Bezpieczeństwo nowoczesnych aplikacji internetowych

Transkrypt

Bezpieczeństwo
Gospodarka, finanse, administracja, wojsko, rozrywka:
nowoczesnych aplikacji
BitLock, BitCoins, Smile-to-Pay
Cloud, Internet of Things
internetowych
Augmented Reality
pojazdy autonomiczne
inteligentne tworzywa
dr inż. Michał Szychowiak
http://www.cs.put.poznan.pl/mszychowiak
© dr inż. Michał Szychowiak
Web
2
4
Web jako platforma operacyjna
Content providers, social networks, game platforms
Cloud
Facebook
CloudOS
Google+
Joli OS
MySpace
ZeroPC
Instagram
xOS
Netvibes
mobile: Chrome OS, Firefox OS
YouTube
in browser: ZimDesk, iSpaces, SilveOS
Digg
Steam
3
Technologie
HTML, XML, XHTML, FBML, JavaScript, JSON, JSONP, E4X
ŚRODOWISKO WYKONAWCZE
HTTP, HTTPS, SOAP, XML-RPC
RIA (Rich Internet Applications): Ajax, Flash
frameworks: jQuery, Dojo, MooTools, WebGL, GWT, Adobe Flex, ....
SOA (Service-Oriented Architecture)
Web Services
REST
5
Technologia stara i dobrze znana?
<img
src=obrazek.png
6
Technologia stara i dobrze znana?
title="Game on"
class=gui_img>
<img
7
src=obrazek.png?parametr=">Game on">
8
Encje
Nowe encje nazwane
nazwane: np. >
definiowane dyrektywą <!ENTITY>
kod ASCII (lub UTF): np. > >
parsowane w kodzie strony
oraz w adresach URL !
– co skutkuje możliwością ataku XXE (External XML Entity)
<img src="http://serwer.org/obrazek.png">
<a href="javascript:alert(1)">
<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<atack>&xxe;</atack>
9
Encje nie są parsowane w bloku <script>
Bezpieczeństwo nowoczesnych aplikacji internetowych 10
Ale w XHTML <script> nie zmienia trybu parsowania
<script>
<script>
parametr='Tekst '+alert(1);';
parametr='Tekst '+alert(1);';
...
...
</script>
</script>
apostrof !
All input is evil!
Niejednorodność zachowania przeglądarek
zakoduj / podmień wszelkie potencjalnie niebezpieczne znaki
(np. ' " , ; / 0x00–0x1F) zanim je wykorzystasz (prześlesz dalej)
niestandardowe zachowanie utrudnia kontrolę
Content-Disposition: attachment; filename="evil_file.exe;.txt"
w nazwach plików (polu Content-Disposition) zamień na np. : _
narzędzia kontroli pobierania uznają to za plik .txt,
ale np. IE przytnie nazwę do ‘;’
pola Location, Redirect – niebezpieczny jest ;
znaki niełacińkie (diakrytyzowane) koduj % lub wg. RFC 2047, RFC 2231
w ciasteczkach wszystkie w/w znaki są niebezpieczne – najlepiej kodować
base64
również popularne dokładanie „bezpiecznego” rozszerzenia do
pobrań nic tu nie da
filtruj adresy URL i najlepiej dopuszczaj tylko (zamieniaj na) bezwzględne
nigdy nie zakładaj, że coś zostanie zakodowane bo tak nakazuje standard
Ogromne możliwości
Problemy z kodowaniem adresu
pełny dostęp do DOM (z uwzględnieniem SOP)
http://wp.pl&p=123@167772161/
=
?
http://[email protected]@o2.pl/
=
?
document.body.children[4].children[0].style.color = "red";
document.images[7].src = "picture.jpg";
document.getElementsByTagName("input")[2].value = "Hello";
http://wp.pl / evil.org/
=
?
document.getElementById("output").innerHTML = "Hello<br>";
frames[2].document.forms[1].pole1.value= "Hello";
top.location.path = "/new/page2.html";
\338
var window_handle = window.open("", "window_name");
Ogromne możliwości
Sposoby dołączania kodu
przesłonięcia nazw
<script> ... </script>
<script scr=... >
<script>
eval = alert;
...
eval("Hello World!");
</script>
javascript:
onLoad=...
onClick=...
onError=...
eval(...)
setTimeout(...) setInterval(...)
expression(...)
Sposoby dołączania kodu
wieloetapowe parsowanie kodu
Analiza kodu
<div onClick="setTimeout('fun(\'" + dane + "\')', 1000)">
obfuscation, np. JScript.Encode
Wykrywanie zagrożeń
Wykrywanie zagrożeń
automatyczne
samodzielne
Cross-Site Scripting (XSS) / Remote File Inclusion (RFI)
do parsowania JSON lepiej używać JSON.parse() zamiast eval()
Cross-Site Cooking (XSC)
przy dynamicznym tworzeniu kodu wystrzegać się danych pozyskanych
z zewnątrz
szczególnie funkcja eval()
oczywiście równie niebezpieczna jest setTimeout()
...
np. w przyp. HTML używać tylko bezpiecznych właściwości
(innerText, textContent) i metod (createTextNode(),
createElement(), appendChild())
unikać innerHTML czy document.write()
Same-Origin Policy
Caja/Cajita
narzędzie Google do „przepisywania” kodu JavaScript
Dokument źródłowy
Docelowy zasób
IE
inne
w celu zautomatyzowanego usunięcia niektórych podatności
i zamknięcia aplikacji w wirtualnej piaskownicy (iFrame)
http://foo.bar.com/a
http://foo.bar.com/b


