OWASP Top 10 (2007)

Zbyněk Ondrák

Open Web Application Security Project (OWASP)

• otevřená komunita zaměřená na zlepšování bezpečnosti webového aplikačního software
• nezávislá na komerčních zájmech
• nezisková
• řídí se etickým kodexem
• volně dostupné materiály, hlavní projekt:
  OWASP Guide (přes 300 slabin webových aplikací)
• volně přístupná jednání v přes 130 oblastech světa

OWASP Top 10

• 10 nejběžnějších webových slabin: OWASP Top 10 projekt



• cílem vzdělávat vývojáře, designéry, architekty a organizace o důsledcích nezabezpečení slabých míst
• poskytuje základní protekční metody
• zajištění bezpečnosti je proces = zohledňování nových hrozeb
• nutnost zabezpečení oblastí vývojového cyklu programu:
  návrh, vývoj a vytvořený implicitní stav

Souhrn (1)

1. Cross Site Scripting (XSS)
2. injection útoky (SQL injection)
3. provedení zákeřného spustitelného souboru
4. nezabezpečený přímý popis objektu
5. Cross Site Request Forgery (CSRF)
6. únik informací nebo nesprávné řízení chyb
7. špatná autentizace a správa relace

Souhrn (2)

8. nezabezpečené kryptografické úložiště
9. nezabezpečené komunikace
10. chybné zamezení URL přístupu

10. chybné zamezení URL přístupu (1)

zabezpečení pouze existence citlivých informací, tj. nezveřejnění odkazů neautorizovaným uživatelům, zatímco přístup pomocí URL je možný

náchylnosti:

• "forced browsing" útok - hádá v celém prostoru možností
• komplexnější útok - ovlivnění kódu řízení přístupu

příklady:

• speciálně pojmenované administrátorské URL (/admin/adduser.php, /approveTransfer.do)

10. chybné zamezení URL přístupu (2)

• skryté soubory aplikací (statický XML, systémové zprávy)
• zastaralá nebo nedostatečná politika řízení přístupu
• kód vyhodnocující privilegie u klienta -> zneužití JavaScriptu

ochrana:

• nestačí autorizace (lze přeskočit) -> řádná implementace vybraného mechanizmu řízení přístupu
• odložení nepotřebných souborů mimo oblast zneužití
• zamezení přístupu nevyužívaných souborů

9. nezabezpečené komunikace

nepoužití šifrovaného přenosu citlivých informací

náchylnosti:

• instalace snifferů k odposlechu i na nečekaných podsítích
• na backend zařízench je větší riziko

ochrana:

• použití TLS/SSL propojení (včetně komunikace např. mezi webovým serverem a databázovým systémem)

8. nezabezpečené kryptografické úložiště (1)

snadnost přístupu útočníka ke kryptografickému materiálu

běžné nedostatky:

• nezašifrovaní citlivého materiálu
• používání vlastnoručně napsaných algoritmů
• nezabezpečené použití silných algoritmů
• nadále používání prokázaně slabých algoritmů
• nevhodné kódování klíčů či ukládání v nezabezpečených oblastech

8. nezabezpečené kryptografické úložiště (2)

ochrana (kromě zřejmých z uvedených nedostatků):

• k přenosu tajných klíčů použít jiný bezpečný kanál
• prověření nesnadnosti dešifrování lokálními či vzdálenými uživateli

7. špatná autentizace a správa relace (1)

snadnost získání citlivých autentizačních prvků jako klíč, heslo nebo autentizační token

náchylnosti (zejména ve funkcích mimo hlavní autentizaci):

• logout
• "zapamatuj si mě" volba
• bezpečnostní otázka
• timeout
• správa hesla
• aktualizace účtu

7. špatná autentizace a správa relace (2)

ochrana (viz 9. a 8. slabina):

• nejdříve dohlédnutí, že ve všech oblastech je TLS/SSL spojení (9.) a zpracovávaná data jsou uložena v hashované či zašifrované formě (8.)
• jednotný autentizační mechanizmus (replay či spoofing útoky)
• nepřijímat nové, přednastavené nebo nesprávné relační identifikátory -> session fixation attack
• zbavit se a nevyužívat cookies pro řízení relace ("zapamatuj si mě" volba, vlastnoručně vyrobený single sign-on systém)

7. špatná autentizace a správa relace (3)

• nezačínat přihlašování z nezašifrované stránky
• zajištění existence odhlašovací funkce na každé stránce
• co nejkratší časově limitovaná relace
• pouze silné doprovodné autentizační mechanizy (otázka a odpovědi, odstranění hesla) - hashování odpovědí
• neposílat relační identifikátory či jejich části do URL či neukládat do logů
• nespoléhat se na podvržitelné informace (IP adresa, maska, DNS či reverzní DNS záznam)

6. únik informací nebo nesprávné řízení chyb (1)

aplikační nedostatky umožňující zjištění konfigurace, vnitřní procesy nebo poškození soukromí

příklady:

• detailní výpisy podmíněné chybami (výpis zásobníku, havarované SQL příkazy)
• funkce s různým výstupem na různých vstupech (stejná chybová hláška u zadání přihlašovacího jména a různého hesla)

6. únik informací nebo nesprávné řízení chyb (2)

ochrana (kromě zřejmých z uvedených příkladů) :

• testovat nástroji jako WebScarab od OWASPu
• zajištění použití běžného přístupu správy chyb celého vývojového týmu
• kontrola a zamezení zneužití chyb a výjimek z různých úrovní (web server, databáze)
• zvážení vytvoření vlastních chybových hlášek či návratových kódů (větší organizace)

