NOČNÍ MŮRYNOČNÍ MŮRY
WEBOVÉHOWEBOVÉHO
VÝVOJÁŘEVÝVOJÁŘE
Michal ŠpačekMichal Špaček
www.michalspacek.czwww.michalspacek.cz @spazef0rze@spazef0rze
Na fotce je Mike Rogers, šéf americké NSA.
Tato verze slajdů obsahuje navíc poznámky
nejen pro ty, kteří na přednášce nebyli.

POUZE PRO
STUDIJNÍ ÚČELY
NENABÁDÁM
K TRESTNÉ ČINNOSTI
Webová bezpečnost je tak trochu jako matematika nebo sekera nebo
kladivo. Když s těmito znalostmi nebo nástroji uděláte něco nepěkného,
půjdete bručet. Můj anděl strážný mi doporučil vás upozornit.

Trestní zákoník – č. 40/2009 Sb. § 182
Porušení tajemství dopravovaných zpráv
(1) Kdo úmyslně poruší tajemství
a) …
b) datové, textové, hlasové, zvukové či obrazové zprávy posílané
prostřednictvím sítě elektronických komunikací a přiřaditelné k
identifikovanému účastníku nebo uživateli, který zprávu přijímá, nebo
c) neveřejného přenosu počítačových dat do počítačového systému, z něj
nebo v jeho rámci, včetně elektromagnetického vyzařování z
počítačového systému, přenášejícího taková počítačová data,
bude potrestán odnětím svobody až na dvě léta nebo zákazem činnosti.

Trestní zákoník – č. 40/2009 Sb. § 230
Neoprávněný přístup k počítačovému systému
a nosiči informací
(1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k
počítačovému systému nebo k jeho části, bude potrestán odnětím svobody
až na jeden rok, zákazem činnosti nebo propadnutím věci nebo jiné
majetkové hodnoty.
V § 230, odstavci (1), se vůbec nehovoří o úmyslu. Jakákoliv bezpečnostní opatření
na webu ale bohužel často chybí.

Chyby tedy raději hledat nebudeme, jen si o nich budeme povídat. Chyby často hledají
jiní a píšou o nich pak na webu. Když budete nějaký popis hledat, raději použijte Tor.
Uber nechal přístupový klíč k databázi veřejně na GitHubu, někdo ho zneužil a Uber teď
chce po GitHubu IP adresy všech návštěvníků té stránky. Tor funguje takto.

Jedním z webů, kde se občas zveřejňují chyby je český SOOM. Nezáleží na tom, jak
velký máte web nebo kolik máte uživatelů, vždycky jste pro někoho dost dobrý cíl.

SQL INJECTIONSQL INJECTION
Velmi často je zmiňována útok SQL Injection. Ten vypadá
přesně takto. To znáte, ne? Někteří úplně přesně takhle,
že? Fajn, pro ty, kteří jste to nezažili nebo to s radostí
zapomněli, tak opakování: SQL Injection spočívá v
úpravě dotazu odesílaného do databáze.

SELECT jmeno, adresa
FROM vozidla
WHERE rz = '$prectena';
Představte si aplikaci pro kameru, která měří rychlost. Pod kamerou projede
auto, kamera přečte jeho registrační značku a když pojede rychle, tak z
databáze vytáhne adresu a pošle pokutu. Zjednodušeně.

SELECT jmeno, adresa
FROM vozidla
WHERE rz = '1AM 1337';
1AM 1337
Když pod kamerou projede nějaký elitní pražan, tak obslužný software
kamery pošle do databáze tento dotaz, najde se jméno a adresa a už se
tiskne milostný dopis.

' OR 0='0
Když pod kamerou projede třeba tohle auto ze Severní
Karolíny, tak… to nebude fungovat, protože nejspíš nebude
mít značku vpředu. Ale kdyby to fungovalo, tak se stane tohle:

SELECT jmeno, adresa
FROM vozidla
WHERE rz = '' OR 0='0';
' OR 0='0
Do databáze se pošle tento dotaz, to červené a podtržené je přečtená
značka. OR 0='0' je vždy pravda, takže pokuta se pošle všem. HA HA HA.

