Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web



Podobne dokumenty
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Bezpieczeństwo aplikacji. internetowych. 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP

OWASP OWASP. The OWASP Foundation Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Drobne błędy w portalach WWW

Marek Krauze

Bezpieczeństwo systemów komputerowych

Portal Security - ModSec Enterprise

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Szanowni Państwo, W bieżącym wydaniu... Nowości w ofercie Websense: Zabezpieczenia Web oraz na jednym appliance TRITON 7.6.1

Palo Alto firewall nowej generacji

ASQ: ZALETY SYSTEMU IPS W NETASQ

The OWASP Foundation Session Management. Sławomir Rozbicki.

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

6. Bezpieczeństwo przy współpracy z bazami danych

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

CYBEROAM Unified Treatment Management, Next Generation Firewall

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

OWASP. The Open Web Application Security Project. OWASP Top rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach

Technologia Automatyczne zapobieganie exploitom

Internetowy moduł prezentacji WIZYT KLIENTA PUP do wykorzystania np. na stronie WWW. Wstęp

Projektowani Systemów Inf.

Aspekty bezpieczeństwa aplikacji internetowych

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

Webapplication Security Pentest Service

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

Najskuteczniejsze sposoby zabezpieczania baz danych, w jaki sposób je monitorować oraz jak audytować

Standardy oceny bezpieczeństwa i strategie ochrony aplikacji Web

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Aplikacje WWW - laboratorium

Sprawozdanie nr 4. Ewa Wojtanowska

TOPIT Załącznik nr 3 Programowanie aplikacji internetowych

Monitorowanie działania ania sieci i bezpieczeństwa

Zarządzanie bezpieczeństwem krytycznych usług IT Piotr Tkaczyk Certified F5 trainer

z testów penetracyjnych

GEO-SYSTEM Sp. z o.o. GEO-RCiWN Rejestr Cen i Wartości Nieruchomości Podręcznik dla administratora systemu Warszawa 2007

AJAX. Wykonał: Marcin Ziółkowski, AGH Kraków, AiR rok 5.

Agenda. Quo vadis, security? Artur Maj, Prevenity

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Bezpieczeństwo aplikacji internetowych

Program szkolenia: Bezpieczny kod - podstawy

9. System wykrywania i blokowania włamań ASQ (IPS)

9:45 Powitanie. 12:30 13:00 Lunch

Instrukcja zarządzania kontami i prawami

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

5. Administracja kontami uŝytkowników

Kurs rozszerzony języka Python

Robaki sieciowe. + systemy IDS/IPS

Obsługa incydentów bezpieczeństwa: część I, z punktu widzenia menadżera. OWASP The OWASP Foundation

E-commerce. Genialnie proste tworzenie serwisów w PHP i MySQL.

Blokowanie stron internetowych

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Bezpieczne udostępnianie usług www. BłaŜej Miga Zespół Bezpieczeństwa PCSS

KATEGORIA OBSZAR WIEDZY

Administratorzy kontrolują systemy IT, a kto kontroluje administratorów?

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP The OWASP Foundation

Technologie Internetowe Raport z wykonanego projektu Temat: Internetowy sklep elektroniczny

Full Stack JavaScript z Angular i Nest. Dni: 5. Opis: Adresaci szkolenia

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP The OWASP Foundation

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi

Blokowanie stron internetowych

ZESPÓŁ SZKÓŁ NR 9. Projekt lokalnej sieci komputerowej zapewniającej dostęp do Internetu.

Wirtualizacja sieciowej infrastruktury bezpieczeństwa

Szczegółowa specyfikacja funkcjonalności zamawianego oprogramowania.

Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych.

Przewodnik użytkownika (instrukcja) AutoMagicTest

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania

Jak bezpieczne są Twoje dane w Internecie?

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Certyfikat niekwalifikowany zaufany Certum Silver. Instrukcja dla uŝytkowników Windows Vista. wersja 1.1 UNIZETO TECHNOLOGIES SA

1. Streszczenie. 2. Opis problemu

Języki programowania wysokiego poziomu. Ćwiczenia

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym

Instrukcja skierowana jest do klientów firmy Chint Poland Sp. Z o. o. którzy uzyskali dostęp do systemu esobi.

