Problems of Automated Generation of Exploits on the Basis of Source Code
•Download as PPTX, PDF•
0 likes•1,614 views
Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Viewers also liked
Viewers also liked (6)
Similar to Problems of Automated Generation of Exploits on the Basis of Source Code
Similar to Problems of Automated Generation of Exploits on the Basis of Source Code (20)
More from Positive Hack Days
More from Positive Hack Days (20)
Problems of Automated Generation of Exploits on the Basis of Source Code
- 2. Проблемы автоматической генерации эксплойтов по исходному коду Алексей Москвин Сергей Плехов
- 4. Техники обнаружения уязвимостей Динамический анализ кода (DAST) Фаззинг входящих параметров (Fuzz testing/Black Box) Инструментация кода Статический анализ кода (SAST) Pattern matching Анализ не самой программы, а какого-либо её представления (AST/CFG/PDG) Гибридный анализ Совмещение результатов полученных статическим и динамическим анализом.
- 5. Статический анализ кода Необходимо иметь доступ к исходным кодам приложения Позволяет не только искать уязвимости, но и проверять различные свойства программ Преимущество: не нужно развернутого приложения Большинство академических методов статического анализа, не позволяют анализировать большие приложения Тяжело проверить полученные результаты
- 6. Динамический анализ кода. Настройки конфигурации Не нужно иметь доступ к исходным кодам приложения, но необходимо установленное приложение Не зависит от языка, на котором написано приложение Легко реализуется и легко проверить результаты анализа Сложно оценить покрытие кода при проведении анализа Можно уничтожить веб приложение
- 7. Гибридный анализ. Необходимо иметь доступ как к исходным кодам приложения, так и развернутое приложение. Есть возможность проверить полученные результаты, но необходимо скомбинировать результаты статического анализа и динамического. При “плохой” реализации, возникают в полном объеме все минусы динамического анализа Отчеты содержат большое количество результатов, не относящихся к уязвимостям.
- 8. Реализованные цели. Производить анализ при отсутствии развернутого приложения. Небольшое количество ложных срабатывании (false positive) Автоматическая генерация эксплойтов!
- 9. Описание алгоритма. По исходному коду строится промежуточное представление программы. По промежуточному представлению создается абстрактная интерпретация программы. По абстрактной интерпретации производятся символические вычисления.
- 10. Представления кода. При анализе используем промежуточные представления исходного кода.
- 11. Генерация формулы. По исходному коду собираем логическую формулу. <?php // test.php if ($_GET['p'] == 'P@ssw0rd') { print base64_decode($_GET['text']); } Входящие данные являются неизвестными значениями. ($_GET[‘p’] == ‘P@ssw0rd’) && (base64_decode($_GET['text']) == <script>alert('test');</script>)
- 14. Важные моменты анализа. Анализ хода выполнения программы. Частичное выполнение кода. Специфика языков программирования.
- 15. Ход выполнения: тривиальный пример <?php print $_GET['x'];
- 16. Ход выполнения: анализ Data Flow <?php $x = $_GET[‘x’]; // … print $x;
- 17. Ход выполнения: фильтрации // фильтрация основного параметра <?php $x = $_GET['x']; if(preg_match('/[a-z]/', $x)) print $x; // фильтрация дополнительного параметра <?php $x = $_GET['x']; if(preg_match('/[a-z]/', $_GET['y'])) print $x;
- 18. Контекст вывода данных. <?php // <script>alert('test');</script> print $_GET['name']; // "><script>alert('test');</script> print '<input type="button" id="'.$_GET['id'].'">';
- 19. Ход выполнения: ООП <?php class ParamGetter { public function getParam($param) { return $_GET[$param]; } } $x = new ParamGetter(); print $x->getParam('name');
- 20. Ход выполнения: пространство имен <?php … use Modules/Params; $x = new ParamGetter(); print $x->getParam('name');
- 21. Ход выполнения: глобальные переменные <?php $flag = False; function f() { global $flag; if ($flag) // меняется в функции g() print $_GET['x']; // false positive g(); } function g() { // вызывается в трех местах global $flag; $flag = !$flag; } f(); g(); f(); g(); $flag g() print $_GET['x'] f() Main: Line 17 Main: Line 18 … … … комбинаторный взрыв
- 22. Ход выполнения: присваивание по ссылке <?php function f($x, &$y) { $y = $x; } $x = $_GET['x']; $y = NULL; f($x, $y); print $y;
- 23. Ход выполнения: зависимости модулей Файл не является точкой входа <?php // module1.php $x = $_GET['x']; require('module2.php'); ?> <?php // module2.php print $x; ?>
- 24. При поиске уязвимостей необходимо учитывать “естественный” ход выполнения программы.