' OR 1=1; --
Někdy se používá tenhle minitrik s komentářem, protože nevíme, co všechno
na konci dotazu je, tak to prostě zakomentujeme.

SELECT jmeno, adresa
FROM vozidla
WHERE rz = '' OR 1=1; --';
' OR 1=1; --
Dotaz pak bude vypadat třeba takto, všimněte si, že vše za středníkem je
zakomentováno. Středník se dá vynechat a v MySQL by bylo potřeba ještě
doplnit mezeru za pomlčka pomlčka. Výsledek je ale stejný.

Mno, tak když by pod takovou kamerou projel tenhle frajer, tak… Ale tohle by
fungovalo jen v případě, že by šlo najednou poslat více dotazů oddělených
středníkem. Za určitých okolností to lze i v MySQL, třeba při
SQL Injection v emulovaných prepared statements v PDO.

Software kamer na silnici ale není to, s čím se často setkáváme, zvlášť pokud
nemáme řidičák. Pojďme si to ukázat spíš na nějaké webové aplikaci. Tady
jsme chtěli zobrazit produkty značky 30'abc – to je známá čínská značka, něco
jako McDonald's – v obojím je apostrof a to se hodí.

V téhle webové aplikaci došlo k chybě, protože dotaz není syntakticky správně,
ale vývojáři nám k tomu naštěstí vypsali spoustu dalších informací, jako třeba celý
dotaz, takže přesně víme, jak vypadá a co máme dělat. Tohle nikdy nedělejte,
když dojde k chybě, tak tohle uživatele vůbec nezajímá. Zajímá to jen mizery.

"… WHERE znacka = '{$_GET['znacka']}'"
Dotaz, který aplikace odesílala, mohl vypadat třeba nějak takto, parametr je
sice ohraničen do apostrofů, ale bez jakéhokoliv ošetření. Stačí pak
apostrofem z toho ohraničení vyskočit a zbytek dotazu upravit dle přání.

Někdy není apostrof potřeba, protože není z
čeho vyskakovat, to je třeba tento případ.
Aplikace očekává číslo a my pošleme řetězec.

'… WHERE id = ' . $_GET['id']
Kód v tomto případě mohl vypadat takto, parametr
je do dotazu vložen bez ohraničení apostrofy, takže
i kdyby náhodou ochrana spočívala v nějakém
ošetření apostrofů, aby nešlo vyskočit, tak je to
jedno, apostrof zde vůbec není třeba psát.

STOP! DEMO TIME!
SQL Injection si můžete beztrestně vyzkoušet třeba u mě, na adrese
http://exploited.cz/sql/products.php

BLINDBLIND
SQL INJECTIONSQL INJECTION
Při útoku SQL Injection je běžné, že aplikace zobrazuje
nějaké chybové hlášky nebo něco vypisuje do stránky.
Často ale nic takového nevidíte. Blind SQL Injection
spočívá v tom, že jen pozorujete chování stránky.

Prepared statements (PDO)
Řešením mohou být třeba prepared statements, které jsou v PHP v PDO extenzi.
Fungují tak, že si v dotazu pojmenujete zástupné místo (:id) a pak na něj navážete
proměnnou. Někdy se místo těchto pojmenovaných míst mohou použít jen otazníky.
Ale pozor, v PHP tohle neumí třeba vložit pole, takže si musíte spoustu věcí dopsat a
můžete to podělat. Jako třeba Drupal, ten si právě takto zavlekl do kódu SQL Injection.

Je tedy lepší použít něco, co už tyto věci umí, třeba
dibi, nebo aspoň dávejte velký pozor při implementaci,
v tom případě vám přeji hodně štěstí.