Część I Tworzenie baz danych SQL Server na potrzeby przechowywania danych

SYSTEM ZARZĄDZANIA TREŚCIĄ (CMS) STRONY INTERNETOWEJ SZKOŁY PRZEWODNIK

Dokumentacja systemu NTP rekrut. Autor: Sławomir Miller

BDG.V PC Warszawa, dnia r.

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Aplikacje WWW - laboratorium

Opis Przedmiotu Zamówienia

SQL injection. Metody włamań do systemów komputerowych p. 1/13. Bogusław Kluge, Karina Łuksza, Ewa Makosa

Polityka prywatności Spółdzielni Mieszkaniowej Słoneczny Stok

Wykład 5: PHP: praca z bazą danych MySQL

Dokumentacja instalacji aktualizacji systemu GRANIT wydanej w postaci HotFix a

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Zajęcia prowadzone przez MCT, auditora wiodącego systemów bezpieczeństwa informacji.

Języki programowania wysokiego poziomu. PHP cz.3. Formularze

RFP. Wymagania dla projektu. sklepu internetowego B2C dla firmy Oplot

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

Regulamin usługi ebok PEC Sp. z o.o. w Świnoujściu Obowiązuje od r.

Transkrypt:

Opracował: dr inŝ. Mariusz Stawowski F5 Certified Product Consultant, ASM Email: mariusz.stawowski@clico.pl Zabezpieczenia sieciowe Firewall i Intrusion Prevention System (IPS) są podstawą do tworzenia architektury bezpieczeństwa sieci (m.in. stref bezpieczeństwa) oraz przeciwdziałania wielu groźnym atakom sieciowych (m.in. exploity na serwisy sieciowe i system operacyjny, propagacja robaków sieciowych, itd.). Światowe statystyki incydentów, jak równieŝ audyty bezpieczeństwa pokazują, Ŝe w przypadku ochrony aplikacji Web zabezpieczenia te nie są wystarczające. Wynika to z faktu, Ŝe aplikacje Web tworzone są zwykle na zamówienie firm w celu spełnienia ich indywidualnych wymagań biznesowych. W efekcie pisane na zamówienie aplikacje Web posiadają unikalne podatności, szczególnie w odniesieniu do logiki biznesowej aplikacji. W praktyce nie ma moŝliwości napisania uniwersalnych sygnatur IPS do skutecznej identyfikacji podatności, które są specyficzne dla określonej aplikacji Web. Co prawda rodzaje ataków na aplikacje Web są znane (np. Cross Site Scripting, SQL-Injection), ale sposobów ich wykorzystania jest bardzo wiele. Skuteczną ochronę dla aplikacji Web zapewnia nowa kategoria zabezpieczeń Web Application Firewall (WAF). System zabezpieczeń WAF bazuje w głównej mierze na automatycznie tworzonym i aktualizowanym profilu chronionej aplikacji Web. WAF "uczy się" struktury aplikacji, URL, parametrów, cookie, itp. Tworzenie profilu ma na celu niezaleŝne odwzorowanie oczekiwanych, poprawnych zachowań uŝytkowników przy dostępie do aplikacji Web. PoniŜszy rysunek pokazuje fragment profilu aplikacji Web utrzymywanego przez zabezpieczenia WAF. W celu dokładniejszego zweryfikowania moŝliwości zabezpieczeń IPS i WAF w zakresie ochrony aplikacji Web zostały wykonane ataki na testową aplikację Web, wykorzystujące rzeczywiste błędy tej aplikacji. Do testów zostało uŝyte rozwiązanie WAF firmy F5 Networks (moduł Application Security Manager w urządzeniu BIG-IP) oraz rozwiązanie IPS jednego z wiodących światowych producentów zabezpieczeń (włączone wszystkie dostępne techniki detekcji i sygnatury). CLICO Sp. z o.o., ul. Oleandry 2, 30-063 Kraków; Tel: 12 6325166; 12 2927522... 24 ; Fax: 12 6323698; Oddział Warszawa, ul. Kijowska 1, 03-738 Warszawa; Tel: 22 5180270.. 72; Fax: 22 5180273 E-mail: support@clico.pl, orders@clico.pl.; http://www.clico.pl

