Navigazione automatica e rilevazione di errori in applicazioni web

Transcript

1 Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007

2 Sommario Obiettivo: Illustrare la realizzazione di un bot per la navigazione automatica e la rilevazione di errori in applicazioni web; Introduzione: L'applicazione e il Sequence Diagram SQL-Injection Cross-Site scripting XSS Architettura: Test Crawling Rilevazione SQL-Injection MD5 DataBase Error Check ( DOM ) Analisi Document Object Model Rilevazione XSS Conclusioni Fabio Quarti, Federico Villa 2

3 L'Applicazione Cos è?: È un bot automatico, in grado di navigare autonomamente lungo un percorso di una Applicazione Web fino ad una pagina Target. E' facilmente scriptabile, e riceve input tramite semplici file XML Una volta ottenuto il codice della pagina Target, è in grado di individuare se si sono verificate SQL- Injection o Cross Site Scripting Perchè?: E' un ausilio per gli sviluppatori di Applicazioni Web E' progettata per essere richiamata da tool di analisi statica del codice, che spesso producono un numero molto elevato di falsi positivi Come?: Confronta il codice della pagina Target ottenuta con il parametro da validare, con il codice della medesima pagina ottenuto con un set più o meno vasto di dati validi Fabio Quarti, Federico Villa 3

4 Sequence Diagram L applicazione naviga una volta per ogni valore corretto e una volta per il valore potenzialmente invalido Al ternime della navigazione confronta la pagina potenzialmente invalida con le pagine sicuramente valide, sfruttando le tecniche che vedremo in seguito. Fabio Quarti, Federico Villa 4

5 SQL-Injection Cos è?: È un errore che consente ad un aggressore di inviare comandi SQL sfruttando un campo di input di un applicazione web Si verifica quando un campo di input non è correttamente validato e viene sfruttato per costruire una query Esempio: Immaginiamo la query: select * from Users where Login= +stringa_login+ and Password= +stringa_password+ Immaginiamo di riuscire ad immettere, tramite un campo di input non controllato, il valore di stringa_login lupin ; -- otteniamo la seguente query: select * from Users where Login= lupin ; --and Password= +stringa_password+ A seguito di questa query è possibile ottenere l autenticazione sul sistema remoto senza immettere alcuna password ma conoscendo solo il nome utente. Prevenzione: Parsing dei caratteri speciali Eliminazione degli errori SQL Validazione tutti i dati in ingresso Fabio Quarti, Federico Villa 5

6 Cross-Site Scripting XSS Cos è?: È un errore che consente ad un aggressore di inserire codice di scripting sfruttando un campo di input di un applicazione web Consente di effettuare: cookie theft, session hijack e accesso alle informazioni riservate Tipi: Stored: il codice maligno è permanentemente immagazzinato nel server e viene inviato a tutti i client che si connettono, che poi lo eseguono ne browser. Reflected: il codice viene inviato al client tramite messaggi di errore o esiti di ricerche, perché considera lo script come proveniente da un sito sicuro Esempio: Immaginiamo di inserire in un guestbook o in un forum il seguente codice: <script>location= </script> Otteniamo il reindirizzamento sul sito del Politecnico. Prevenzione: Verificare l input e bandire lo scripting Fabio Quarti, Federico Villa 6

7 Architettura: Crawling Come funziona: La navigazione avviene in modo lineare; il percorso che il bot deve seguire è specificato in un file xml Sfruttiamo la libreria HTTP Unit sviluppata per Java Struttura XML: <?xml version="1.0"?> <percorso> <pagina URL='index.html' nomeform='' method=""/> <pagina URL='/formcp/index.html' nomeform='login' method="" usename="false" Name=""> <attributo nome='username' valore='tesi' ischeckbox='false' checkboxstate='false' istest='false' /> <attributo nome='chiave' valore='tesi' ischeckbox='false' checkboxstate='false' istest='false' /> </pagina> </percorso> Specifichiamo l indirizzo della pagina, il nome del form che deve essere riempito, il valore degli attributi, il tipo degli attributi e se il campo è l input in cui effettuare l injection Fabio Quarti, Federico Villa 7