$query where(→
'p.product = (%sql)',
'SELECT id FROM products
WHERE code = '' . $code . '''
);
No a nakonec, ani s dibi nesmíte udělat třeba tohle. $code je tam prostě
nalepené, což je špatně, protože i toto je zranitelnost SQL Injection. Do
dotazu raději nic takto nevkládejte, vždy využijte vázání proměnných.

Mark Burnett https://xato.net/passwords/password-stock-photos/
Může se stát a asi se i stane, že někde přece jen uděláte chybu a někdo získá
přístup k databázi. Nebo se dostane k zálohám. V databázi je spousta věcí, údaje o
dodavatelích apod. jsou sice jen vaše, ale hesla uživatelů vaše nejsou. Hesla
uživatelů se pak dají použít na páchání zla přímo těm uživatelům, třeba na přístup k
jejich e-mailovým schránkám. Hodně uživatelů používá jedno heslo na více místech.

Plaintext
MD5(heslo)
SHA-1(heslo)
SHA-2(heslo)
Takto hesla neukládejte. MD5, ani SHA-
1 nebo SHA-2 nepoužívejte. Pokud dva
uživatelé budou mít stejné heslo, budou
mít i stejný hash. Takto zahashovaná
hesla lze najít i v tzv. předpočítaných
tabulkách (rainbow tables). Lidé, co to
myslí vážně s lámáním hesel už
rainbow tables nepoužívají, zabírají moc
místa a dlouho se vytváří.

Jenže Google takových tabulek pár indexuje, takže pro rychlé
vyzkoušení stačí vzít hash a dát ho do Google. Profi práce se ale
takto nedělá. Profíci používají grafické karty a velké slovníky
(které obsahují i sousloví a celé věty, nejenom jednotlivá slova)
pro slovníkové a hybridní útoky.

MD5(heslo + salt)
SHA-1(heslo + salt)
Pro zamezení použití rainbow tables a narozeninových útoků se používá salt. Salt je unikátní a
náhodný pro každý účet, není tajný a je v db uložen v čitelné podobě, neslouží ke zpomalení
lámání hesel. Takže takhle to také nedělejte. Tohle je sice lepší, než jen MD5, ale…

Salt nezpomaluje lámání hesel, takže hrubou silou 8 grafických karet
se pořád dá lámat hodně rychle. Tenhle stroj generuje 80 miliard
MD5 hashů/sec. I můj laptop dělá 30 milionů MD5 hashů/sec a asi
20M SHA-1/sec. Podobné stroje pro profíky staví Jeremi Gosney.

bcrypt!
Blowfish hashing
Takže jak na to? Pro ukládání hesel použijte bcrypt, někdy nazýván
„Blowfish hashing“ (samotný název Blowfish představuje symetrickou
šifru, tedy něco jiného a nevhodného pro ukládání hesel). Bcrypt
podporuje salt a dá se řídit jeho rychlost. Doporučuje se nastavit cost
parametr na 10 (nebo více), což znamená, že se jedno heslo zahashuje
v cyklu 2×1010
. Jedno hashování trvá zhruba 80 ms, uživatel to ani
nepostřehne, ale útočníka to podstatně zpomalí.

crypt() salt=$2y$…
password_hash() password_verify()
Bcrypt je v PHP implementován ve funkci crypt() od 5.3.7. Nastavuje se saltem,
který začíná na $2y$. Salt si musíte vymyslet sami, jenže to je masakr. Saltem to
můžete pokazit, třeba když použijete všude stejný. Jakákoliv funkce, která po vás
chce salt je na nic. Od PHP 5.5 jsou dostupné funkce, kterým jen dáte heslo
a ony ho zahashují nebo ověří, nic víc neřešíte. Pro starší PHP raději použijte
password_compat. Od Nette 2.2 můžete použít NetteSecurityPasswords.

scrypt
PBKDF2
Argon2
Další vhodné algoritmy jsou scrypt a PBKDF2. Scrypt je pro PHP dostupný
pouze jako PECL extenze. PBKDF2 je v PHP od 5.5. V létě 2015 bychom
měli znát výherce Password Hashing Competition, tedy nový a ještě lepší
algoritmus pro ukládání hesel. Snad bude brzy dostupný i v PHP a dalších
jazycích. (Aktualizace: novou hashovací funkcí je Argon2, až bude
dostupná ve vašem oblíbeném jazyce, tak ji používejte.)

