications_project
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 22 von 34 Demo: Werkzeuge Firefox Chromium Internet Explorer... sowohl Opfer als auch Angreifer! gu.ck eigene Tools: catch.cgi und guck.cgi bwa OWASP Broken Web Applications Ref.: http://www.owasp.org/index.php/owasp_broken_web_applications_project (beliebige Plattform, jeder Browser, auch Smartphones) 202c STGB?
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 23 von 34 Demo: Unsichere direkte Objektreferenz 1. 2. 3. //badstore/robots.txt //badstore/backup //badstore/backup/userdb.bak speichern in userdb.bak term://demo... echo "john --format=raw-md5 userdb.bak"
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 24 von 34 Demo: SQL-Injection 1. 2. //bwa/dvwa/ admin/admin //bwa/dvwa/vulnerabilities/sqli/ 1 3 2'or'2'='2 term://demo... sqlmap -c dvwa-quick.ini sqlmap -c dwva-all.ini sqlmap -c dwva-all.ini --dump
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 25 von 34 Demo: XSS Angriff auf Integrität und Authenzitat Reflektiertes XSS nur während der (Browser-)Sitzung nur der Anwender im Browser betroffen Persistentes (stored) XSS unabhängig von (Browser-)Sitzung viele Anwender im Browser
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 26 von 34 Demo: Reflektiertes XSS http://bwa/wackopicko/ WackoPicko.com (/WackoPicko/) Home (/WackoPicko/users/home.php) Upload (/WackoPicko/pictures/upload.php) Recent (/WackoPicko/pictures/recent.php) Guestbook (/WackoPicko/guestbook.php) Login (/WackoPicko/users/login.php) Welcome to WackoPicko On WackoPicko, you can share all your crazy pics with your friends. But that's not all, you can also buy the rights to the high quality version of someone's pictures. WackoPicko is fun for the whole family. New Here? Create an account (/WackoPicko/users/register.php) Text <b>fett</b> Hallo <script>alert("heureca");</script> style="position:relative;top:-2em" background:white; height:4em; style="height:4em;background:white;position:relative;top:-4em"
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 27 von 34 //gu.ck/lab/cgi/guck.cgi Demo: Login sammeln 02.04.2014 09:44:08 Unsere Besucher Datum Data args IP 20.03.2003 cookie=23 - p=192.168.42.42 01.04.2014 PHPSESSID=snr6rmm47poupb2rv0ljjpo4j3;%20Loggedin=True - 192.168.100.1 gu.ck testen reset
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 28 von 34 //bwa/peruggia/ Demo: Persistentes XSS (Opera) user/user Text <s>durch</s>gestrichen Hallo <script>alert("nettes Bild");</script> (Opera) reload
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 29 von 34 Demo: Persistentes XSS: Angreifer http://bwa/orangehrm/ user1/user1
Demo: Persistentes XSS: Opfer (Admin) http://bwa/orangehrm/ admin/admin (Opera) Admin Users->ESS Users klick user1 Edit bei Employee... Search Employees hover first sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 30 von 34
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 31 von 34 Demo: XSS: Admin übernehmen 02.04.2014 09:44:08 Unsere Besucher Datum Data args IP 20.03.2003 cookie=23 - p=192.168.42.42 01.04.2014 PHPSESSID=snr6rmm47poupb2rv0ljjpo4j3;%20Loggedin=True - 192.168.100.1 1. http://bwa/orangehrm/ user1 oder kein User 2. http://bwa/orangehrm/index.php?module=home&menu_no=0&menu_no_top=home& submenutop=home1 reset Cookie setzen: PHPSESSID Loggedin
Lösungen Penetrationstest automatisiert Penetrationstest manuell Sicherheits-Check für Webseiten Sicherheitsaudit SCA - Source Code Analyse (automatisiert) SDLC - Software Development Live Cycle WAF - Web Application Firewall Sicherheit ist ein Prozess und kein Produkt. sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 32 von 34
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 33 von 34 Fragen? Danke fürs Zuhören Achim Hoffmann Achim.Hoffmann@sicsec.de sic[!]sec GmbH http://sicsec.de/
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 34 von 34 Referenz der verwendeten Bilder Ref.: 29mar14 http://muell-archaeologie.de/ Ref.: 29mar14 http://freigeist27.blogspot.de/ Ref.: 28mar14 http://www.corporatecomplianceinsights.com/ Ref.: 28mar14 https://www.econitor.de/ Ref.: 11mar13 http://wikipedia.org