W trakcie testów zostały wykonane następujące ataki na aplikację Web: 1. Prosty XSS Reflected 2. XSS Reflected z enkodowaniem znaków 3. Prosty XSS Stored 4. Kombinacje XSS Stored 5. XSS Stored z enkodowanie znaków 6. Prosty SQL-Injection 7. SQL-Injection z kombinacją zapytania SQL 8. Manipulacja parametru aplikacji Web 9. Forceful Browsing 10. Information Leakage 11. Atak D/DoS (zalewanie zapytaniami HTTP) 12. Atak brutalny na login aplikacji Web Test 1. Prosty atak XSS Reflected 1a. Reakcja IPS -- IPS wykrywa elementy skryptu w parametrze URL, brak dokładniejszych danych. 1b. Reakcja WAF -- WAF wykrywa i pokazuje nielegalną wartość parametru w URL. 2

-- Administrator WAF moŝe dokładnie przeanalizować zapytanie. -- W razie potrzeby administrator WAF moŝe dostroić wyuczony profil. 3

Test 2. XSS Reflected z enkodowaniem znaków -- Kod XSS enkodujemy w URL i przekazujemy do aplikacji Web. 2a. Reakcja IPS 2b. Reakcja WAF -- Wykrywa atak i pokazuje zastosowane enkodowanie. 4

Test 3. Prosty XSS Stored -- W formularzu Web wpisujemy kod do pobrania pliku graficznego z zewnętrznego serwera. -- W efekcie uŝytkownikowi aplikacji Web wyświetla się plik graficzny pobrany z Internetu. 3a. Reakcja IPS 3b. Reakcja WAF -- WAF wykrywa nielegalną zawartość zapytania URL. 5

-- Administrator WAF moŝe dokładnie przeanalizować powody zablokowania zapytania URL. ---- nielegalna wielkość danych wejściowych, ---- nielegalna zawartość danych wejściowych, ---- identyfikacja ataku XSS poprzez sygnatury. 6

Test 4. Kombinacje XSS Stored Atak wykonujemy na takiej samej zasadzie jak w teście 3. -- Wykorzystujemy funkcje onload, onmouseover i onerror. 4a. Reakcja IPS 4b. Reakcja WAF -- WAF wykrywa nielegalną zawartość zapytania URL. 7

Test 5. XSS Stored z enkodowaniem znaków -- Skrypt enkodujemy w base64 i umieszczamy w META Tagu. 5a. Reakcja IPS 5b. Reakcja WAF -- Wykrywa atak i pokazuje zastosowane enkodowanie /jak dla poprzedniego ataku/. 8

Test 6. Prosty SQL-Injection Wprowadzamy zapytanie SQL w pole logowania aplikacji Web i uzyskujemy nieupowaŝniony dostęp do aplikacji. 6a. Reakcja IPS -- IPS wykrywa atak SQL-Injection w URL, brak dokładniejszych informacji o ataku. 6b. Reakcja WAF -- Wykrywa atak i pokazuje szczegółowe informacje na jego temat /jak dla poprzednich ataków/. 9

Test 7. SQL-Injection z kombinacją zapytania SQL Wprowadzamy zapytanie SQL w zmodyfikowanej formie. 7a. Reakcja IPS 7b. Reakcja WAF -- Wykrywa atak i pokazuje szczegółowe informacje na jego temat /jak dla poprzednich ataków/. 10

Test 8. Manipulacja parametru aplikacji Web Przechwytujemy zapytanie do aplikacji Web i modyfikujemy wartość parametru. -- Modyfikujemy wartość parametru na znak wildcard (*). -- W efekcie nielegalnie odczytujemy dane wszystkich zarejestrowanych uŝytkowników. 8a. Reakcja IPS 8b. Reakcja WAF -- Wykrywa atak i pokazuje szczegółowe informacje na jego temat /jak dla poprzednich ataków/. 11