Zdroj: http://www.flickr.com/photos/40852961@N04/5439723004/
Neposílejte hesla e-mailem, ani po
registraci. Ne všechna spojení
mezi servery jsou šifrovaná a někdo
tedy e-mail s heslem může
odposlechnout. Navíc když si
uživatel zprávu s heslem stáhne do
počítače, tak to heslo tam může
někdo přečíst. Uživatel si navíc
heslo zaslané e-mailem spíš nikdy
nezmění.

Zdroj: http://www.flickr.com/photos/reidrac/4696900602/
Reset zapomenutého hesla provádějte tak, že uživateli pošlete odkaz, který bude mít
náhodný token, který bude za hodinu expirovat a bude platit jen jednou. Po kliknutí si
bude moci uživatel nastavit heslo. Negenerujte mu nové heslo a neposílejte ho ani e-
mailem. Po změně hesla uživatele informujte, inspirujte se třeba u Facebooku.

Jeden uživatel
=
Jedna databáze
Nebuďte líní a pro každou aplikaci vytvářejte nové databázové uživatele a
nová hesla. Nastavte jim právo pro přístup pouze do jedné databáze.
Jeden uživatel s možností přístupu k databázím více aplikací může být
problém ve chvíli, kdy jedna z těch aplikací bude mít chybu SQL Injection.

Žádný kód v databázi
eval(), HTML
V databází nemějte ani žádný PHP kód, který budete chtít spouštět
pomocí eval(), viz Drupal 7 Remote Code Execution, ani HTML na
formátování, protože to HTML může útočník s přístupem do databáze
upravit a dát tam třeba svoji reklamu. Použijte třeba Texy s vypnutým
HTML, aby nešlo propašovat ani vlastní Javascript.

Cross-Site Scripting
XSS
Další častou chybou je XSS, tedy útok, během kterého útočník vloží nějaký kód
na stránku, JavaScript, obrázek, HTML formulář apod.

XSS vypadá třeba takto, viz parametr zb v URL. Tím se do
stránky propašoval JavaScript, který zobrazil tohle alert okno.

V kódu napadené stránky to vypadá takto. Modře označený text je to, co se
do HTML dostalo z parametru zb v URL.

JavaScript od útočníka může vypadat třeba takto. Tohle konkrétně
krade přihlašovací jméno a heslo z přihlašovacího formuláře po
jeho odeslání. JavaScriptem lze někdy získat i session id z cookies,
pak není třeba krást hesla. Ačkoliv heslo se vždycky hodí.

htmlspecialchars($string, ENT_QUOTES)
Výstupy ošetřujte pomocí htmlspecialchars() s parametrem ENT_QUOTES
aby se převáděly i apostrofy. Ty se standardně nepřevádí. Lepší je ale
použít nějaký šablonovací systém, který toto řeší za vás automaticky. Nikdy
si nezkracujte cestu a automatické ošetřování nevypínejte.

Nepoužívat
strip_tags()
proti XSS
Funkce strip_tags() není ta správná ochrana pro XSS. Odstraňuje
pouze celé značky, ale to útočníkovi nezabrání vložit třeba nový atribut
onclick do existujícího formulářového políčka.

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
A když náhodou zapomenete něco ošetřit (nebo když vypnete automagické
ošetřování), tak tahle HTTP hlavička může vaše návštěvníky zachránit. Aktivuje XSS
Auditor v prohlížečích a v pokud se na stránku dostane nějaký JavaScript přes adresu
nebo z formuláře, tak jej nespustí, případně celou stránku vůbec nezobrazí, pokud
použijete mode=block. A to byste měli, protože některé prohlížeče se stránku pokusí
opravit, ale opraví ji tak dobře, že vložený JavaScript se stejně spustí.

default-src 'none'
script-src 'unsafe-inline'
script-src ajax.googleapis.com
Content-Security-Policy
Hlavička X-XSS-Protection neřeší případy, kdy útočník uloží JavaScript do
databáze, například do článku. Dopad takového problému můžete zmírnit třeba
pomocí Content Security Policy (CSP). Tato hlavička explicitně povoluje zdroje,
odkud se mohou načítat skripty, obrázky, styly aj. Hodnota unsafe-inline povoluje
inline JS, tedy JavaScript vložený přímo do HTML kódu. To byste neměli dělat,
veškerý kód byste měli dát do externích souborů a unsafe-inline nepoužívat.
Podle mé zkušenosti s tím ale nefunguje třeba Google Tag Manager, bohužel.

script-src 'strict-dynamic' 'nonce-<random>'
'unsafe-inline' http: https:;
object-src 'none';
report-uri https://….report-uri.io/…
Lepší Content-Security-Policy
Zavést CSP na běžící web není nic jednoduchého, právě třeba kvůli Google Tag Manageru.
Proto je jednodušší použít tuto hlavičku. strict-dynamic je vlastnost z CSP3, která dovolí
skriptům již vloženým do stránky vkládat další skripty, tedy přesně to, co dělá právě např Tag
Manager. HTML značky script pro vkládání JavaScriptu do stránky je nutné označit pomocí
atributu nonce a jeho hodnotu pak přidat do direktivy script-src. Hodnota by měla být
náhodná a měla by se měnit při každém načtení stránky. Zbytek, včetně 'unsafe-inline', je
pak pro starší prohlížeče, které CSP3 neumí. object-src zakáže vložit Flash, který také může
způsobit XSS. Díky direktivě report-uri bude prohlížeč odesílat reporty o porušení nastavení
politiky, posílejte si je na službu report-uri.io. Kvalitu nastavení CSP si můžete zkontrolovat na
csp-evaluator.withgoogle.com, na stejném místě můžete stáhnout i extenzi do Chrome.

session.cookie_httponly: true
session.cookie_secure: true
HTTP-Only cookies
Pomocí XSS se často kradou sessions - JS načte z document.cookie session
cookie a pošle ji útočníkovi, ten si ji vloží do svého browseru a vydává se za
uživatele, který útočníkův kód spustil. Parametr httponly zabrání JS ve čtení dané
cookie, v document.cookie pak není dostupná. Tuhle direktivu si nastavte. HNED.
TEĎ. A pokud máte web pouze na HTTPS, což byste měli mít, tak nastavte
i secure parametr. A tím se pomalu dostáváme k…

HTTPS
=
How To Transfer Private Shit
Nikomu tedy není nic do toho, jaké články si zrovna čtu, jaká odesílám hesla,
co si zrovna prohlížím a nikdo nemá právo modifikovat data, která stahuji.

STOP! DEMO TIME!
Umím donutit vaše zařízení, aby se připojila k mojí Wi-Fi a HTTPS potom docela
oceníte. Ukázku najdete v druhé půlce mojí přednášky z konference PHP live 2014.

TLS
Transport Layer Security
To S v názvu HTTPS neznamená SSL, ale Secure. SSL je protokol z minulého
tisíciletí a už by se neměl dnes používat. Nahradil ho protokol TLS, aktuálně ve
verzi 1.2, v březnu 2015 je aktuálně k dispozici návrh TLS 1.3.

