Poznańskie Centrum Superkomputerowo-Sieciowe Operator sieci PIONIER oraz POZMAN Uczestnik projektów naukowo-badawczych Główne obszary zainteresowań:

Transkrypt

1 Zabezpieczanie aplikacji webowych w ASP.NET Gerard Frankowski Zespół Bezpieczeństwa PCSS Warsztaty Startup-IT Tworzenie serwisów internetowych Poznań,

2 Agenda Kim jesteśmy i co robimy? PCSS i Zespół Bezpieczeństwa Centrum Innowacji Microsoft Podejście defence-in-depth dla aplikacji webowych Bezpieczeństwo aplikacji w ASP.NET Bezpieczny kod: implementacja sesji internetowych Bezpieczny serwer: konfiguracja ASP.NET Podsumowanie, pytania, dyskusja 2

3 Cel prezentacji Podniesienie świadomości na temat zagrożeń związanych z niezabezpieczonymi aplikacjami w ASP.NET i wskazanie metod ochrony Prezentacja jest przeznaczona dla: Programistów aplikacji ASP.NET Administratorów serwerów hostujących aplikacje ASP.NET Specjalistów ds. zabezpieczeń (częściowo) Wiele przytoczonych zasad ma charakter ogólny 3

4 Kim jesteśmy i co robimy? 4

5 PCSS Poznańskie Centrum Superkomputerowo-Sieciowe Operator sieci PIONIER oraz POZMAN Uczestnik projektów naukowo-badawczych Główne obszary zainteresowań: Gridy, sieci nowej generacji, portale Bezpieczeństwo sieci i systemów 5

6 Zespół Bezpieczeństwa PCSS Zespół Bezpieczeństwa PCSS istnieje od 1996r. Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach R&D Szkolenia, transfer wiedzy Badania własne Usługi zewnętrzne Najciekawsze badania z ostatnich lat Bezpieczeństwo komunikatorów internetowych Badania sieci bezprzewodowych na terenie Poznania Raport nt. bezpieczeństwa bankowości elektronicznej Bezpieczeństwo serwerów WWW (Apache, MS IIS) Bezpieczeństwo sklepów internetowych 6

7 Centrum Innowacji Microsoft Centrum bezpieczeństwa i usług outsourcingowych Partnerzy Microsoft Polska Poznańskie Centrum Superkomputerowo-Sieciowe Politechnika Poznańska Otwarcie: r. 7

8 Wybrane zadania MIC Technologie Interoperacyjność Wirtualizacja Wysokowydajne obliczenia komputerowe (HPC) Wykorzystanie technologii Silverlight Bezpieczne telekonsultacje medyczne Bezpieczeństwo Program szkoleń bezpieczeństwa Badania bezpieczeństwa serwera MS IIS Program audytów bezpieczeństwa dla samorządów i MŚP Usługi Bezpłatny hosting dla uczelni, kół naukowych, organizacji non-profit oraz studentów Hosting portali społecznościowych, np. itcore.pl 8

9 Bezpieczeństwo aplikacji webowych w ASP.NET - wybrane aspekty 9

10 Niektóre podatności aplikacji WWW Błędy w projekcie i kodzie Błędy w projektowaniu funkcjonalności Znaczenie filtrowania danych Ataki XSS (Cross Site Scripting) Ataki SQL Injection Ataki Remote Code Execution I wiele innych (patrz prezentacja Tomka Kuczyńskiego) Sesje internetowe Błędy w konfiguracji serwerów Ataki Information Disclosure Konfiguracja ASP.NET Konfiguracja serwerów WWW, baz danych,... Powyższa lista absolutnie nie wyczerpuje tematu! 10

11 Sesja internetowa Protokół HTTP jest bezstanowy Rozróżnianie tożsamości użytkowników jest kluczowe dla korzystania z e-usług Sesja internetowa Identyfikowany przez session ID zbiór informacji o połączeniu 11

12 Ataki na sesje zagrożenia Ujawnienie informacji o serwerze Poszczególne serwery WWW obsługują sesje w różny sposób Kradzież sesji użytkownika Podszycie się pod ofiarę Kradzież tożsamości ofiary i jej konsekwencje: kradzież danych, zawarcie fałszywej umowy, kradzież środków finansowych, uzyskanie danych będących podstawą do szantażu,... Jeżeli powiodło się przejęcie sesji administratora serwisu, możliwe jest wykonanie dowolnego działania w ramach portalu 12

