Slides: SSTIC08 - Advanced CSRF for fun and profit

365 vues

Publié le

Advanced CSRF slides for SSTIC 2008

Publié dans : Internet
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
365
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
2
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Slides: SSTIC08 - Advanced CSRF for fun and profit

  1. 1. Outline Notions Advanced CSRF Conclusion Advanced CSRF / Have fun and profit Manfred Touron — Vincent Guasconi Epitech Security Laboratory 5 juin 2008 Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  2. 2. Outline Notions Advanced CSRF Conclusion Notions CSRF en trois cases beamer Pure blind SQL injection Advanced CSRF Le nouveau vecteur Le serveur PoC La d´emo Conclusion Solutions Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  3. 3. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection CSRF en trois blocks beamer En gros : Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  4. 4. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection CSRF en trois blocks beamer En gros : Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord Deux avantages : Casser la Cross Domain Policy Agir `a l’insu de l’utilisateur Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  5. 5. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection CSRF en trois blocks beamer En gros : Faire ex´ecuter une requˆete HTTP `a un tiers sans son accord Deux avantages : Casser la Cross Domain Policy Agir `a l’insu de l’utilisateur Un inconv´enient : Impossibilit´e de r´ecup´erer ou d’int´eragir avec la r´eponse Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  6. 6. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection Time based blind SQL injection Quoiqu’est-ce ? Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e `a l’attaquant `a travers la requˆete. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  7. 7. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection Time based blind SQL injection Quoiqu’est-ce ? Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e `a l’attaquant `a travers la requˆete. Une des techniques pour r´esoudre ce probl`eme : Ralentir le serveur SQL lorsque la requˆete a r´eussi (ou non). IF(premiere lettre password = ’a’, sleep 5, aucune action) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  8. 8. Outline Notions Advanced CSRF Conclusion CSRF en trois cases beamer Pure blind SQL injection Time based blind SQL injection Quoiqu’est-ce ? Injection SQL dont aucun retour, pas mˆeme bool´een n’est renvoy´e `a l’attaquant `a travers la requˆete. Une des techniques pour r´esoudre ce probl`eme : Ralentir le serveur SQL lorsque la requˆete a r´eussi (ou non). IF(premiere lettre password = ’a’, sleep 5, aucune action) Technique applicable sur toutes les injections Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  9. 9. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  10. 10. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  11. 11. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... D´ecentralisation compl`ete de l’attaque (merci les autres) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  12. 12. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... D´ecentralisation compl`ete de l’attaque (merci les autres) Bypass de la Cross Domain Policy (interfaces admin, etc...) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  13. 13. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Le temps d’ex´ecution d’une requˆete HTTP est facilement calculable sur une CSRF. Couplons les deux vecteurs... D´ecentralisation compl`ete de l’attaque (merci les autres) Bypass de la Cross Domain Policy (interfaces admin, etc...) Possible depuis un mail, simple et anonyme Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  14. 14. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  15. 15. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Dump complet d’une database depuis plusieurs milliers de machines qui ne sont que de simples visiteurs d’un site web, ou lecteurs d’une mailing-list. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  16. 16. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Dump complet d’une database depuis plusieurs milliers de machines qui ne sont que de simples visiteurs d’un site web, ou lecteurs d’une mailing-list. Michel lit ses mails au boulot, et se retrouve sans le savoir `a attaquer le serveur de la boite concurrente. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  17. 17. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Exemples concrets Dump complet d’une database depuis plusieurs milliers de machines qui ne sont que de simples visiteurs d’un site web, ou lecteurs d’une mailing-list. Michel lit ses mails au boulot, et se retrouve sans le savoir `a attaquer le serveur de la boite concurrente. Rendre exploitable une injection SQL sur un panel d’administration, ou zone restreinte depuis n’importe quel domaine (les injections SQL deviennent Cross Domain) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  18. 18. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Les seuls logs qui permettraient de remonter `a l’attaquant sont dans la m´emoire des clients (li´e aux redirections 302 du serveur, disparaissent rapidement). Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  19. 19. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Les seuls logs qui permettraient de remonter `a l’attaquant sont dans la m´emoire des clients (li´e aux redirections 302 du serveur, disparaissent rapidement). Les logs sur les serveurs HTTP attaqu´es portent uniquement la marque de la victime. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  20. 20. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  21. 21. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  22. 22. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Facilite, et organise l’exploitation Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  23. 23. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Facilite, et organise l’exploitation Unifie les requˆetes Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  24. 24. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo Un couteau suisse Serveur multiplex en C Facilite, et organise l’exploitation Unifie les requˆetes Permet de cibler un utilisateur Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  25. 25. Outline Notions Advanced CSRF Conclusion Le nouveau vecteur Le serveur PoC La d´emo D´EMO Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  26. 26. Outline Notions Advanced CSRF Conclusion Solutions Solution simple Sensibilisation des d´eveloppeurs web : Aux injections SQL Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  27. 27. Outline Notions Advanced CSRF Conclusion Solutions Solution simple Sensibilisation des d´eveloppeurs web : Aux injections SQL Aux protections contre les CSRF cˆot´e serveur (tokens, referer) Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  28. 28. Outline Notions Advanced CSRF Conclusion Solutions Solution simple Sensibilisation des d´eveloppeurs web : Aux injections SQL Aux protections contre les CSRF cˆot´e serveur (tokens, referer) N’interpr´eter sous aucune raison les mails en HTML Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  29. 29. Outline Notions Advanced CSRF Conclusion Solutions Difficilement envisageable Se faire `a l’id´ee de naviguer sous netcat Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  30. 30. Outline Notions Advanced CSRF Conclusion Solutions Difficilement envisageable Se faire `a l’id´ee de naviguer sous netcat Temps de r´eponse al´eatoire cˆot´e serveur Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  31. 31. Outline Notions Advanced CSRF Conclusion Solutions Difficilement envisageable Se faire `a l’id´ee de naviguer sous netcat Temps de r´eponse al´eatoire cˆot´e serveur Lire ses mails avec gnus Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  32. 32. Outline Notions Advanced CSRF Conclusion Solutions Remerciements Merci pour votre attention. Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  33. 33. Outline Notions Advanced CSRF Conclusion Solutions Clap clap Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  34. 34. Outline Notions Advanced CSRF Conclusion Solutions ... des questions ? Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit
  35. 35. Outline Notions Advanced CSRF Conclusion Solutions ... des questions ? Anticipons : Le papier complet, les slides et les sources du serveur sont disponibles `a l’adresse suivante : http://esl.epitech.net/acsrf NoScript ne sert strictement `a rien. Le referer ne change pas sur un redirection 302. Le serveur est en C dans un soucis de performances. Le scripting du serveur est possible tr`es simplement. Aucun enfant n’a ´et´e tu´e dans le cadre de ces recherches. ESL != LSE Manfred Touron — Vincent Guasconi Advanced CSRF / Have fun and profit

×