Test 9. Forceful Browsing Bez logowania do aplikacji wywołujemy URL strony z konfiguracją PHP /includes/config.inc.php.old 9a. Reakcja IPS 9b. Reakcja WAF -- Wykrywa atak i pokazuje szczegółowe informacje na jego temat /jak dla poprzednich ataków/. 12

Test 10. Wyciek poufnych danych (Information Leakage) Odczyt numerów kart kredytowych z bazy danych za pomocą ataku z testu 8. 10a. Reakcja IPS 10b. Reakcja WAF -- WAF maskuje numery kart kredytowych i wykrywa atak oraz pokazuje szczegółowe informacje na jego temat /jak dla poprzednich ataków/. Test 11. Atak D/DoS (zalewanie zapytaniami HTTP) Do wykonania testu DoS na aplikację Web moŝna wykorzystać róŝne ogólnie dostępne narzędzia, np. aplikację OWASP HTTP Post Tool 1. Ataki D/DoS skierowane na konkretną aplikację Web wykonywane z wykorzystaniem odpowiednio dobranych zapytań HTTP potrafią spowodować jej niedostępność za pomocą niewielkiej liczby zapytań, spreparowanych tak, aby maksymalnie angaŝować CPU i pamięć serwera. Konwencjonalne zabezpieczenia firewall i IPS nie mają moŝliwości zablokowania takich ataków DoS, poniewaŝ liczba otwieranych sesji nie jest duŝa i są to legalne zapytania do aplikacji. Identyfikacja aplikacyjnych ataków D/DoS w systemach WAF jest moŝliwa poprzez analizę czasu odpowiedzi serwera (opóźnienia) oraz częstości napływających zapytań do serwera. Istotne zwiększenie opóźnienia w odpowiedziach serwera lub częstości zapytań napływających do serwera moŝe wskazywać na atak D/DoS. Analiza ruchu dokonywana jest w odniesieniu do danych historycznych. Ataki D/DoS wykonywane są za pomocą narzędzi. Nie odbywa się to z wykorzystaniem przeglądarek Web. Skuteczną metodą ochrony jest identyfikacja czy zapytania do aplikacji wysyłane są przez przeglądarkę, czy inne narzędzia. Zabezpieczenia WAF posiadają zaimplementowane metody rozpoznawania czy zapytania wysyłane są przez przeglądarki Web (m.in. dodają kod JavaScript do odpowiedzi serwera i weryfikują kolejne zapytania) i umoŝliwiają filtrowanie ruchu generowanego przez inne narzędzia. 1 OWASP HTTP Post Tool aplikacja do generowania zapytań do aplikacji Web. Więcej informacji dostępne na stronie: http://www.pentestit.com/2010/11/28/owasp-http-post-tool/ 13

11a. Reakcja IPS 11b. Reakcja WAF -- WAF identyfikuje duŝą liczbę zapytań do strony browse.php, wykrywa zwiększenie opóźnienia odpowiedzi serwera i pokazuje statystykę ataku DoS. 14

Test 12. Atak brutalny na login aplikacji Web Do wykonania testu brutalnego na login aplikacji Web moŝna wykorzystać róŝne ogólnie dostępne narzędzia, np. aplikację THC-Hydra 2. hydra -L users.txt -P words.txt 10.1.75.102 http-post-form "/user_login.php:username=^user^&password=^pass^&=wy%b6lij+zapytanie&action =login:login incorrect" & W celu ochrony aplikacji Web przed atakami odgadywania haseł zabezpieczenia WAF muszą wiedzieć, która strona i jakie parametry słuŝą do logowania do aplikacji. Administrator WAF wprowadza takie informacje w konfiguracji. Administrator WAF ustala takŝe kryteria i sposób identyfikacji ataku na login aplikacji Web. 2 THC-Hydra aplikacja do wykonywania różnego rodzajów ataków brute force, także na aplikacje Web. Więcej informacji dostępne na stronie: http://freeworld.thc.org/thc-hydra/ 15