Pro web na HTTPS (celý web, jinak to nemá smysl) vlastní IP adresu potřebovat
NE-BU-DE-TE.

SNI
Server Name Indication
Od roku 2003 existuje rozšíření TLS s názvem SNI, které zajistí, že název serveru pošle
prohlížeč nešifrovaně a server tak bude moci poskytnout prohlížeči správný certifikát.
SNI umí IE od verze 7 na WinVista a pozdějších. Na WinXP to nefunguje v žádném IE,
ve Firefoxu a Chrome ano. Firefox umí SNI od verze 2, Chrome od verze 6 na WinXP
(na WinVista v jakékoliv verzi), Safari od verze 3, Android od 3 dále. Pokud potřebujete
podporovat starší verze, tak budete pořád vlastní IP adresu potřebovat.

HSTS
HTTP Strict Transport Security
Až budete mít celý web na HTTPS, tak přidejte hlavičku Strict-Transport-
Security. HSTS, zajistí, že browser vnitřně přesměruje na HTTPS a nebude
vůbec nebude posílat požadavek po HTTP. Ten by stejně jenom vygeneroval
přesměrování na HTTPS verzi. Požadavek na HTTP tedy nepůjde zachytit a
odstranit to přesměrování a tím efektivně HTTPS odstranit a převést na HTTP.

MIXED CONTENTMIXED CONTENT
Po převodu na HTTPS si dávejte pozor na tzv. mixed content, tedy
abyste do stránek na HTTPS nenačítali HTTP obsah, browser by tento
obsah mohl zablokovat. Typicky se jedná třeba o videa, styly a obrázky.

REFERRER
<meta name="referrer" content="origin">
Pozor na referrer, ten se ze stránek na HTTPS nepředává do stránek na HTTP,
takže je potřeba si správně odkazy z HTTPS nějak označit, jinak nebudete v
Google Analytics vědět, odkud návštěvník přišel. Můžete také použít meta referrer
(tady už správně s dvěma „r“), ten zajistí, že se referrer bude předávat i z HTTPS
na HTTP, pokud použijete hodnotu origin (předá se pouze doména) nebo
unsafe-url (předá se celé URL včetně parametrů), podpora v Chrome od konce
roku 2011, Firefox od verze 36, IE od verze 12/Edge.

HTTPONLY
&
SECURE
HTTP-only cookie jsem zmiňoval jako obranu proti krádeži session pomocí XSS.
Secure parametr jsem také už nakousl. Ten zajistí, že browser nepošle cookie (třeba
se session id) po nešifrovaném spojení, i kdyby ho útočník přesvědčoval, že to má
udělat, takže nepůjde odposlechnout. Bez toho je HTTPS jakoby bez toho S.

Nepotřebný
Nebezpečný
Nepořádek
Nene
Nene… chávejte nepotřebné soubory na webu.

http://www.example.com/app/config.neon
Konfigurace Nette v čitelné podobě. Přibližně jedno procento webů napsaných
v Nette má konfiguraci volně a veřejně přístupnou. Tyhle soubory nesmí být
přístupné pomocí prohlížeče, patří mimo document root nebo k nim musí být
zakázán přístup pomocí souboru .htaccess.

http://www.example.com/.git
git clone http://www.example.com/.git
Pokud pracujete s Gitem, tak si zkontrolujte, jestli na webu nemáte adresář
.git a pokud máte, tak ho smažte a zajistěte, aby se tam zase nedostal.
Pokud se dá do toho adresáře dostat přes browser, tak je možné získat
interní databázi Gitu, ve které je třeba seznam souborů. Často lze také
naklonovat repozitář a získat tak kompletní zdrojové kódy.

Michal ŠpačekMichal Špaček
www.michalspacek.czwww.michalspacek.cz @spazef0rze@spazef0rze
https://www.michalspacek.cz/skoleni
Followujte mě na Twitteru a přijďte na školení bezpečnosti.
Mějte se rádi! V/