13 Czy te zagrożenia są realne? Styczeń testy 50 sklepów internetowych przeprowadzone przez Zespół Bezpieczeństwa PCSS Test 1 niedozwolone znaki w nazwie ciasteczka Test 2 próba wymuszenia błędu zapisu pliku sesji Test 3 odpowiedni czas życia ciasteczka Test 4 odpowiedni czas życia sesji Test 5 możliwość wymuszenia identyfikatora sesji Test 6 powiązanie identyfikatora sesji z adresem IP Test 7 stosowanie atrybutu httponly Więcej: 13

14 Rezultaty Test 1 Test 2 Test 3 Test 4 Test 5 Test 6 Test 7 Kolor czerwony i pochodne niebezpiecznie Kolor zielony bezpiecznie 14

15 Jak można przechowywać dane sesji? Przesyłanie metodą GET w adresie URL Wyjątkowo podatne na ataki Wykorzystanie ukrytych pól formularzy Podatne na ataki Komplikuje budowę serwisu Ciasteczka (cookies) Przechowywane na serwerze w bazie danych lub w plikach sesji Przechowywane po stronie klienta za pośrednictwem przeglądarki jako cookie 15

16 Zawartość ciasteczka Nazwa oraz skojarzona z nią wartość Szczególnym z punktu widzenia bezpieczeństwa przypadkiem są cookies zawierające informacje o sesji użytkownika Informacje o sesji w ASP.NET Identyfikator sesji jest 120-bitowym przypadkowym ciągiem znaków, reprezentowanym przez 20-znakowy łańcuch Nazwa ciasteczka brzmi ASP.NET_SessionId Data wygaśnięcia Domena (dokąd przeglądarka może wysłać cookie) Ścieżka (skąd ciasteczko jest widoczne na serwerze) Atrybuty dodatkowe 16

17 Zwykłe ciasteczko w ASP.NET <% %> HttpCookie cookie = new HttpCookie( licznik ); cookie.name cookie.value = licznik ; = yes ; cookie.expires = #01/10/ :00:00#; cookie.domain cookie.path = ; = /licznik_dir ; Response.Cookies.Add(cookie); 17

18 Zagrożenie atakiem Session Fixation Atak polega na nawiązaniu przez napastnika sesji o określonym identyfikatorze Skłonienie ofiary do nawiązania sesji o konkretnym ID Brak unieważniania wykorzystanych ID sesji Platforma Microsoft ASP nie zapewnia bezpośredniego wsparcia dla powtórnej generacji ID sesji Microsoft zamknął zgłoszenie użytkownika we wspomnianym zakresie, uznając je za nie do naprawienia ( edbackid=143361&wa=wsignin1.0&siteid=210) Niestety, ASP nie pozwala ponadto na bezpośredni dostęp (zapis) do cookie ASP.NET_SessionId 18

19 Session fixation - ochrona Porady Microsoftu dostępne pod adresem: Podejście OWASP: Generacja dodatkowego ciasteczka, któremu nadajemy wartość tożsamą z ID sesji (możemy ją odczytać) Porównywanie zawartości dodatkowego ciasteczka z ID sesji Jeżeli wartości są różne, unieważniamy sesję Więcej informacji + przykład Wykorzystanie uwierzytelniania Windows Forms zmniejsza zagrożenie dzięki użyciu dodatkowego tokena 19

20 Czas ważności ciasteczka Im dłuższy czas ważności, tym łatwiejsze jest przejęcie sesji o wykradzionym identyfikatorz (Session Hijacking) Czas ważności sesji zależy od tego, jak cenna jest aplikacja Bankowość internetowa - rzędu kilku(nastu) minut Serwis społecznościowy, bramka SMS - np. godzina Standard OWASP: 5 minut! Dim mycookie As New HttpCookie( testcookie ) Dim expdate As DateTime expdate = DateTime.Now.AddMinutes(5) mycookie.expires = expdate Response.Cookies.Add(myCookie) 20

21 Właściwości obiektu HttpCookie (1) Właściwość HttpOnly Określa, czy cookie może zostać odczytane poprzez aktywną zawartość witryny Pozwala uchronić się przed atakami XSS wykonywanymi przy pomocy wstrzyknięcia kodu typu <script>...document.cookie<script> Właściwość Secure Definiuje poziom bezpieczeństwa ciasteczka (jest flagą) Jeśli ustawiona, umożliwia obsługę cookie tylko za pośrednictwem protokołu HTTPS 21

22 Właściwości obiektu HttpCookie (2) Definicja bezpieczniejszego ciasteczka Dim mycookie As New HttpCookie( testcookie ) mycookie.httponly = true mycookie.secure = true Response.Cookies.Add(cookie) 22