Google Sites, Google Apps Script
http://foo.bar.com/...
http://www.foo.bar.com/...


https://foo.bar.com/...


http://foo.bar.com:8080/...


wcześniej też MySpace i Yahoo!
podobny projekt dla języka Java: Joe-E
SOP i postMessage()
rozluźnienie SOP
postMessage(...) wysyła komunikat tekstowy do innego okna
przy czym pozwala zdefiniować listę dozwolonych odbiorców
document.domain
document.domain = "bar.com"
Dokument źródłowy
Docelowy zasób
IE
inne
http://login.bar.com/...


uwaga: otwiera SOP na wszystkie ∗.bar.com !
w szczególności katastrofalne będzie document.domain=".com"
SOP i postMessage()
parent.postMessage("game=3", "https://foo.bar.com");
addEventListener("message", game_level, false);
...
function game_level(msg) {
if (msg.origin == "https://login.bar.com") {
...
}
}
SOP i XMLHttpRequest
rozluźnienie SOP
postMessage(...) wysyła komunikat tekstowy do innego okna
przy czym pozwala zdefiniować listę dozwolonych odbiorców
document.domain ignorowane
var req = new XMLHttpRequest();
req.open('GET', 'http://foo.bar.com/foo.php?x=1', false);
req.send(null);
parent.postMessage("game=3", "https://foo.bar.com");
addEventListener("message", game_level, false);
...
function game_level(msg) {
if (msg.origin.indexOf(".bar.com") != -1 {
...
}
}
GET /foo.php?x=1 HTTP/1.0
Host: foo.bar.com
Origin: http://funnygames.com
żądanie jest wysyłane, ale SOP nie pozwoli przeczytać odpowiedzi
chyba że serwer skorzysta z CORS
Cross-Origin Resource Sharing
SOP i XMLHttpRequest
dopuszczalne nagłówki:
HTTP/1.0 200 OK
...
Access-Control-Allow-Origin: http://funnygames.com
Access-Control-Allow-Methods: POST, GET
...
Content-Type
Content-Language
Last-Modified
Expires
Cache-Control
Pragma
...
uwaga na samobójcze Access-Control-Allow-Origin: ∗
stąd popularna stała się metoda weryfikacji pochodzenia:
X-Custom
Podstawowe zagrożenie – DNS rebinding
iFrames
atakujący kontroluje serwer DNS swojej domeny, np. gamecrack.com
strona / aplikacja nawiguje do witryny gamecrack.com
i dostaje adres IP z krótkim czasem TTL
z witryny pobiera złośliwy skrypt, który chce zaatakować inną
lokalizację, np. funnygames.com
oczywiście SOP zabroni ...
chyba że skrypt odwoła się do gamecrack.com, a kontrolowany serwer
DNS zwróci tym razem adres IP celu (funnygames.com lub np. adres z sieci
wewnętrznej ofiary)
domyślna reguła ramek potomnych:
ramki mogą nawigować między sobą tylko jeśli „pochodzą” (SOP) od
wspólnego przodka
nie wyklucza to wszystkich „międzyramkowych” zagrożeń
(m.in. overlay iFrames, opaque iFrames, clickjacking, UI redressing)
dodatkowe nagłówki HTTP:
X_Frame-Options: same-origin
X_Frame-Options: deny
ramki w piaskownicy:
<iframe src="..." sandbox="allow-same-origin"></iframe>;
Przydatne nagłówki HTTP
WTYCZKI
X-XSS-Protection: 1; mode=block
X-Frame-Options: deny
X-Frame-Options: allow-from: foo.bar.com
Adobe / Shockwave Flash
