Testy penetracyjne webaplikacji.

Transkrypt

1 Testy penetracyjne webaplikacji

2 niebezpiecznik.pl testujemy (web)aplikacje, ludzi i sieci komputerowe pod kątem odporności na ataki (nie tylko komputerowe...) doradzamy i konsultujemy projekty IT pod kątem bezpieczeństwa szkolimy programistów i administratorów

3 Dziś wszystko jest Autostrada A4 webaplikacją...

4 Autostrada A4

5 Autostrada A4

6 Czym jest bezpieczeństwo (web)aplikacji?

7 Ciągła walka!

8 z developerami mam zabezpieczenia, ale źle je stosuję

9 z zarządem (budżet) małe kłamstwo, duże kłamstwo, statystyka

10 z czasem 0day e na Twitterze (sic!)

11 No, srsly! 0 daye na Twitterze!

12 ale nie tylko tam

13

14 Ciągla Walka (w liczbach) niebezpiecznik.pl odpiera ok. 60 ataków dziennie a wystarczy jeden 0day na Wordpressa i leżymy

15

16 Z kim walczymy?

17 Lata vs "lata neostrady" umiejętność myślenia, zdolności programistyczne tzw. "hacking" to wyzwanie umiejętność czytania programy do "hakowania" hacking to LOL! & $$$

18 we did it for teh lulz

19 Bezpieczeństwo Webaplikacji to nie tylko bezpieczeństwo kodu

20

21 Techniki Ataków masowe lub ukierunkowane warstwa 3: znane dziury w protokołach/urządzeniach/usługach warstwa 7: SQL injection, XSS, CSRF, inne ataki na webaplikacje warstwa 666: dostęp do treści opublikowanych przez pomyłkę (czeski rząd ujawnia agentów na stronach www)

22 Błędy, bugi, podatności, dziury są, były i będą badanie Carnegie Mellon University s CyLab, 1 KLOC (1000 linii kodu) zawiera ~ 30 bugów czasem zagrażają życiu THERAC25 - race condition, 5 osób, 1985r. Ariane 5 - overflow, 5 milionów USD Mars - metric units, 125 milionów USD, 1999 LA Airport - 2^32, max 50 dni, brak restartu.

23 Projektowanie oprogramowania Czy kiedykolwiek przed projektowaniem (web)aplikacji wykonałeś tzw. threat modeling? Czy masz przygotowaną "wycenę zasobów" dla swojej (web)aplikacji? Jakie standardy dot. jakości oprogramowania znasz/spełniasz? np. Systems Development Life Cycle (SDLC)

24 Przykłady ataków na polskie serwisy

25 WYKOP. PL można (było) zaatakować nie dotykając webaplikacji

26 Systemy developerskie i testowe

27 O2.pl - kciuk w dół

28 o2.pl - kciuk w dóŀ Kiepskie usability serwisu może przerodzić się w błąd bezpieczeństwa

29 Błędy wynikające z architektury

30

31 Niezaufany Kanał Komunikacyjny i Granice Zaufania

32 `

33 Paradoks: wersje mobilne Ograniczona funkcjonalność (liczy się wygoda) - np. brak CAPTCHA oraz cache owanie danych - "Desynchronizacja" z głównym projektem - Programiści przy patchowaniu głównej wersji serwisu, zapominają o patchowaniu wersji mobilnej...! Problemy zrootowanych telefonów - zapis danych na karcie SD - OWASP Mobile Jailbreaking Cheet Sheet!

34 Błędy wynikające z niewiedzy programisty! część praktyczna

35 Fingerprinting serwera HTTP!?=PHPE9568F36-D428-11d2-A769-00AA001ACF42

36 Fingerprinting serwera HTTP!?=PHPE9568F36-D428-11d2-A769-00AA001ACF42 Niebieski słoń Królik Rozmazane logo PHP Czarny pies oraz Brązowy pies Twarz z frytkami

37 Przetestuj pole data urodzenia

38 pole data Wy - czy format daty prawidłowy (15. miesiąc?) - czy można pominąć to pole My - czy walidacja odbywa się po stronie serwera? - czy można ustawić datę z przyszłości? - czy wartość jest powtarzana w kolejnych krokach formularza (na stronie www)? czy można wstrzykiwać np.<script></script> - czy wartość trafia do bazy danych? próba ataku SQL injection - co, jeśli podamy liczbę ujemną, UTF-8, etc?

39 Obejście filtrów ' or 'a' = b' ' or 'a' = x'61 ' or 1 = true ' or round(pi(),1)+true+true = version() # = 5.1 aes_encrypt(1,12) # 4çh±{?"^z HéÉEa ceil(pi()+pi()+version()) 12

40 Losowość ID sesji Zwykle serwer aplikacji/framework dba o nadawanie identyfikatorów, a aplikacja korzysta z jego API. Nie należy na tym zawsze polegać Przykład: IBM WebSphere 4.0 TWGYLZIAAACVDQ3UUSZQV2I 10:27:12 TWGY0WYAAACVFQ3UUSZQV2I 10:27:13 TWGZNZAAAACVHQ3UUSZQV2I 10:27:14 TWG0BUYAAACVJQ3UUSZQV2I 10:27:15 TWG0VIAAAACVLQ3UUSZQV2I 10:27:16 TWG1ICIAAACVNQ3UUSZQV2I 10:27:17 TWG111YAAACVPQ3UUSZQV2I 10:27:18 Da się odgadnąć algorytm i przeszukać całą przestrzeń wartości ID sesji -- ataki brute-force, narzędzie np. idefense Session Auditor

41 OWASP TOP 10 Podsumowanie błędów publikowane co jakiś czas Najgroźniejsze =?= najpopularniejsze Zamiarem podniesienie jakości tworzonego kodu definiowanie ochrony przed OWASP Top10 jako wymóg specyfikacji projektu (punkt w protokole zdawczo-odbiorcznym) Czy to znaczy, że inne błędy nie są ważne? Że nie da się za ich pomocą skutecznie zaatakować? NIE!

42 OWASP TOP A1-Injection A2-Broken Authentication and Session Management A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References A5-Security Misconfiguration A6-Sensitive Data Exposure A7-Missing Function Level Access Control A8-Cross-Site Request Forgery (CSRF) A9-Using Components with Known Vulnerabilities A10-Unvalidated Redirects and Forwards

43 Narzędzia pentestera Local Proxy Także jako dodatek do przeglądarki Narzędzia do rekonesansu / fingerprintingu Skanery dynamiczne testy bez znajomości kodu źródłowego wyspecjalizowane w konkretnych atakach Skanery statyczne

44 Narzędzia automatyczne Warto z nich korzystać, jako dodatek - regularnie, po każdym deploy'u Ale warto też znać ich ograniczenia... - Koszt: Acunetix, IBM AppScan - Problem z "niestandardowością" test.pl/?id=1 or 1=1; test.pl/?id=1 or 1=1;&phash=1a47a563baaee Podatności można szukać nie tylko "z zewnątrz" webaplikacji -- istnieją też skanery kodu źródłowego - np. YASCA, HP Fortify, IBM AppScan, Sonar

45 DEMO! od seksownego XSS-a do T0T4L PWN4G3!

46 W N I O S E K 1. ze zwykłego testera można (tanio) zrobić pentestera PROFIT!!!

47 koszt naprawy błędu w czasie $$$ t

48 HACKME facebook.com/niebezpiecznik google.com/+niebezpiecznik