23 Powiązanie ID sesji z adresem IP Przesłanie ciasteczka o danym ID spod innego adresu, niż zapisany po stronie serwera powoduje unieważnienie sesji Zaleta: poprawa bezpieczeństwa Zabezpieczenie przed kradzieżą sesji Wady: Utrudnienie korzystania z usług użytkownikom bez stałego adresu IP Realny przykład byłby dość skomplikowany ;) zachęcam do testów własnych 23

24 Bezpieczne sesje - podsumowanie Odpowiedzialność po stronie administratora Odpowiednia konfiguracja serwera WWW /.NET Unikanie wyświetlania szczegółowych informacji o błędach użytkownikowi Odpowiedzialność po stronie projektanta/programisty Bezpieczna konfiguracja sesji Najlepsze wyniki przyniesie połączenie obu podejść 24

25 Błędy w konfiguracji ASP.NET 25

26 Pliki konfiguracyjne ASP.NET Specyfika plików konfiguracyjnych ASP.NET Pliki tekstowe w formacie XML Brak dedykowanego narzędzia producenta wspierającego edycję Pliki konfiguracyjne dla komputera machine.config (%SystemRoot%\Microsoft.NET\Framework\%wersja%\CONFIG\) Pliki konfiguracyjne dla aplikacji web.config (w katalogu głównym i/lub podkatalogach) Pliki konfiguracji zabezpieczeń Code Access Security Enterprise Policy: enterprisesec.config Machine and User Policy: security.config ASP.NET Policy: web_hightrust.config, web_mediumtrust.config, web_lowtrust.config, web_minimaltrust.config 26

27 Top 10 don ts in ASP.NET configuration files (1) Poniższe błędne praktyki dotyczyć mogą wszystkich aplikacji webowych opartych na ASP.NET Custom Errors Disabled Leaving Tracing Enabled Leaving Debugging Enabled Cookies Accessible Through Client-Side Script Cookieless Session State Enabled Więcej informacji:

28 Custom Errors Disabled Nieprawidłowa konfiguracja <configuration> <system.web> <customerrors mode="off"> Prawidłowa konfiguracja <configuration> <system.web> Znaczenie: <customerrors mode="remoteonly"> Wyłączenie trybu customerrors spowoduje, że zdalny użytkownik ujrzy szczegółowy opis błędu, także z fragmentami kodu Dla lokalnych żądań warto pozostawić tryb debugowy 28

29 Nieprawidłowa konfiguracja 29

30 Prawidłowa konfiguracja 30

31 Prawidłowa konfiguracja (2) To jeszcze nie jest sytuacja idealna Właściwe będzie przygotowanie własnych plików niezawierających informacji konfiguracyjnych, a np. przekazujących kontakt do administratora systemu lub helpdesku Odpowiednia sekcja pliku machine.config: <customerrors mode="remoteonly"> <error statuscode="404" redirect="errors/e404.htm"> <error statuscode= 500" redirect="errors/e500.htm"> </customerrors> 31

32 Leaving Tracing Enabled Nieprawidłowa konfiguracja <configuration> <system.web> <trace enabled="true" localonly="false"> Prawidłowa konfiguracja <configuration> <system.web> <trace enabled="false" localonly="true"> Znaczenie: Włączenie flagi powoduje, że zdalny użytkownik może uzyskać dostęp do dużej ilości wrażliwych danych, np. struktury poprzednich żądań do serwera, szczegółów jego konfiguracji, danych przesłanych w formularzach... 32

33 Tajemniczy plik trace.axd ;) 33

34 Leaving Debugging Enabled Nieprawidłowa konfiguracja <configuration> <system.web> <compilation debug="true"> Prawidłowa konfiguracja <configuration> <system.web> Znaczenie: <compilation debug="false"> Pozostawienie włączonej flagi debug umożliwia ujawnienie większej ilości informacji napastnikowi Nawet prawidłowe ustawienie customerrors nie wystarczy, ponieważ niektóre narzędzia deweloperskie mogą ujawnić treść komunikatów błędów 34

35 Cookies Accessible Through Client-Side Script Nieprawidłowa konfiguracja <configuration> <system.web> <httpcookies httponlycookies="false" "false"> Prawidłowa konfiguracja <configuration> <system.web> <httpcookies httponlycookies="true" "true"> Znaczenie: Ustawienie true spowoduje, że aktywna zawartość strony nie będzie mieć dostępu do cookies Czy nam to czegoś nie przypomina? 35

36 Cookieless Session State Enabled Nieprawidłowa konfiguracja <configuration> <system.web> <sessionstate cookieless="useuri"> Prawidłowa konfiguracja <configuration> <system.web> Znaczenie: <sessionstate cookieless="usecookies"> Wartość UseCookies wymusza przechowywanie danych sesji przy pomocy mechanizmu ciasteczek, a nie przekazywanie ich przez adres URL 36

37 Top 10 don ts in ASP.NET configuration files (2) Poniższe błędne praktyki dotyczą aplikacji webowych opartych na ASP.NET, w których wykorzystuje się uwierzytelnianie Windows Forms Cookieless Authentication Enabled Failure to Require SSL for Authentication Cookies Sliding Expiration Used Non-Unique Authentication Cookie Used Hardcoded Credentials Used Więcej informacji: 37

38 Cookieless Authentication Enabled Nieprawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms cookieless="useuri"> Prawidłowa konfiguracja <configuration> <system.web> Znaczenie: <authentication mode="forms"> <forms cookieless="usecookies"> Wartość UseCookies wymusza przechowywanie danych sesji przy pomocy mechanizmu ciasteczek. Znaczenie tej opcji jest większe, bo dotyczy danych uwierzytelniających! 38

39 Failure to Require SSL for Authentication Cookies Nieprawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms requiressl="false"> Prawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms requiressl="true"> Znaczenie: Ustawienie parametru na true zapewnia, że dane uwierzytelniające zostaną przesłane kanałem szyfrowanym (SSL) IIS wymaga odpowiedniej konfiguracji do użycia SSL! 39

40 Sliding Expiration Used Nieprawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms slidingexpiration="false"> Prawidłowa konfiguracja <configuration> <system.web> Znaczenie: <authentication mode="forms"> <forms slidingexpiration="true"> Parametr decyduje, czy czas życia sesji liczy się od momentu zalogowania (true), czy od zaprzestania aktywności (false) 40

41 Non-Unique Authentication Cookie Used Nieprawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms name="aspxauth"> Prawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms name="[skomplikowany_ciag]"> Znaczenie: Nazwa cookie uwierzytelniającego, powinna być ona różna dla wszystkich aplikacji na danym serwerze - i najlepiej być długim, skomplikowanym ciągiem danych 41

42 Hardcoded Credentials Used Nieprawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms> <credentials> <user name="admin" password="admin123"/> </credentials> </forms> Prawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms> </forms> 42

43 Hardcoded Credentials Used (2) Znaczenie Udostępnienie możliwości szybkiego i łatwego sięgnięcia po dane uwierzytelniające na etapie rozwoju (testów) aplikacji Opcja nigdy nie powinna być wykorzystywana w produkcyjnej aplikacji (ze względu na możliwość ujawnienia informacji) Istnieje możliwość składowania skrótu SHA-1 lub MD5 hasła, ale nadal ujawnia to nazwę użytkownika 43

44 Poziomy zaufania CAS Aplikacji można przypisać 1 z 5 poziomów zaufania Full High Medium Low Minimal Możliwe jest także przygotowanie własnej definicji poziomu zaufania Szczególnie w przypadku oferowania hostingu dla podmiotów zewnętrznych poziom Full NIE JEST dobrym pomysłem! 44

45 High No unmanaged code No enterprise services Can access SQL Server and other OLE DB data sources Very limited reflection permissions No ability to invoke code by using reflection A broad set of other framework features are available Applications have full access to the file system, and to sockets Medium Permissions are limited to what the application can access within the directory structure of the application No file access is permitted outside of the application's virtual directory hierarchy Can access SQL Server Can send by using SMTP servers Limited rights to certain common environment variables No reflection permissions whatsoever No sockets permission To access Web resources, you must explicitly add endpoint "URLs" either in the Low originurl attribute of the <trust> element or inside the policy file Intended to model the concept of a read-only application with no network connectivity Read only access for file I/O within the application's virtual directory structure Minimal Execute only No ability to change the "IPrincipal" on a thread or on the "HttpContext". CAS 45

46 Błędna konfiguracja Plik machine.config <location allowoverride="true"> <system.web> <securitypolicy> <trustlevel name="full" policyfile="internal"/> <trustlevel name="high" policyfile="web_hightrust.config"/> <trustlevel name="medium" policyfile="web_mediumtrust.config"/> <trustlevel name="low" policyfile="web_lowtrust.config"/> <trustlevel name="minimal" policyfile="web_minimaltrust.config"/> </securitypolicy> <trust level="full" originurl=""/> </system.web> </location> 46

47 Jak sprawdzić jej skutki? Narzędzia Dinis Cruz, OWASP ANSA Asp.Net Security Analyser V0_31b ANBS Asp.Net Baseline Security v Pobrane narzędzia wgrywamy do głównego katalogu aplikacji WWW i uruchamiamy

48 48

49 49

50 Problemy Zbyt wysoki poziom zaufania Jak go obniżyć? Jak zapewnić, że użytkownik pojedynczej aplikacji go nie zmieni? Czy można zróżnicować poziom zaufania między aplikacjami? Konfiguracja systemu - możliwość wykonania poleceń systemowych: Za pośrednictwem WSCRIPT.SHELL Przy pomocy interfejsu WMI Dzięki wywołaniom WinExec API Ponownie widać, jak istotne jest współgranie różnych elementów zabezpieczeń! 50

51 Obniżamy poziom zaufania (1) Średni poziom zaufania dla wszystkich aplikacji na konkretnym serwerze <location allowoverride="false" "false"> <system.web> <securitypolicy>... </securitypolicy> <trust level="medium" originurl="" /> </system.web> </location> 51

52 Obniżamy poziom zaufania (2) Zróżnicowanie poziomu zaufania w pliku machine.config <location path="app1.pl" allowoverride="false" "false"> <system.web> <trust level="medium" originurl="" /> </system.web> </location> <location path="myadminapp" allowoverride="false" "false"> <system.web> <trust level= High" originurl="" /> </system.web> </location> 52

53 Konfigurujemy system Mimo dostosowania ustawień ASP.NET najlepiej będzie nie pominąć dodatkowego utwardzenia systemu Zablokowanie dostępu do obsługi Windows Management Instrumentation dla wszystkich użytkowników poza administratorem systemu przy wykorzystaniu aplikacji Zarządzanie Komputerem Zablokowanie możliwości tworzenia obiektów Windows Script Host innym użytkownikom niż administrator systemu ASP.NET nigdy nie powinno korzystać z konta posiadającego uprawnienia SYSTEM To przykład podejścia Defence-in-depth 53

54 Bezpieczna konfiguracja - podsumowanie Ograniczenie poziomu zaufania aplikacji webowych Zastrzeżenie dostępu do informacji wewnętrznych (np. szczegółowych komunikatów o błędach) Odpowiednie użycie Konfiguracja serwera WWW Tworzenie pul aplikacji i limitów dla pul Konfiguracja systemu operacyjnego Zasada minimalnych przywilejów (korzystamy z konta ASPNET, nie z konta systemowego!) Zastrzeżenie dostępu do interfejsów umożliwiających wywoływanie poleceń systemowych 54

55 Podsumowanie 55

56 Bezpieczeństwo usługi Nie ma idealnego remedium Bezpieczna usługa musi być: Odpowiednio zaprojektowana Dobrze napisana Należycie skonfigurowana Zainstalowana na skutecznie chronionym serwerze Obsługiwana przez rozsądnego użytkownika Regularnie audytowana Wszystkie powyższe elementy tworzą spójną całość, największe problemy to: Dostarczenie wiedzy dla wszystkich zainteresowanych stron Ułatwienie działań sobie, ale i innym Defence-in-depth 56

57 Więcej informacji (przykłady) Artykuły na portalu Startup-IT.pl, rozszerzające tematykę dzisiejszej prezentacji (także o kod PHP) Raport Zespołu Bezpieczeństwa PCSS nt. bezpieczeństwa e-sklepów (np. sesje internetowe) Szkolenia MIC (bezpieczny kod) TOP 10 Don ts in ASP.NET configuration files The Open Web Application Security Project (m.in. narzędzie ANSA) 57

58 Ciekawe pozycje książkowe Tworzenie bezpiecznych aplikacji Microsoft ASP.NET Udoskonalanie zabezpieczeń aplikacji i serwerów internetowych Bezpieczny kod - tworzenie i zastosowanie Więcej książek: efault.mspx (PL) default.asp (EN) 58

59 MIC zaprasza :) Centrum Innowacji Microsoft Program szkoleń bezpieczeństwa MIC m.in. warsztaty Omijanie firewalli w systemach Windows III Konferencja MIC - Dzień otwarty , Poznań Interoperacyjność, wirtualizacja, bezpieczeństwo Wkrótce więcej informacji i rejestracja na stronach MIC 59

60 Informacje kontaktowe Autor prezentacji Centrum Innowacji Microsoft PCSS Zespół Bezpieczeństwa PCSS 60

61 Pytania i dyskusja Dziękuję za uwagę! 61