12a. Reakcja IPS 13b. Reakcja WAF -- WAF identyfikuje atak na login aplikacji Web i pokazuje statystykę ataku. 16

Podsumowanie testów PoniŜej zamieszczona tabelka przedstawia podsumowanie testów skuteczności zabezpieczeń IPS i WAF przed atakami na aplikację Web. Lp. Atak na aplikację Web IPS WAF 1. Prosty XSS Reflected Atak wykryty jako skrypt w parametrze URL Brak dokładniejszych informacji o ataku 2. XSS Reflected z enkodowaniem znaków Wykryta nielegalna wartość parametru HTTP GET Szczegółowe informacje o ataku Nie wykrywa ataku 3 Wykryta nielegalna wartość parametru URL Szczegółowe informacje o ataku, w tym pokazuje zastosowane enkodowane 3. Prosty XSS Stored Nie wykrywa ataku Wykryta nielegalna zawartość zapytania HTTP POST Szczegółowe informacje o ataku 4. Kombinacje XSS Stored Nie wykrywa ataku Wykryta nielegalna zawartość zapytania HTTP POST Szczegółowe informacje o ataku 5. XSS Stored z enkodowanie znaków 6. Prosty SQL-Injection Wykryty atak SQL- Injection w URL Brak dokładniejszych informacji o ataku 7. SQL-Injection z kombinacją zapytania SQL 8. Manipulacja parametru aplikacji Web Nie wykrywa ataku Wykryta nielegalna zawartość zapytania HTTP POST Szczegółowe informacje o ataku, w tym pokazuje zastosowane enkodowane Wykryta nielegalna wartość parametru HTTP GET Szczegółowe informacje o ataku Nie wykrywa ataku Wykryta nielegalna wartość parametru HTTP GET Szczegółowe informacje o ataku Nie wykrywa ataku Wykryta nielegalna wartość parametru Szczegółowe informacje o ataku 9. Forceful browsing Nie wykrywa ataku Wykrywa dostęp do nieznanego URL 10. Wyciek informacji (Information Leakage) 11. Atak D/DoS (zalewanie zapytaniami HTTP) 12. Atak brutalny na login aplikacji Web Nie wykrywa ataku Identyfikuje atak i maskuje poufne dane Nie wykrywa ataku Identyfikuje duŝą liczbę zapytań do okr. URL, wykrywa zwiększenie opóźnienia odpowiedzi serwera i pokazuje statystykę ataku DoS Nie wykrywa ataku Identyfikuje atak na login aplikacji Web i pokazuje statystykę ataku W niniejszych testach zostały wykorzystane najbardziej popularne i proste do wykonania ataki. Aplikacje Web mogą zostać poddane wielu innym atakom, dla których konwencjonalne zabezpieczenia (FW, IPS, UTM) takŝe nie stanowią zabezpieczenia, m.in.: Cross Site Request Forgery (CSRF), nielegalny dostęp do plików i danych serwera Web (enumeracja plików), cookie poisoning, manipulacja ukrytych pól. 3 Ten i inne przedstawione w tabelce ataki Web mogłyby zostać wykryte przez IPS po napisaniu odpowiednich sygnatur dla tych konkretnych ataków. Do napisania sygnatur IPS wymagane są jednak informacje jak ataki zostaną wykonane. W rzeczywistości jest to niemożliwe, ponieważ producenci IPS nie wiedzą jakie dokładnie błędy mają napisane dla firm aplikacje Web i w jaki sposób te błędy mogą zostać wykorzystane. Ataki XSS, SQL-Injection, itd. mogą zostać wykonane na wiele różnych sposobów. Nie ma możliwości napisać dla wszystkich tych ataków sygnatur IPS. Dlatego też IPS za pomocą tzw. uniwersalnych sygnatur wykrywa tylko podstawowe ataki Web wykonywane w typowy sposób. 17

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres