Uniwersytet Zielonogórski Wydział Elektrotechniki, Informatyki i Telekomunikacji Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework mgr inż. Łukasz Stefanowicz dr inż. Grzegorz Bazydło dr inż. Remigiusz Wiśniewski Nowy Kisielin, 17 marca 2015
Plan prezentacji Główne cechy frameworka CodeIgniter Wybrane ataki internetowe a CodeIgniter SQL Injection Cross Site Scripting (XSS) Cross Site Request Forgery (CSRF) Podsumowanie Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 2
CodeIgniter Framework Framework (ang. szkielet aplikacji) napisany w PHP Stworzony przez Ricka Ellisa w roku 2006 Bazuje na wzorcu MVC (Model-View-Controller) Pełna kompatybilność z PHP 5.1.6 i nowszymi Mały rozmiar Wsparcie dla baz danych: MySQL, PostgreSQL, MS SQL, Oracle, SQLite oraz ODBC Zarządzanie sesjami Wbudowane mechanizmy zwiększające bezpieczeństwo serwisu internetowego Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 3
SQL Injection Atak polega na iniekcji odpowiednio spreparowanego kodu SQL. Podstawowym celem jest uzyskanie dostępu do chronionych danych. Formy ataku: przekazywanie dodatkowych parametrów do zapytania (niedostateczne filtrowanie danych), atak na stronie, która nie wyświetla komunikatów błędów, błędy implementacyjne serwera SQL. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 4
SQL Injection Schemat ataku: 1. Sprawdzenie, czy strona jest podatna na atak SQL Injection (np. poprzez dodanie do argumentu wartości OR 1=1). 2. Uzyskanie informacji na temat nazwy bazy danych oraz tabel. 3. Uzyskanie informacji na temat kolumn. Odpowiednio: information_schema.columns WHERE table_name= oraz cols WHERE table_name=. 4. Pobranie przez atakującego poufnych informacji z bazy danych. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 5
SQL Injection Schemat ataku: Przesłanie spreparowanego kodu Wykonanie zapytania przez serwer baz danych Serwer DB Atakujący Kradzież danych Serwer WWW Zwrócenie wyniku zapytania Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 6
SQL Injection Zabezpieczenie: Przykładowym sposobem sprawdzenia, czy strona jest podatna na atak SQL Injection jest dodanie do parametru przekazywanego wartości OR 1=1 (np. jeżeli strona index.php przekazuje metodą GET nazwę użytkownika: index.php?user=test, sprawdzenie będzie miało postać: index.php?user=test OR 1=1) Aby wyeliminować ten problem można użyć w CodeIgniter następującej składni modelu: $this -> db -> select('id,nazwa'); $this -> db -> from('uzytkownicy'); $this -> db -> where( USERNAME = '. "'". $user. "'"); Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 7
SQL Injection Zabezpieczenie: W efekcie $user jest argumentem user metody GET. Kod ten uniemożliwia wykorzystanie doklejanej instrukcji SQL, ponieważ wygeneruje błąd na poziomie składanego zapytania. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 8
Cross Site Scripting (XSS) Atak XSS polega na umiejętnym wstrzykiwaniu odpowiednio spreparowanego kodu źródłowego (najczęściej JavaScript) do serwisu internetowego. Kod źródłowy może zostać przygotowany w trzech podstawowych językach: HTML, CSS, JavaScript. Podstawowym celem ataku jest wykonanie niepożądanych akcji serwisu. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 9
Cross Site Scripting (XSS) Rodzaje ataków: non-persistent XSS, persistent XSS. Non-persistent XSS spreparowany kod jest prezentowany wyłącznie w odpowiedzi na konkretne zapytanie. Persistent XSS serwis zapamiętuje przesłaną treść i prezentuje ją kolejnym odwiedzającym. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 10
Cross Site Scripting (XSS) Schemat ataku (na przykładzie forum): 1. Wypełnienie formularza rejestracyjnego forum. 2. Dodanie do jednego z pól (np. stopki) odpowiednio spreparowanego kodu (np. JavaScript). 3. Potwierdzenie rejestracji. Efekt: Stopka jest widoczna przez wszystkich użytkowników forum, więc złośliwy kod wyświetlany jest każdemu użytkownikowi (atak typu persistent XSS). Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 11
Cross Site Scripting (XSS) Schemat ataku: Atakujący Dostarczenie spreparowanego linka Ofiara Wykonanie złośliwego kodu Uruchomienie linka Strona Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 12
Cross Site Scripting (XSS) Zabezpieczenie: Filtrowanie treści włączenie globalnego filtrowania treści pod kątem ataku XSS. Aktywacja w pliku config.php: $config['global_xss_filtering'] = TRUE; Użycie filtra XSS w przypadku metod POST oraz GET (wykorzystanie przeciążonej metody): //filtr XSS: $nazwisko = $this->input->post('nazwisko',true); //brak filtra XSS: $nazwisko = $this->input->post('nazwisko'); Adekwatnie dla metody GET Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 13
Cross Site Scripting (XSS) Zabezpieczenie: Oprócz filtrowania można także wykorzystać metody html_escape jako podstawowe narzędzie w walce z atakami XSS. Np. można sprawdzać, czy czysta przekazana wartość metodą POST jest różna od wartości odfiltrowanej. Jeśli tak, może to oznaczać próbę ataku: if ($nazwisko!= html_escape($nazwisko)){... } Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 14
Cross Site Request Forgery (CSRF) Atak CSRF oznacza wykonanie określonej akcji przez użytkownika nieświadomego zagrożenia. Powodzenie ataku wymaga spełnienia dwóch warunków: użytkownik musi być uwierzytelniony i zautoryzowany w danej aplikacji webowej, przeglądarka użytkownika musi wysłać do serwisu określone żądanie. Uwaga: kliknięcie odnośnika nie jest wymagane, aby zostało przesłane żądanie akcji. Atakujący może osiągnąć swój cel poprzez zagnieżdżoną ramkę, bądź też skrypt osadzony na stronie WWW. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 15
Cross Site Request Forgery (CSRF) Schemat ataku: 1. Atakujący dokonuje spreparowania odnośnika, strony lub skryptu. 2. Atakujący wykorzystując nieświadomość użytkownika (podstęp, socjotechnika) wymusza na nim wykonanie określonych czynności. 3. Ofiara uruchamia odnośnik i dokonuje wysłania żądania do serwera. 4. Zostaje wykonana akcja określona przez atakującego Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 16
Cross Site Request Forgery (CSRF) Schemat ataku: Uruchomienie linka / żadania Atakujący Dostarczenie spreparowanego linka / żadania Ofiara Wykonanie żadania Strona Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 17
Cross Site Request Forgery (CSRF) Zabezpieczenie: Hasła jednorazowe uniemożliwiają osobie niepowołanej spreparowanie poprawnego żądania do serwera. Dodanie do formularza ukrytego pola, zawierającego pseudolosową liczbę, która jest przekazywana jako potwierdzenie wykonania danego żądania. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 18
Cross Site Request Forgery (CSRF) Zabezpieczenie: Włączenie wbudowanego narzędzia ochrony przed atakami CSRF. Aktywacja w pliku config.php: $config['csrf_protection'] = TRUE; Zdefiniowanie nazwy tokena oraz czas aktywności: $config['csrf_token_name'] = 'csrf_test_name'; $config['csrf_expire'] = 7200; Po stronie widoku wymagane jest dodanie ukrytego pola, które będzie zawierać odpowiedni token. Wygenerowanie tokena CSRF: <?php echo $this->security->get_csrf_hash();?> Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 19
Podsumowanie Przedstawiono wybrane ataki internetowe na aplikacje webowe oparte o framework CodeIgniter. CodeIgniter posiada wbudowane mechanizmy ochrony przez atakami typu SQL Injection, XSS oraz CSRF. Serwisy webowe stają się dziś coraz bardziej popularne, dlatego już na etapie ich projektowania i implementacji należy zadbać o ich bezpieczeństwo i wyeliminowanie podatnych na ataki miejsc. Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 20
Koniec Dziękuję za uwagę Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework 21