Слайды доклада на PHDays V

2. Автоматическая генерация
патчей для уязвимого
исходного кода
Владимир Кочетков
Application Inspector/Compiling Applications Analysis/Team Lead
Positive Technologies
Positive Hack Days V

3. Disclaimer

4. Кто мы?

5. Разработчики PT
Application Inspector!

6. Application Inspector
― Жесткий dogfooding
― Анализ на пределе
возможностей ?AST
― Генерация векторов атак
― Концепция «большой
красной кнопки»
― Собственная разработка

7. Application Inspector
― Интеграция с PT Application Firewall (aka «виртуальные
патчи»)
Но хочется большего…

8. Чего мы хотим?

9. Генерировать патчи для
уязвимого кода!!

10. Как поймать уязвимость?
― Знать «как не должно быть»: необходимые и достаточные
формальные признаки уязвимости
― Знать «как есть»: доказать наличие этих признаков в
анализируемом коде
― Построить по множеству
выявленных признаков
вектор атаки

11. Формальные признаки инъекции
― Потенциально уязвимая операция PVO(text): операция
прямой или косвенной интерпретации текста text на
формальном языке
― text = transform(argument), где argument – элемент
множества аргументов точки входа EP, а transform –
функция промежуточных преобразований
― Существует и достижимо хотя бы одно множество таких
значений элементов EP, при которых происходит
изменение структуры синтаксического дерева значения
text, достигающего PVO

12. Формализуемость уязвимостей к атакам
Строго формализуемые Слабо формализуемые
Injections Access Control
Buffer Overflow Session Management
Heap Overflow CSRF
Integer Overflow Concurrency
Memory Management Domain(Logical)
… …

13. Что у нас есть?

14. Symbolic Execution
Context Graph!

15. Disclaimer
Только обзор. Подробности будут представлены на
SIBECRYPT’15
Новосибирск, 7-12сентября 2015

16. Symbolic Execution Context Graph
SECG – граф, изоморфный CFG и
содержащий в каждом узле
информацию о контексте
символьного выполнения
Контекст символьного выполнения
– условие достижимости текущей
точки выполнения + множества
условных состояний всех объектов и
переменных, достижимых в текущей
области видимости

17. Symbolic Execution Context Graph
ε {}

18. Symbolic Execution Context Graph
ε {
parm' {
ε Request.Params["parm1"]
}
}

19. Symbolic Execution Context Graph
Request.Params["cond1"] == "true" {
parm' {
ε Request.Params["parm1"]
}
}

20. Symbolic Execution Context Graph
Request.Params["cond1"] != "true" {
parm' {
Request.Params["cond1"] != "true"
Request.Params["parm1"]
}
}

21. Symbolic Execution Context Graph
Request.Params["cond1"] != "true"
&&
Request.Params["cond2"] == "true" {
parm' {
Request.Params["cond1"] != "true"
Request.Params["parm1"]
}
}

22. Symbolic Execution Context Graph
Request.Params["cond1"] != "true"
&&
Request.Params["cond2"] != "true" {
parm' {
Request.Params["cond1"] != "true"
Request.Params["parm1"]
}
}

23. Symbolic Execution Context Graph
Request.Params["cond1"] != "true" {
parm' {
Request.Params["cond2"] == "true"
Request.Params["parm2"]
||
Request.Params["cond2"] != "true"
"<div>Harmless value</div>"
}
}

24. Request.Params["cond1"] != "true" {
parm' {
Request.Params["cond2"] == "true"
Request.Params["parm2"]
||
Request.Params["cond2"] != "true"
"<div>Harmless value</div>"
}
}
Symbolic Execution Context Graph
По SECG для каждой PVO выводится…

25. Формула уязвимости!

26. Формула уязвимости
Request.Params["cond1"] != "true" ⇒
Response.Write(
"<a href="" +
parm ∈ {
Request.Params["cond2"] == "true" ⇒
Request.Params["parm2"]
;
Request.Params["cond2"] != "true" ⇒
"<div>Harmless value</div>"
}
+ "">"
)

27. Формула уязвимости
Request.Params["cond1"] != "true" ⇒
Response.Write(
"<a href="" +
parm ∈ {
Request.Params["cond2"] == "true" ⇒
Request.Params["parm2"]
}
+ "">"
)

28. Формула уязвимости
Request.Params["cond1"] != "true"
&&
Request.Params["cond2"] == "true" ⇒
Response.Write(
"<a href="" + Request.Params["parm2"] + "">"
)

29. Формула уязвимости
Request.Params["cond1"] != "true"
&&
Request.Params["cond2"] == "true" ⇒
Response.Write(
"<a href="" + Request.Params["parm2"] + "">"
)
Какое значение Request.Params["parm2"] приведет к
выходу за пределы токена?

30. Определяемое типом
точки инъекции!

