Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Transkrypt

1 Uniwersytet Zielonogórski Wydział Elektrotechniki, Informatyki i Telekomunikacji Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework mgr inż. Łukasz Stefanowicz dr inż. Grzegorz Bazydło dr inż. Remigiusz Wiśniewski Nowy Kisielin, 17 marca 2015

2 Plan prezentacji Główne cechy frameworka CodeIgniter Wybrane ataki internetowe a CodeIgniter SQL Injection Cross Site Scripting (XSS) Cross Site Request Forgery (CSRF) Podsumowanie Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 2

3 CodeIgniter Framework Framework (ang. szkielet aplikacji) napisany w PHP Stworzony przez Ricka Ellisa w roku 2006 Bazuje na wzorcu MVC (Model-View-Controller) Pełna kompatybilność z PHP i nowszymi Mały rozmiar Wsparcie dla baz danych: MySQL, PostgreSQL, MS SQL, Oracle, SQLite oraz ODBC Zarządzanie sesjami Wbudowane mechanizmy zwiększające bezpieczeństwo serwisu internetowego Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 3

4 SQL Injection Atak polega na iniekcji odpowiednio spreparowanego kodu SQL. Podstawowym celem jest uzyskanie dostępu do chronionych danych. Formy ataku: przekazywanie dodatkowych parametrów do zapytania (niedostateczne filtrowanie danych), atak na stronie, która nie wyświetla komunikatów błędów, błędy implementacyjne serwera SQL. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 4

5 SQL Injection Schemat ataku: 1. Sprawdzenie, czy strona jest podatna na atak SQL Injection (np. poprzez dodanie do argumentu wartości OR 1=1). 2. Uzyskanie informacji na temat nazwy bazy danych oraz tabel. 3. Uzyskanie informacji na temat kolumn. Odpowiednio: information_schema.columns WHERE table_name= oraz cols WHERE table_name=. 4. Pobranie przez atakującego poufnych informacji z bazy danych. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 5

6 SQL Injection Schemat ataku: Przesłanie spreparowanego kodu Wykonanie zapytania przez serwer baz danych Serwer DB Atakujący Kradzież danych Serwer WWW Zwrócenie wyniku zapytania Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 6

7 SQL Injection Zabezpieczenie: Przykładowym sposobem sprawdzenia, czy strona jest podatna na atak SQL Injection jest dodanie do parametru przekazywanego wartości OR 1=1 (np. jeżeli strona index.php przekazuje metodą GET nazwę użytkownika: index.php?user=test, sprawdzenie będzie miało postać: index.php?user=test OR 1=1) Aby wyeliminować ten problem można użyć w CodeIgniter następującej składni modelu: $this -> db -> select('id,nazwa'); $this -> db -> from('uzytkownicy'); $this -> db -> where( USERNAME = '. "'". $user. "'"); Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 7

8 SQL Injection Zabezpieczenie: W efekcie $user jest argumentem user metody GET. Kod ten uniemożliwia wykorzystanie doklejanej instrukcji SQL, ponieważ wygeneruje błąd na poziomie składanego zapytania. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 8

9 Cross Site Scripting (XSS) Atak XSS polega na umiejętnym wstrzykiwaniu odpowiednio spreparowanego kodu źródłowego (najczęściej JavaScript) do serwisu internetowego. Kod źródłowy może zostać przygotowany w trzech podstawowych językach: HTML, CSS, JavaScript. Podstawowym celem ataku jest wykonanie niepożądanych akcji serwisu. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 9

10 Cross Site Scripting (XSS) Rodzaje ataków: non-persistent XSS, persistent XSS. Non-persistent XSS spreparowany kod jest prezentowany wyłącznie w odpowiedzi na konkretne zapytanie. Persistent XSS serwis zapamiętuje przesłaną treść i prezentuje ją kolejnym odwiedzającym. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 10

11 Cross Site Scripting (XSS) Schemat ataku (na przykładzie forum): 1. Wypełnienie formularza rejestracyjnego forum. 2. Dodanie do jednego z pól (np. stopki) odpowiednio spreparowanego kodu (np. JavaScript). 3. Potwierdzenie rejestracji. Efekt: Stopka jest widoczna przez wszystkich użytkowników forum, więc złośliwy kod wyświetlany jest każdemu użytkownikowi (atak typu persistent XSS). Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 11