- 25. Специфика PHP (I) Перезапись переменных <?php $name = 'x'; ${$name} = $_GET['x']; print $x;
- 26. Частичное выполнение: динамические пути <?php $path = $_SERVER['DOCUMENT_ROOT'].'/my_lib'; require $path.'/my_funcs.php'; my_print($_GET['x']);
- 27. Частичное выполнение: сокращение перебора <?php //... $allowed_tags = array('history'); $f = fread('footer.template'); $tags = array('name', 'title', 'job', 'address', 'phone' 'id'); foreach ($tags as $tag) if (in_array($tag, $allowed_tags)) $f = str_replace('<'.$tag.'>', $_POST[$tag], $f) print $f;
- 30. Промежуточные вычисления сильно упрощают дальнейший анализ
- 31. Состояния системы и переменных. <?php $id = isset($_GET['id']) ? $_GET['id'] : 'Your id'; $name = isset($_GET['name']) ? $_GET['name'] : 'Your name'; $title = isset($_GET['title']) ? $_GET['title'] : 'Your title'; $job = isset($_GET['job']) ? $_GET['job'] : 'Your job'; $phone = isset($_GET['phone']) ? $_GET['phone'] : 'Your phone'; // 2^5 = 32 возможных состояний системы // на самом деле надо проанализировать всего 2*5 = 10 возможных состояний переменных print $id; print $name; print $title; print $job; print $phone;
- 32. Все состояния системы <?php $id = isset($_GET['id']) ? $_GET['id'] : 'Your id'; $name = isset($_GET['name']) ? $_GET['name'] : 'Your name'; $title = isset($_GET['title']) ? $_GET['title'] : 'Your title'; print $id; print $name; print $title;
- 33. Компрессированное состояние <?php $id = isset($_GET['id']) ? $_GET['id'] : 'Your id'; $name = isset($_GET['name']) ? $_GET['name'] : 'Your name'; $title = isset($_GET['title']) ? $_GET['title'] : 'Your title'; print $id; print $name; print $title;
- 34. Дополнительные сложности • Циклы • Рекурсия • Файловая система
- 35. Циклы // вычисляемые: • foreach (array('one', 'two', 'three') as $v) { ... } // предполагаемые: • foreach($_GET['x'] as $v) { ... }
- 36. Рекурсия function dump($x) { if (is_array($x)) { foreach($x as $v) dump($v); } else dump_const($x); } // вычисляемая: dump(array('one', 'two', ['three'])); // предполагаемая: dump($_GET['x']);
- 37. Файловая система // анализируемая • require 'langs/' . $_GET['lang'] . '.php'; // виртуальная • file_put_contents('cache.dat', $data); ... $data = file_get_contents('cache.dat'); // предполагаемая • if (file_exists('/tmp/tmp.dat'); ...
- 38. Дополнительные сложности 2 • Определение подключаемых модулей по результату запроса к базе данных • Для компилируемых языков отсутствие части зависимостей не дает собрать проект • Символьное решение методами SAT может работать очень долго: необходимы эвристики и ограничение по времени • Можно решать уравнения не на множестве строк а на множестве регулярных выражений для них • Всегда есть место для оптимизации
- 39. Другие виды уязвимостей • Не все типы уязвимостей стоит ловить подобным методом (Pattern Matching, Fingerprinting, ошибки конфигурации) • При расширении подхода становится возможным искать и более сложные инъекции (хранимые XSS, SQLi)
- 41. Second Chance if ($_GET['action'] == 'insert') { $user = $_GET['user']; $id = $_GET['id']; $sql = "UPDATE table1 SET user = '". mysql_real_escape_string($user) . "' WHERE id = “ . intval($id) . ";"; mysql_query($sql); } else if ($_GET['action'] == 'select') { $sql = "SELECT * FROM table1 WHERE id = ". intval($id) . ";"; $res = mysql_query($sql); while ($row = mysql_fetch_array($res)) { echo $row['id'] + $row['user']; } }