Microsoft Silverlight
Content-Security-Policy: default-src 'self';
script-src https://∗.bar.com https://mi6.mil.uk;
font-src https://fonts.bar.com;
frame-src https://login.bar.com;
img-src ...; media-src ...; object-src ...; ...
Java
Wtyczki
wywołania
Flash i Action Script
<object data= ...>
ActionScript wywodzi się z JavaScript
<embed src= ...>
stąd duże podobieństwo pw. bezpieczeństwa
np.:
dodatkowa funkcjonalność = dodatkowe zagrożenia, np. full screen
<object data="game.swf"
type="application/x-shockwave-flash">
<param name="param1" value="value1">
<param name="param2" value="value2">
...
</object>
Content-Type: ignorowane, choć nie zawsze, co rodzi problemy
możliwość nawigacji w oknach przeglądarki
(getURL(), navigateToURL())
wewnętrzny uproszczony parser HTML – możliwe przypisanie kodu
(TextField.htmlText, TextArea.htmlText)
– nie filtrowane daje potencjalną szansę na wstrzyknięcie
np. złośliwych łączy
własny model polityki SOP
aplikacje Flash pobrane z funnygames.com otrzymują uprawnienia
(w tym ciasteczka) do funnygames.com
nawet gdy są osadzone na stronie gamecrack.com
metoda Security.allowDomain("funnygames.com")
uwaga na Security.allowDomain("∗") !
parametry znacznika <object> i <embed>
a to strona osadzenia kontroluje sposób wykorzystania aplikacji
<object ... AllowScriptAccess="sameorigin">
<object data="http://funnygames.com/img/avatar.png"
type="application/x-shockwave-flash">
<object ... AllowScriptAccess="never">
<object ... AllowScriptAccess="full">
<object ... AllowFullScreen="false">
<object ... AllowNetworking="all">
<object ... AllowFullScreen ="true">
<object ... AllowNetworking="internal">
<object ... AllowNetworking="none">
Silverlight
łudzące podobieństwo do Flash
loadPolicyFile("crossdomain.xml")
crossdomain.xml → clientaccesspolicy.xml
<cross-domain-policy>
<allow-access-from domain="foo.bar.com"/>
<allow-http-request-headers-from domain=" ∗.bar.com"
headers="X-Game-Header,..." />
</cross-domain-policy>
pozbawione wielu problematycznych elementów, np. parsera HTML
brak Security.allowDomain, więc i Security.allowDomain("∗")
za to jest RegisterScriptableObject(...)
dodatkowe metareguły kontroli ładowania polityki
ograniczenie ścieżki do /crossdomain.xml
ograniczenie Content-Type: text/x-cross-domain-policy
Web Services
WEB SERVICES
WebSphere
SOA Suite
Windows Communication Foundation
Architektura SOA
Uwierzytelnianie bezpośrednie
S
C
C
S
HTTP: Basic, Digest, kryptograficzne (np. OAuth, Amazon AWS)
SSL/TLS: X.509
REST-WS:
S
C
Uwierzytelnianie pośrednie
C
HTTP: ciasteczka
SOAP-WS: SAML
S
C
C
PDP
SOAP WS-Security
C
SOAP
S
C
PEP
SOAP
PEP
S

Bezpieczeństwo nowoczesnych aplikacji internetowych

Transkrypt

Podobne dokumenty

55-B500 Glasurit® Dodatek do cieniowania Linii 55

pistolet nt 3000 - Mleczarstwo.com

Pętla foreach a tablice wielowymiarowe