12 Cross Site Scripting (XSS) Schemat ataku: Atakujący Dostarczenie spreparowanego linka Ofiara Wykonanie złośliwego kodu Uruchomienie linka Strona Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 12

13 Cross Site Scripting (XSS) Zabezpieczenie: Filtrowanie treści włączenie globalnego filtrowania treści pod kątem ataku XSS. Aktywacja w pliku config.php: $config['global_xss_filtering'] = TRUE; Użycie filtra XSS w przypadku metod POST oraz GET (wykorzystanie przeciążonej metody): //filtr XSS: $nazwisko = $this->input->post('nazwisko',true); //brak filtra XSS: $nazwisko = $this->input->post('nazwisko'); Adekwatnie dla metody GET Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 13

14 Cross Site Scripting (XSS) Zabezpieczenie: Oprócz filtrowania można także wykorzystać metody html_escape jako podstawowe narzędzie w walce z atakami XSS. Np. można sprawdzać, czy czysta przekazana wartość metodą POST jest różna od wartości odfiltrowanej. Jeśli tak, może to oznaczać próbę ataku: if ($nazwisko!= html_escape($nazwisko)){... } Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 14

15 Cross Site Request Forgery (CSRF) Atak CSRF oznacza wykonanie określonej akcji przez użytkownika nieświadomego zagrożenia. Powodzenie ataku wymaga spełnienia dwóch warunków: użytkownik musi być uwierzytelniony i zautoryzowany w danej aplikacji webowej, przeglądarka użytkownika musi wysłać do serwisu określone żądanie. Uwaga: kliknięcie odnośnika nie jest wymagane, aby zostało przesłane żądanie akcji. Atakujący może osiągnąć swój cel poprzez zagnieżdżoną ramkę, bądź też skrypt osadzony na stronie WWW. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 15

16 Cross Site Request Forgery (CSRF) Schemat ataku: 1. Atakujący dokonuje spreparowania odnośnika, strony lub skryptu. 2. Atakujący wykorzystując nieświadomość użytkownika (podstęp, socjotechnika) wymusza na nim wykonanie określonych czynności. 3. Ofiara uruchamia odnośnik i dokonuje wysłania żądania do serwera. 4. Zostaje wykonana akcja określona przez atakującego Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 16

17 Cross Site Request Forgery (CSRF) Schemat ataku: Uruchomienie linka / żadania Atakujący Dostarczenie spreparowanego linka / żadania Ofiara Wykonanie żadania Strona Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 17

18 Cross Site Request Forgery (CSRF) Zabezpieczenie: Hasła jednorazowe uniemożliwiają osobie niepowołanej spreparowanie poprawnego żądania do serwera. Dodanie do formularza ukrytego pola, zawierającego pseudolosową liczbę, która jest przekazywana jako potwierdzenie wykonania danego żądania. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 18

19 Cross Site Request Forgery (CSRF) Zabezpieczenie: Włączenie wbudowanego narzędzia ochrony przed atakami CSRF. Aktywacja w pliku config.php: $config['csrf_protection'] = TRUE; Zdefiniowanie nazwy tokena oraz czas aktywności: $config['csrf_token_name'] = 'csrf_test_name'; $config['csrf_expire'] = 7200; Po stronie widoku wymagane jest dodanie ukrytego pola, które będzie zawierać odpowiedni token. Wygenerowanie tokena CSRF: <?php echo $this->security->get_csrf_hash();?> Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 19

20 Podsumowanie Przedstawiono wybrane ataki internetowe na aplikacje webowe oparte o framework CodeIgniter. CodeIgniter posiada wbudowane mechanizmy ochrony przez atakami typu SQL Injection, XSS oraz CSRF. Serwisy webowe stają się dziś coraz bardziej popularne, dlatego już na etapie ich projektowania i implementacji należy zadbać o ich bezpieczeństwo i wyeliminowanie podatnych na ataki miejsc. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 20

21 Koniec Dziękuję za uwagę Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 21