8 Architettura: Error Detection Come funziona: La rilevazione degli errori avviene confrontando il codice HTML della pagina ottenuta dai dati invalidi con il codice delle pagine ottenute sfruttando il set di dati validi forniti dal chiamante. E' realizzata tramite tre controlli in cascata Controlli: MD5 Rilevazione Errori DataBase ( DOM ) Confronto Alberi Document Object Model Fabio Quarti, Federico Villa 8

9 Controlli: MD5 Cos'è MD5: Message Digest 5 è un algoritmo di crittografia dei dati a senso unico che produce, a partire da una stringa di lunghezza arbitraria, una stringa chiamata digest, lunga 128bit composta da 32 simboli esadecimali. Due stringhe diverse, in teoria, non possono avere lo stesso MD5. E' stato rotto nel Come funziona: Alcune pagine dinamiche sono configurate per mostrare sempre la stessa pagina in caso di successo, indipendentemente dai dai dati inseriti Confrontando gli hash della pagina potenzialmente invalida con quelli delle pagine valide, è possibile individuare immediatamente parametri sicuramente validi Fabio Quarti, Federico Villa 9

10 Controlli: Errori DB Come funziona: Spesso, i tentativi di SQL-Injection possono generare errori nel DBMS. Altrettanto spesso, questi errori vengono mostrati a video [sempre, se si sta effettuando il debug di una applicazione] Il Bot cerca all'interno di una pagina la presenza di messaggi provenienti dal DBMS Errori DBMS: La lista degli errori SQL è un file XML, che contiene le espressioni regolari associate ad ogni messaggiio. E' facile scrivere un nuovo file contenente errori di un altro DBMS o errori custom Struttura del file: <?xml version="1.0"?> <dbms_error> <error regex= Can&apos;t create file &apos;[0-9a-za-z ]* &apos;(errno: [0-9a-zA-Z ]*) /> <error regex= Can&apos;t create table &apos;[0-9a-za-z ]* &apos;(errno: [0-9a-zA-Z ]*) /> </dbms_error> Fabio Quarti, Federico Villa 10

11 Controlli: DOM Cos'è Document Object Model: è una forma di rappresentazione dei documenti strutturati come modello orientato agli oggetti. E' uno standard del W3C DOM permette di associare ad una pagina xhtml ben formata un albero che rappresenta la struttura del documento Come funziona: In una applicazione, pagine simili hanno una struttura simile, ma pagine contenutisticamente molto differenti possono avere la medesima struttura Confrontando l'albero DOM della pagina ottenuta dal dato invalido con tutti i DOM degli alberi ritenuti validi, è possibile verificare se la struttura da verificare rispetti uno o più alberi validi Fabio Quarti, Federico Villa 11

12 Controlli: XSS Detection Come funziona: Il dato da testare è uno script. L'applicazione effettua l'injection dello script nella pagina target Verifica che la stringa sia presente in una pagina specificata, senza che il tag <script> sia stato modificato, eliminato o convertito nella corrispondente entity. E'è il controllo più facile da progettare, ma non è semplice da implementare. Infatti, lo script, una volta inserito, può trovarsi in una posizione differente dalla pagina in cui è stata effettuata l'injection. Fabio Quarti, Federico Villa 12

13 Test Effettuati Test Didattico: WebGoat WebGoat è un set di applicazioni volutamente insicure, preparate dall'owasp - Open Web Application Security Project, con il fine di istruire gli sviluppatori a prevenire vulnerabilità. Il bot è stato in grado di rilevare l'sql-injection e il Cross Site Scripting Test Reali - Come?: Sono stati effettuati sfruttando vulnerabilità note e exploit conosciuti. Sono state scelte applicazioni conosciute, familiari a molti utenti. Test Reali: PhpBB2: l'applicazione rileva correttamente un Cross Site Scripting avvenuto a causa del mancato controllo del campo autore nel form di ricerca dei post PhpNuke v7.8: l'applicazione rileva correttamente una SQL-Injection avvenuta a causa del mancato controllo dei parametri inviati alla query nel campo principale della ricerca Fabio Quarti, Federico Villa 13

14 Conclusione e sviluppi futuri Conclusioni: Corretto funzionamento applicazione Problemi con documenti non formati e Blind SQL-Injection Sviluppi futuri: Ottimizzazione codice Correzione errori di navigazione Implementazione di una differente politica di confronto DOM Fabio Quarti, Federico Villa 14

15 Fine Presentazione Fine Presentazione That's all, Folks! Fabio Quarti, Federico Villa 15

16 Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web: Test in Dettaglio Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007

17 Sommario Obiettivo: Illustrare la casistica e il software con cui è stata testata l'applicazione sviluppata. Test Didattici: WebGoat SQL-Injection Cross-Site scripting XSS Test Reali: PhpBB2 e XSS in PhpBB2 PhpNuke v7.8 e SQL-Injection in PhpNuke v7.8 Conclusioni Fabio Quarti, Federico Villa 17

18 WebGoat Cos'è WebGoat WebGoat è un set di applicazioni volutamente insicure, preparate dall'owasp - Open Web Application Security Project, con il fine di istruire gli sviluppatori a prevenire vulnerabilità. Mette a disposizione dell'utente un finto portale bancario su cui effettuare le injection SQL e un finto guestbook su cui effettuare il Cross-Site Scripting Cos'è OWASP The Open Web Application Security Project (OWASP) is dedicated to finding and fighting the causes of insecure software. Everything here is free and open source. The OWASP Foundation is a 501c3 not-forprofit charitable organization that ensures the ongoing availability and support for our work. Participation in OWASP is free and open to all. Fabio Quarti, Federico Villa 18

19 SQL-Injection in Webgoat 1 Come E' possibile effettuare l'injection in un campo adibito all'autenticazione di un utente che vuole vedere i suoi numeri di carta di credito Con una banale injection è possibile forzare il sistema a mostrare tutti i numeri di carta di credito di tutti gli uenti E' sufficiente inserire, invece del nome utente di prova Smith, la stringa ( LENGTH(last_name)<100 ) OR Fabio Quarti, Federico Villa 19

20 SQL-Injection in Webgoat 2 Fabio Quarti, Federico Villa 20

21 SQL-Injection in Webgoat 3 Fabio Quarti, Federico Villa 21

22 Cross-Site Scripting in WG 1 Come E' possibile effettuare l'injection in un campo adibito all'inserimento di messaggi in un guestbook Il messaggio viene immediatamente mostrato, senza essere controllato La stringa utilizzata per l'injection è Avvenuto con successo!")</script> <script>javascript:alert("xss Fabio Quarti, Federico Villa 22

23 Cross-Site Scripting in WG 2 Fabio Quarti, Federico Villa 23

24 Cross-Site Scripting in WG 3 Fabio Quarti, Federico Villa 24

25 Cross-Site Scripting in PhpBB2 1 Cosa è: Php Bulletin Board V2 è una tra i più popolari sistemi Open Source per la gestione di forum scritti mediante il linguaggio di programmazione PHP. Come E' possibile effettuare l'injection in un campo adibito all'inserimento della query di ricerca per autore Il messaggio viene immediatamente mostrato, senza essere controllato La stringa utilizzata per l'injection è ("XSS Eseguito!")</script> <script>javascript:alert Fabio Quarti, Federico Villa 25

26 Cross-Site Scripting in PhpBB2 2 Fabio Quarti, Federico Villa 26

27 Cross-Site Scripting in PhpBB2 3 Fabio Quarti, Federico Villa 27

28 SQL-Injection in PhpNuke Cosa è: PhpNuke, definito dall autore come il futuro del Web, è una piattaforma scritta in php che permette ad un amministratore di creare un portale per una comunità di utenti, consentendo a ciascun utente di pubblicare, modificare e commentare articoli e news. E' altamente modulare Come E' possibile effettuare l'injection in un campo adibito alla ricerca all'interno di PhpNuke Con una banale injection è possibile forzare il sistema a mostrare tutti gli hash delle password degli amministratori E' sufficiente inserire nel campo di ricerca la stringa UNION SELECT 0,user_id,username,user_password,0,0,0,0,0,0 FROM nuke_users s% ) Fabio Quarti, Federico Villa 28

29 SQL-Injection in PhpNuke Fabio Quarti, Federico Villa 29

30 SQL-Injection in PhpNuke Fabio Quarti, Federico Villa 30

31 Conclusione Conclusioni: Buoni risultati in fase di testing Problemi con documenti non formati e Blind SQL-Injection Problemi con l'esecuzione di codice JavaScript Fabio Quarti, Federico Villa 31

32 Fine Presentazione Fine Presentazione E l'ultimo chiuda la porta Fabio Quarti, Federico Villa 32