31. <a href=" ">
Тип точки инъекции вычисляется синтаксической эвристикой
в результате прохода по уязвимому выражению в обе
стороны от нее
Вычисление типа точки инъекции

32. Формула уязвимости
Request.Params["cond1"] != "true"
&&
Request.Params["cond2"] == "true"
&&
(Request.Params["parm2"] == ""><script>alert(0)</script>"
||
Request.Params["parm2"] == ""onmouseover="alert(0)") ⇒
Response.Write(
"<a href="" + Request.Params["parm2"] + "">"
)

33. Формула уязвимости
Request.Params["cond1"] != "true"
&&
Request.Params["cond2"] == "true"
&&
(Request.Params["parm2"] == ""><script>alert(0)</script>"
||
Request.Params["parm2"] == ""onmouseover="alert(0)") ⇒
Response.Write(
"<a href="" + Request.Params["parm2"] + "">"
)
В результате нахождения значений неизвестных в условии
формулы уязвимости строится…
м
м

34. Контекстный вектор
атаки!

35. Контекстный вектор атаки
Уязвимое выражение:
"<a href="" + Request.Params["parm2"] + "">"
Тип точки инъекции:
HTML: 2-quoted attribute value
Векторные переменные:
Request.Params["parm2"] = ""><script>alert(0)</script>"
Условные переменные:
Request.Params["cond1"] = "__AI_akhivldp"
Request.Params["cond2"] = "true"

36. Чего у нас нет?

37. В SECG есть все, что нам
нужно!*
* и все, что пока не нужно – тоже есть

38. Правильный патч
― Вносит минимум изменений
― Сохраняет семантику кода
― Решает проблему
― Не создает новых

39. ― Знать «как не должно быть»: необходимые и достаточные
формальные признаки уязвимости
― Знать «как есть»: доказать наличие этих признаков в
анализируемом коде
― Изменив код, устранить хотя
бы один из необходимых
признаков
Как сгенерировать патч?

40. Устраняемые признаки инъекции
― Потенциально-уязвимая операция PVO(text): операция
прямой или косвенной интерпретации текста text на
формальном языке
― text = transform(argument), где argument – элемент
множества аргументов точки входа EP, а transform –
функция промежуточных преобразований
― Существует и достижимо хотя бы одно множество таких
значений элементов EP, при которых происходит
изменение структуры синтаксического дерева значения
text, достигающего PVO

41. Способы устранения инъекции
http://www.slideshare.net/kochetkov.vladimir/how-to-develop-
a-secure-web-application-and-stay-in-mind-phdays-3/87
• Типизация
• Валидация
• Санитизация

42. Вектор атаки vs патч
Вектор атаки Патч
Достаточно найти один путь
от точки входа до PVO и
один набор значений
векторных переменных
Необходимо найти все пути
от точки входа до PVO и все
множество наборов
значений векторных
переменных
Тип точки инъекции может
быть вычислен эвристикой
Тип точки инъекции должен
быть вычислен строго
наряду с ее семантикой
Работоспособность
приложения может быть
нарушена
Приложение должно
оставаться
работоспособным

43. Строгое вычисление типа точки инъекции
Шаг #1: подставляем в уязвимое выражение вместо каждого
taint-источника уникальный спецсимвол:
<a href='∅'>
Шаг #2: разбираем строку модифицированным парсером
островного языка, допускающем появление спецсимвола в
произвольном токене.
Шаг#3: Ищем в дереве разбора узлы, содержащие
спецсимвол, и по их типу определяем тип точки инъекции.
Шаг#4: По типу точки инъекции определяем ее семантику.

44. Opening bracket: <
Tag name: a
Attribute definition
Attribute name: href
Assignment sign
2-quoted attr. value:Closing bracket: >
Строгое вычисление типа точки инъекции
2-quoted attribute (semantic: URL) value

45. Сохранение семантики кода
- Приоритет контрмер:
1) Типизация
2) Санитизация
3) Валидация
- Учет всех условий достижимости PVO и значений ее
аргументов при типизации и санитизации
- Применение контрмеры точно в месте возникновения
уязвимости

46. Типизация

47. Типизация
2-quoted attribute
(semantic: URL) value
- типизация возможна
Запись в parm опасного
значения

48. Типизация

49. Санитизация

50. Санитизация
Text
(semantic: TEXT) value
- типизация невозможна,
возможна санитизация
Запись в parm опасного
значения

51. Санитизация

52. Валидация

53. Валидация
Типизация и санитизация
невозможны, возможна
валидация

54. Валидация

55. Патчи для прочих классов атак?
√ Injections
√ Buffer Overflow
√ Heap Overflow
√ Integer Overflow
? Memory Management
Attacks
? Access Control Attacks
? Session Fixation
? CSRF
x Race Conditions
x Domain(Logical) Attacks

56. Когда мы хотим?

57. Прямо сейчас!!!

58. {DEMO}

59. Вопросы?
Владимир Кочетков
vkochetkov@ptsecurity.com
@kochetkov_v
Application Inspector/Compiling Applications Analysis/Team Lead
Positive Technologies