5. Cross Site Request Forgery (CSRF) (1)

zneužití trvající nebo snadno přístupné relace provedením nechtěného požadavku na autorizovaných webových aplikacích

náchylnosti:

• zejména u slabě zabezpečených aplikací (žádná kontrola autorizace, provádějící akce pod implicitním nastavením, automaticky sbírané informaci jako relační cookie při trvání relace, pomocí "zapamatuj si mě" volby nebo Kerberos tokenu (intranet))

5. Cross Site Request Forgery (CSRF) (2)

příklady:

• <img src="http://www.example.com/logout.php">
  
  - tvářící se jako odhlašovací funkce
• <img src="http://www.vasebanka.cz/submitTranser/?account=1/1234&amount=1000000&confirm=1">
  
  - snadno přístupná relace (žádná informace, cookie, příp. hash tajného klíče)

5. Cross Site Request Forgery (CSRF) (3)

ochrana:

• odstranění Cross Site Scripting (XSS) závad (viz dále 1. slabina)
• vložení náhodného tokenu do každého formuláře/URL,
  např.:
  
  <form action="/transfer.do" method="post">
  <input type="hidden" name="8438927730" value="43847384383">
  …
  </form>

5. Cross Site Request Forgery (CSRF) (4)

• u hodnotných transakcí opětovně autentizovat nebo podepisovat transakci (využití vedlejšího kanálu k potvrzení či jen informování o transakci)
• nepoužívat metodu GET pro citlivá data či hodnotné transakce
• metoda POST je samostatně nedostatečná, kombinovat s náhodným tokenem, autentizací odlišnou od předešlé komunikace nebo opětovnou autentizací

4. nezabezpečený přímý popis objektu (1)

zneužití přímého popisu implementovaného objektu (soubor, adresář, databázový záznam, klíč) z URL nebo parametru formuláře potenciálně vedoucí k možnosti změny všech spojitelných objektů

příklady:

• <select name="language"><option value="fr">Français</option></select>
  …
  require_once ($_REQUEST['language’]."lang.php");
  
  null byte injection útok - použití řetězce jako
  "../../../../etc/passwd%00"

4. nezabezpečený přímý popis objektu (2)

• int cartID = Integer.parseInt( request.getParameter( "cartID" ) );
  String query = "SELECT * FROM table WHERE cartID=" + cartID;
  
  možnost změny cartID

ochrana:

• pokud není nutné použít přímý popis (nutnost autorizace), používat indexy, nepřímá pojmenování snadná k validaci
• konzervativně validovat (nepřípustné a neznámé nepřijímá)
• kontrola autorizace ke všem odkazovaným objektům

3. provedení zákeřného spustitelného souboru (1)

nezamezení vzdálené spuštění nevyžádaného kódu či rootkitu a kompromitace celého systému

náchylnosti:

• odeslání relačních souborů, logů, či kódu funkcí odesílání obrázků
• použití komprese či audio streamu (zlib://, ogg://) nekontrolován vnitřním PHP URL příznakem
• použití PHP obálky (php://input) apod. získávající vstup z POST požadavku spíše než ze souboru
• použití PHP "data:" obálky, např.:
  data:;base64,PD9waHAgcGhwaW5mbygpOz8+

3. provedení zákeřného spustitelného souboru (2)

běžný příklad nedostatku:

• include $_REQUEST['filename’];

ochrana:

• namísto:
  <select name=”language”>
  <option value=”English”>English</option>
  použít (příp. se solí):
  <select name=”language”>
  <option value=”78463a384a5aa4fad5fa73e2f506ecfc”>English</option>

3. provedení zákeřného spustitelného souboru (3)

• použití jazkové kontroly nebo schématu povolených jmen
• přidání pravidel firewallu k zamezení komunikace s externí sítí
• přijímání pouze typů souboru považovaných za bezpečné k danému účelu (.jpg, .pdf,...)
• implementace sandboxů (chroot jail, virtualizace)
• PHP: znemožnění allow_url_fopen a allow_url_include v php.ini a další

2. injection útoky (SQL injection) (1)

nechtěná transakce jako součást databázového požadavku

příklady:

• PHP:
  $sql = "SELECT * FROM table WHERE id = '".$_REQUEST['id’]."’";
  
  Java:
  String query = "SELECT user_id FROM user_data WHERE user_name = '" + req.getParameter("userID") + "' and user_password = '" + req.getParameter("pwd") +"'";
  

2. injection útoky (SQL injection) (2)

ochrana:

• nepoužívat interprety, jinak používat bezpečná API (silně typované parametrizované požadavky a ORM (object relational mapping) knihovny)
• standardní kontrola vstupu
• vynutit metodu minimálních privilegií
• vyhnutí se detailním chybovým zprávám
• nepoužívat escape funkce
• používat uložené procedury

1. Cross Site Scripting (XSS) (1)

nevalidování uživatelských dat či nezakódování před posláním prohlížeči,

3 známé typy:

odražené (ihned poslané k uživateli),
uložené (později poslané k uživateli) a
DOM injection (manipulace s kódém a proměnnými JavaScriptu)

příklad odrážejícího XSS útoku:

• echo $_REQUEST['userinput'];

1. Cross Site Scripting (XSS) (2)

ochrana:

• standardní kontrola vstupu
• silné zakódování výstupu
• určení výstupního kódování stránek
• nepoužívat validaci stylem "blacklist"
• kontrolovat kanonikalizaci ze zakódování (např. dekódování 2x)