SlideShare une entreprise Scribd logo

Web Application Security: Bug Hunting e Code Review

Antonio Parata
Antonio Parata

11 Dicembre 2008 Pisa, conferenza "Real Life Security: quando gli hackers diventano professionisti"

Technologie
1  sur  58
Télécharger pour lire hors ligne
Web Application Security: Bug Hunting e Code Review Pisa 11 Dicembre 2008 Antonio Parata antonio.parata@emaze.net Francesco Ongaro ascii@ush.it
Chi siamo? Antonio Parata Antonio Parata - Lavoro nel SOC di Telecomitalia come security auditor per conto di Emaze Networks (siamo alla ricerca di personale!)‫‏‬ - Membro del gruppo di ricerca indipendente USH - Faccio parte del gruppo Owasp Italy - IT Security researcher
Chi siamo? Francesco Ongaro Francesco Ongaro - IT Security consultant - Fondatore del gruppo di ricerca indipendente USH - IT Security researcher
Introduzione A chi è rivolto ? Professionisti del settore - Ethical hackers - Source code auditors Programmatori Web Computer security enthusiasts
Vulnerability Assessment È il processo che identifica, quantifica e valuta le vulnerabilità presenti in un sistema (nel nostro caso‫‏‬un‟applicazione‫‏‬web)‫‏‬ . GRAY BOX TESTING BLACK BOX WHITE BOX TESTING TESTING
Vulnerability Assessment Tipologie di testing - Black box testing →‫‏‬Nessuna conoscenza sul sistema - Gray Box Testing →‫‏‬Vengono‫‏‬fornite delle informazioni sul sistema, come ad esempio tipo di applicazione, policy implementate, account di prova - White box testing →‫‏‬Ho‫‏‬pieno accesso alle informazioni‫‏‬dell‟applicazione,‫‏‬compreso‫‏‬il‫‏‬codice‫‏‬ sorgente
BLACK BOX TESTING
Vulnerability Assessment Penetration Testing Process Application Profiling Vulnerability Report Discovery Vulnerability Exploitation Evaluation
Application Profiling Cosa identificare Si cerca di capire con che tipo di applicazione si ha a che fare e che tecnologie utilizza: - Tipo di applicazione (CMS, Forum, Webmail,‫‏‬Custom‫‏)…‏‬ - Linguaggio di programmazione (PHP,‫‏‬Java,‫‏‬ASP‫.‏‬NET‫‏)…‏‬ - Web Server e Application Server (Apache, IIS, Jboss,‫‏)…‏‬ - Database Server (MySQL, Acces,‫‏‬MS‫‏‬SQL‫‏‬Server,‫‏‬Oracle,…)‫‏‬ - Sistema operativo (Windows,‫‏‬Linux,‫‏)…‏‬ - Architettura (numero di tier, etc…)‫‏‬
Application Profiling A che scopo fare profiling Per identificare eventuali debolezze note: - Forum‫‏→‏‬Stored XSS - Webmail →‫‏‬Header Injection (per mail spamming)‫‏‬ - CMS‫‏→‏‬Arbitrary file upload (code execution)‫‏‬ Capire quali attacchi possono essere portati a termine a seconda del linguaggio utilizzato: - Java,‫‏‬ASP‫.‏‬NET‫‏→‏‬difficile Code Execution, Web Server Misconfiguration - PHP‫‏→‏‬SQLi,‫‏‬RCE,‫‏‬LFI,… Capire che tipo di operazioni si possono fare sul DB. (eseguire codice, query annidate, stacked query,‫‏‬creare‫‏‬tabelle,…)‫‏‬
Vulnerability Discovery In questa fase si identifica il maggior numero di vulnerabilità, facendo tesoro di quanto appreso nella fase di profiling per ottimizzare i tempi. Un aiuto non indifferente viene fornito dai tool automatici: - Dirbuster - W3af - Appscan (commerciale, costo circa 30K)‫‏‬ - Webinspect (commerciale, costo circa 30K)‫‏‬ - Acunetix (commerciale, costo circa 6K)‫‏‬
Web application vulnerabilities 1. Cross Site Scripting (XSS)‫‏‬ 2. Injection Flaw (sqli, OS Injection, xpath injection,…)‫‏‬ 3. Malicious File Execution (LFI,RFI)‫‏‬ 4. Insecure Direct Object Reference 5. Cross Site Request Forgery (CSRF/XSRF)‫‏‬ 6. Information Leakage and Improper Error Handling 7. Broken Authentication and Session Management 8. Insecure Cryptographic Storage 9. Insecure Communications 10. Failure to Restrict URL Access
SQL Injection vulnerability Si‫‏‬presenta‫‏‬in‫‏‬quei‫‏‬casi‫‏‬in‫‏‬cui‫‏‬l‟applicazione‫‏‬fa‫‏‬ utilizzo di un Database come strumento di storage. Si cerca di alterare la struttura delle query eseguite sul DB per scopi malevoli. Modificando la query si può: - Bypassare routine di autenticazione - Ottenere username e password degli utenti dell‟applicazione - Eseguire codice sul macchina su cui è installato il DB
SQL Injection vulnerability Query di autenticazione con DB Mysql: SELECT * FROM Utenti WHERE username=„<input User>‟ and password=MD5(„<input Pass>‟)
SQL Injection vulnerability Gli sviluppatori web sono ormai coscienti di questo tipo di attacco non più tanto comune, o per lo meno nella sua forma “standard” Blind SQL Injection Second Order SQL Injection
SQL Injection vulnerability Blind SQL Injection In‫‏‬base‫‏‬al‫“‏‬tipo”‫‏‬di‫‏‬risposta‫‏‬ottenuta‫‏‬si‫‏‬deduce‫‏‬se‫‏‬ la query è andata a buon fine o meno. Necessita di una prima fase di scoperta della vulnerabilità: 1‟‫‏‬OR‫‏‟1„‏=‏‟1„‏‬OR‫( 2„‏=‏‟1„‏‬query sempre vera)‫‏‬ 1‟‫‏‬OR‫‏‟2„‏=‏‟1„‏‬OR‫( 2„‏=‏‟1„‏‬query sempre falsa)‫‏‬ Le risposte ricevute verranno utilizzate per discriminare sul risultato della query.
SQL Injection vulnerability Blind SQL Injection Calcoliamo il valore della risposta sempre vera:
SQL Injection vulnerability Blind SQL Injection Calcoliamo il valore della risposta sempre falsa:
SQL Injection vulnerability Blind SQL Injection Attacco:
SQL Injection vulnerability Second Order SQL Injection A‫‏‬volte‫‏‬accade‫‏‬che‫‏‬l‟input‫‏‬utente‫‏‬venga‫‏‬filtrato‫‏‬ correttamente salvo poi essere riutilizzato in un secondo momento in modo errato:
SQL Injection vulnerability Attack Optimization Le vulnerabilità di tipo SQLi (in particolare di tipo Blind) richiedono un alto numero di richieste. Esistono varie tecniche per poter ottimizzare il numero di richieste: - Ricerca Binaria - Mappable Blind SQL Injection http://www.wisec.it/sectou.php?id=4706611fe9210 http://www.ush.it/team/ascii/ hack-charmap/charmap_0.1.tar.gz
SQL Injection vulnerability Problemi di automazione Purtroppo esistono alcuni impedimenti ad una completa automazione degli attacchi di tipo SQLi: - La non stabilità della pagina, attualmente rappresenta la sfida più impegnativa da parte degli sviluppatori di tool automatici (esistono comunque degli studi a riguardo non ancora pubblicati)‫‏‬ - Complessità delle query, in particolare la presenza di‫‏‬parentesi‫‏‬e‫‏‬l‟utilizzo‫‏‬di‫‏‬keyword‫‏‬particolari‫(‏‬come‫‏‬ad‫‏‬ esempio LIKE) complica la fase di automatizzazione dell‟attacco
SQL Injection vulnerability Tools Tool che vale la pena di provare: - Sqlmap http://sqlmap.sourceforge.net/ - Sqlninja http://sqlninja.sourceforge.net/ - Absinthe http://www.0x90.org/releases/absinthe/ Altri tool: - BSQL http://labs.portcullis.co.uk/application/bsql-hacker/ - Scrawl https://download.spidynamics.com/products/scrawlr/
OS Command Injection Utilizza funzioni che permettono di eseguire comandi di sistema o valutazione dinamica di codice di scripting: - System - Exec - Eval - Open (per script perl)‫‏‬ -… Inutile‫‏‬dire‫‏‬che‫‏‬se‫‏‬dell‟input‫‏‬utente‫‏‬arriva‫‏‬inalterato‫‏‬ in una di queste funzioni, cose molto brutte possono accadere 
OS Command Injection Considerazioni È buona regola non far passare input utente a tali funzioni: anche in caso di escaping dell‟input‫‏‬si‫‏‬ possono avere brutte sorprese. Esempio: system('ls '.escapeshellarg($dir)); Ma se siamo su sistemi linux cosa succede se mettiamo: $dir= `ls`  “`ls`” il codice viene eseguito 
Malicious File Execution Permette di eseguire codice sul sistema. Rappresenta una delle vulnerabilità a maggior impatto. Tipologie: - Remote File Inclusion - Local File Inclusion - OS Command Injection
Malicious File Execution Remote File Inclusion Sfrutta le funzioni di inclusione dinamica di file per eseguire codice: - include() - include_once() - require() - require_once() Esempio (Joomla Component Simple RSS Reader 1.0): include(quot;$mosConfig_live_site/components/ com_rssreader/about.htmlquot; );
Malicious File Execution Remote File Inclusion – Considerazioni In declino: - I più diffusi linguaggi di programmazione web non supportano‫‏‬l‟inclusione‫‏‬dinamica. (J2EE, ASP .NET)‫‏‬ - PHP non permette di default di includere file remoti. (falso per le vecchie versioni di PHP)‫‏‬
Malicious File Execution Local File Inclusion Permette di visualizzare o eseguire il contenuto di file presenti sul filesystem. (permessi di lettura permettendo)‫‏‬ Permette di eseguire codice remoto. Sfrutta le stesse funzioni del Remote File Inclusion. Esempio (FTP Admin v0.1.0): include(quot;$page.phpquot;);  http://localhost/ft/index.php?page=../../../../../../../../etc/pas swd%00&loggedin=true
Malicious File Execution Local File Inclusion Non tutti sanno che su sistemi Linux è possibile eseguire del codice tramite una LFI Esempio: index.php?page=../../../proc/self/environ&cmd=ls HTTP_USER_AGENT: <?php system($_GET['cmd'])?> More info: http://www.ush.it/2008/08/18/lfi2rce-local-file-inclusion-to- remote-code-execution-advanced-exploitation-proc- shortcuts/ http://www.g-brain.net/tutorials/local-file-inclusions.txt
Failure to Restrict URL Access Anche detta Force Browsing. Consiste‫‏‬nell‟essere‫‏‬fiduciosi‫‏‬che‫‏‬chi‫‏‬accede‫‏‬a‫‏‬ certe‫‏‬sezioni‫‏‬dell‟applicazioni‫‏‬deve‫‏‬per‫‏‬forza‫‏‬ essere autorizzato. In genere ciò si ottiene: - “Nascondendo”‫‏‬i‫‏‬link‫‏‬relativi‫‏‬a‫‏‬sezioni‫‏‬privilegiate - Errata implementazione delle politiche di accesso
Failure to Restrict URL Access Esempi La pagina admin non appare nel menu principale a meno che non si è Administrator →‫‏‬basta‫‏‬far‫‏‬puntare‫‏‬il‫‏‬browser‫‏‬ su /admin.php Viene‫‏‬inserito‫‏‬un‫“‏‬redirect header”‫‏‬per‫‏‬redirezionare l‟utente‫‏‬su‫‏‬una‫‏‬pagina‫‏‬di‫‏‬errore‫‏‬ma‫‏‬ci‫‏‬si‫‏‬dimentica‫‏‬di‫‏‬ uscire‫‏‬dall‟applicazione‫‏→‏‬analizzando‫‏‬il‫‏‬codice‫‏‬ritornato‫‏‬ dalla pagina di redirect si ottiene il codice HTML della pagina di admin
CODE REVIEW
Code Review Code Review è il processo di analisi del codice sorgente con il fine di identificare le eventuali vulnerabilità. (o più in generale software bugs)‫‏‬ Diverse tipologie di navigazione del codice - Control-flow sensitive → si analizza il codice senza tener conto del flusso dei dati ma solo del percorso del programma. - Data-flow sensitive → si analizza il codice sorgente seguendo il flusso dei dati. Scelta una variabile si considerano solo le chiamate di funzione che interessano tale variabile.
Code Review Navigazione del codice 1. int bob(int c) { 2. if (c == 4) 3. fred(c); 4. if (c == 72) 5. jim(); 6. for (; c; c) 7. updateglobalstate(); 8. } Control-flow sensitive  123|45|67|8 Data-flow sensitive (var c)  123|46|8
Code Review Strategie di Code-auditing Trace Malicious Input Si‫‏‬identificano‫‏‬i‫‏‬punti‫‏‬in‫‏‬cui‫‏‬l‟input‫‏‬utente‫“‏‬entra”‫‏‬ nell‟applicazione‫(‏‬entrypoint).‫‏‬Da‫‏‬qui‫‏‬si‫‏‬traccia‫‏‬l‟input‫‏‬alla‫‏‬ ricerca di vunerabilità Candidate Point Strategies Si identificano i punti in cui è più probabile che si riscontrino vulnerabilità (esecuzione di query o di comandi di sistema) e si procede a ritroso fino ad una correlazione‫‏‬con‫‏‬l‟input‫‏‬utente
Code Review Strategie di Code-auditing  Trace Malicious Input Navigazione del codice  Control-Flow Sensitive … 1. $myvar = $_GET['name']; 2. if ($counter > 0)‫‏‬ 3. { 4. sayhello(quot;Ben tornato quot;.$myvar); 5. } 6. else 7. { 8. sayhello(quot;Benvenutoquot;); 9. } 10. function sayhello($msg)‫‏‬ 11. { 12. print_header(); 13. print_menu(); 14. print $msg; 15. print_footer(); 16. } …
Code Review Strategie di Code-auditing  Candidate Point Strategies ... Navigazione del codice  Data-Flow Sensitive 1. $U = $_POST['username']; 2. $P = $_POST['password']; 3. if (!isset($U) || !isset($P)) { 4. echo quot;Password non validaquot;; 5. } 6. Else { 7. $resOk = check_login($U, $P); 8. if ($resOk) { 9. print quot;Accesso consentitoquot;; 10. doAdminStuff(); 11. } 12. else { 13. print quot;Password e/o Username erratiquot;; 14. } 15. } 16. function check_login($username, $password) { 17. $sql = quot;SELECT count(*) FROM Utenti WHERE 18. Username='$username' AND Password=MD5('$password')quot;; 19. $res = execute_query($sql); 20. return $res > 0; 21. } ...
Code Review Strategie di Code-auditing – quale utilizzare? Trace Malicious Input Utile quando si vogliono identificare vulnerabilità derivanti da‫‏‬funzioni‫‏‬utilizzate‫‏‬con‫‏‬un‟alta‫‏‬frequenza‫(‏‬print,echo → XSS)‫‏‬ Candidate Point Strategies Utile quando si vogliono identificare vulnerabilità derivanti da funzioni utilizzate con bassa frequenza (system, eval →‫‏‬RCE)‫ ‏‬Generalmente è il primo da provare a causa del . limitato uso di funzioni altamente pericoloso.
Code Review Stato‫‏‬attuale‫‏‬della‫‏‬ricerca‫‏‬per‫‏‬l‟automazione‫‏‬della‫‏‬Code‫‏‬ Review È un campo di ricerca ancora molto giovane Si è passati da tool “grep style” (tool di prima generazione) a tool che comprendono un completo parser del linguaggio con complessi algoritmi di analisi: - Data flow analysis - Intraprocedural analysis (analisi del Call Graph)‫‏‬ - Interprocedural‫‏‬analysis‫(‏‬analisi‫‏‬dell‟AST)‫‏‬ - Dinamic/Static taint analysis - Symbolic execution - <aggiungere nome altisonante qui> :P
Code Review Tool automatici – evoluzione Fonte “Secure Programming with Static Analysis”
Code Review Tool automatici – web based related OWASP Orizon “This project born in 2006 in order to provide a framework to all Owasp projects developing code review services. The project is in a quite stable stage and it is usable for Java static code review and some dynamic tests against XSS. Owasp Orizon includes also APIs for code crawling, usable for code crawling tools.” Project Leader: Paolo Perego Pixy “Pixy is a Java program that performs automatic scans of PHP 4 source code, aimed at the detection of XSS and SQL injection vulnerabilities. Pixy takes a PHP program as input, and creates a report that lists possible vulnerable points in the program, together with additional information for understanding the vulnerability.”
Spot the Bug Moodle 1.9.3 La vulnerabilità è di tipo Remote Code Execution Strategie di Code-auditing: Candidate Point Strategies
Spot the Bug … Moodle 1.9.3 - tex.php 1. error_reporting(E_ALL); 2. $texexp = urldecode($_SERVER['QUERY_STRING']); 3. $texexp = str_replace('formdata=','',$texexp); 4. if ($texexp) { 5. $image = md5($texexp) . quot;.gifquot;; 6. $filetype = 'image/gif'; 7. if (!file_exists(quot;$CFG->dataroot/filter/texquot;)) { 8. make_upload_directory(quot;filter/texquot;); 9. } 10. $texexp = str_replace('&lt;','<',$texexp); 11. $texexp = str_replace('&gt;','>',$texexp); 12. $texexp = preg_replace('!rn?!',' ',$texexp); 13. $cmd = tex_filter_get_cmd($pathname, $texexp); 14. system($cmd, $status); 15. if (file_exists($pathname)) { 16. send_file($pathname, $image); 17. } else { 18. echo quot;Image not found!quot;; 19. } …
Spot the Bug Moodle 1.9.3 - lib.php … 1. function tex_filter_get_cmd($pathname, $texexp) { 2. $texexp = escapeshellarg($texexp); 3. $executable = tex_filter_get_executable(false); 4. if ((PHP_OS == quot;WINNTquot;) || (PHP_OS == quot;WIN32quot;) 5. || (PHP_OS == quot;Windowsquot;)) { 6. $executable = str_replace(' ', '^ ', $executable); 7. return quot;$executable ++ -e quot;$pathnamequot; -- $texexpquot;; 8. } else { 9. return quot;quot;$executablequot; -e quot;$pathnamequot; -- $texexpquot;; 10. } 11. } …
Spot the Bug Moodle 1.9.3 tex_filter_get_cmd non esegue alcuna validazione sul parametro $pathname. Le globals devono essere abilitate. Trace: - Input formdata → $formdata - Evil Input pathname → $pathname - tex_filter_get_cmd($pathname,…) → $cmd - $cmd → system($cmd,…)‫‏‬ Exploit: http://www.example.com/moodle/filter/tex/texed.ph p?formdata=foo&pathname=fooquot;;ls+-l;echo+quot;
Spot the Bug Collabtive 0.4.6 - admin.php La vulnerabilità è di tipo Force Browser con Authentication Bypass Strategie di Code-auditing: Trace Malicious Input
Spot the Bug … Collabtive 0.4.6 - admin.php 1. $repeatpass = getArrayVal($_POST, quot;repeatpassquot;); 2. $template->assign(quot;modequot;, $mode);$user = new user(); 3. $project = new project(); 4. $theset = new settings(); 5. $mainclasses = array(quot;desktopquot; => quot;desktopquot;, quot;profilquot; => quot;profilquot;, quot;adminquot; => quot;admin_activequot;); 1. $template->assign(quot;mainclassesquot;, $mainclasses); 2. if ($adminstate < 5) {// TRUE se non siamo admin 3. $errtxt = $langfile[quot;nopermissionquot;]; 4. $noperm = $langfile[quot;accessdeniedquot;]; 5. $template->assign(quot;errortextquot;, quot;$errtxt<br>$nopermquot;); 6. $template->display(quot;error.tplquot;); // è una print di codice HTML 7. } 8. // OK siamo admin 9. if ($action == quot;indexquot;) { 10. $classes = array(quot;overviewquot; => quot;overview_activequot;, quot;systemquot; => quot;systemquot;, “usersquot; =>quot;usersquot;); …
Spot the Bug Collabtive 0.4.6 - admin.php Se $adminstate è minore di 5 viene stampato un messaggio di errore, ma l’esecuzione del programma continua Fix: Inserire un exit nel blocco if se le globals sono abilitate il bug rimane exploitabile Exploit: http://www.example.com/collabtive/admin.php
Spot the Bug XXXX – 0day  La vulnerabilità è di tipo Arbitrary file creation con Remote Code Execution Strategie di Code-auditing: Trace Malicious Input Prerequisiti: Nessuno!!
Spot the Bug … XXXX – 0day  1. function _holiday_cmp($a,$b) { 2. if (($year_diff = ($a['occurence'] <= 0 ? 3. 0 : $a['occurence']) - ($b['occurence'] <= 0 ? 4. 0 : $b['occurence']))) 5. { 6. return $year_diff; 7. } 8. return $a['month'] - $b['month'] ? 9. $a['month'] - $b['month'] : $a['day'] - $b['day']; 10. } 11. $send_back_to = str_replace('&locale='.$_POST['locale'],'',$send_back_to); 12. $file = './holidays.'.$_POST['locale'].'.csv'; 13. if(!file_exists($file) || filesize($file) < 300) { 14. if (count($_POST['name'])) { 15. $fp = fopen($file,'w'); 16. if ($_POST['charset']) 17. fwrite($fp,quot;charsettquot;.$_POST['charset'].quot;nquot;); 18. $holidays = array(); …
Spot the Bug XXXX – 0day  Trace: - Input File locale → $file - fopen($file,…) → $fp - Evil input charset → fwrite($fp,…)‫‏‬ Exploit: - Sorry no exploit evailable :P
Pubblicare una vulnerabilità Policy - Full disclosure → Trovata la vulnerabilità, si scrive l’advisory e lo si pubblica. - Responsible disclosure → Invece di pubblicare l’advisory subito, si avverte il vendor e si coordina con esso la pubblicazione dell’advisory dopo che è stato rilasciata una patch (se prevista).
Responsible disclosure Processo - Notifica della vulnerabilità al vendor - Aspettare ed eventualmente collaborare con il vendor per la risoluzione e il fix del bug - Pubblicare la vulnerabilità sulle varie ml di sicurezza senza omissioni di dettagli ed eventualmente con un poc (proof of concept)‫‏‬ Esiste una policy non ufficiale (ma riconosciuta come tale)‫‏‬ http://www.wiretrip.net/rfp/policy.html
Responsible disclosure Relazionarsi con il vendor Nella prima mail di contatto dovreste specificare: - Versione del software vulnerabile - Dettagliata descrizione della vulnerabilità (eventualmente allegate il draft dell’advisory)‫‏‬ - Suggerire una possibile soluzione - Specificate che lo fate solo ed esclusivamente a scopo di ricerca - Specificate bene qual’è la vostra politica per quanto riguarda i tempi di rilascio
Responsible disclosure Eventuale problematiche Può capitare che il vendor non risponda alla vostra mail, in questo caso: - Aspettate una settimana dopodiché inviate un’altra mail di notifica, specificando che non avete ricevuto risposta (controllate se esistono altri indirizzi e-mail a cui inviare l’adv)‫‏‬ - Se ancora non risponde, aspettate un’altra settimana e inviate un’altra mail dicendo che il giorno seguente pubblicherete l’advisory - Se non risponde in tempo, pubblicate l’advisory 
Conclusioni - Web 2.0 is everywhere! - Ogni azienda che si possa definire tale ha un sito web  ci si sta rendendo conto che la sicurezza delle applicazioni web è una cosa di cui tener conto. - Scovare bug ad alto impatto (sqli, rce) non è più tanto semplice In futuro vedremo (imho): - Tool di analisi statica sempre più intelligenti - Identificazione di nuove vulnerabilità lato client - Tool di testing sempre più Context-aware
Domande?

Recommandé

Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoCome mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoAntonio Parata
 
.NET for hackers
.NET for hackers.NET for hackers
.NET for hackersAntonio Parata
 
Securing your web applications a pragmatic approach
Securing your web applications a pragmatic approachSecuring your web applications a pragmatic approach
Securing your web applications a pragmatic approachAntonio Parata
 
HackInBo2k16 - Threat Intelligence and Malware Analysis
HackInBo2k16 - Threat Intelligence and Malware AnalysisHackInBo2k16 - Threat Intelligence and Malware Analysis
HackInBo2k16 - Threat Intelligence and Malware AnalysisAntonio Parata
 
EyePyramid and other .NET malware. How to analyze them?
EyePyramid and other .NET malware. How to analyze them?EyePyramid and other .NET malware. How to analyze them?
EyePyramid and other .NET malware. How to analyze them?Antonio Parata
 
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...Team per la Trasformazione Digitale
 
Owasp parte3
Owasp parte3Owasp parte3
Owasp parte3claudiodigiovanni
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
 

Recommandé

Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoCome mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoAntonio Parata
 
.NET for hackers
.NET for hackers.NET for hackers
.NET for hackersAntonio Parata
 
Securing your web applications a pragmatic approach
Securing your web applications a pragmatic approachSecuring your web applications a pragmatic approach
Securing your web applications a pragmatic approachAntonio Parata
 
HackInBo2k16 - Threat Intelligence and Malware Analysis
HackInBo2k16 - Threat Intelligence and Malware AnalysisHackInBo2k16 - Threat Intelligence and Malware Analysis
HackInBo2k16 - Threat Intelligence and Malware AnalysisAntonio Parata
 
EyePyramid and other .NET malware. How to analyze them?
EyePyramid and other .NET malware. How to analyze them?EyePyramid and other .NET malware. How to analyze them?
EyePyramid and other .NET malware. How to analyze them?Antonio Parata
 
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...Team per la Trasformazione Digitale
 
Owasp parte3
Owasp parte3Owasp parte3
Owasp parte3claudiodigiovanni
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSMAU
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1claudiodigiovanni
 
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Pawel Zorzan Urban
 
festival ICT 2013: Sicurezza delle applicazioni web
festival ICT 2013: Sicurezza delle applicazioni webfestival ICT 2013: Sicurezza delle applicazioni web
festival ICT 2013: Sicurezza delle applicazioni webfestival ICT 2016
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilitàraffaele_forte
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007jekil
 
(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11bAlfredo Morresi
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...IBM Italia Web Team
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestAndrea Draghetti
 
Google Hacking
Google HackingGoogle Hacking
Google HackingEduard Roccatello
 
Infosecurity 2007
Infosecurity 2007Infosecurity 2007
Infosecurity 2007Antonio Parata
 
Hackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaHackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaSimone Onofri
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Claudio Criscione
 
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"guest2c6b3
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora
 
Nessus
NessusNessus
NessusFrancesco Taurino
 
Performance e Drupal
Performance e DrupalPerformance e Drupal
Performance e DrupalVincenzo Di Biaggio
 
Owasp Day 3
Owasp Day 3Owasp Day 3
Owasp Day 3Antonio Parata
 
Demystify web application vulnerability assessment
Demystify web application vulnerability assessmentDemystify web application vulnerability assessment
Demystify web application vulnerability assessmentAntonio Parata
 
Program Analysis: a security perspective
Program Analysis: a security perspectiveProgram Analysis: a security perspective
Program Analysis: a security perspectiveAntonio Parata
 

Contenu connexe

Similaire à Web Application Security: Bug Hunting e Code Review

Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSMAU
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Pawel Zorzan Urban
 
festival ICT 2013: Sicurezza delle applicazioni web
festival ICT 2013: Sicurezza delle applicazioni webfestival ICT 2013: Sicurezza delle applicazioni web
festival ICT 2013: Sicurezza delle applicazioni webfestival ICT 2016
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilitàraffaele_forte
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007jekil
 
(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11bAlfredo Morresi
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...IBM Italia Web Team
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestAndrea Draghetti
 
Hackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaHackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaSimone Onofri
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Claudio Criscione
 
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"guest2c6b3
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora
 

Similaire à Web Application Security: Bug Hunting e Code Review (20)

Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo Chirivì
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensored
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
 
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
 
festival ICT 2013: Sicurezza delle applicazioni web
festival ICT 2013: Sicurezza delle applicazioni webfestival ICT 2013: Sicurezza delle applicazioni web
festival ICT 2013: Sicurezza delle applicazioni web
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilità
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007
 
(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration Test
 
Google Hacking
Google HackingGoogle Hacking
Google Hacking
 
Infosecurity 2007
Infosecurity 2007Infosecurity 2007
Infosecurity 2007
 
Hackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaHackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e Difesa
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]
 
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrilla
 
Nessus
NessusNessus
Nessus
 
Performance e Drupal
Performance e DrupalPerformance e Drupal
Performance e Drupal
 
Owasp Day 3
Owasp Day 3Owasp Day 3
Owasp Day 3
 

Plus de Antonio Parata

Demystify web application vulnerability assessment
Demystify web application vulnerability assessmentDemystify web application vulnerability assessment
Demystify web application vulnerability assessmentAntonio Parata
 
Program Analysis: a security perspective
Program Analysis: a security perspectiveProgram Analysis: a security perspective
Program Analysis: a security perspectiveAntonio Parata
 
Jackpot! sbancare un atm con ploutus.d
Jackpot! sbancare un atm con ploutus.dJackpot! sbancare un atm con ploutus.d
Jackpot! sbancare un atm con ploutus.dAntonio Parata
 

Plus de Antonio Parata (9)

Demystify web application vulnerability assessment
Demystify web application vulnerability assessmentDemystify web application vulnerability assessment
Demystify web application vulnerability assessment
 
Program Analysis: a security perspective
Program Analysis: a security perspectiveProgram Analysis: a security perspective
Program Analysis: a security perspective
 
Jackpot! sbancare un atm con ploutus.d
Jackpot! sbancare un atm con ploutus.dJackpot! sbancare un atm con ploutus.d
Jackpot! sbancare un atm con ploutus.d
 
Smau 2006
Smau 2006Smau 2006
Smau 2006
 
Smau 2007
Smau 2007Smau 2007
Smau 2007
 
Hat 2008
Hat 2008Hat 2008
Hat 2008
 
Openexp 2006
Openexp 2006Openexp 2006
Openexp 2006
 
Nss 2007
Nss 2007Nss 2007
Nss 2007
 
Infosecurity 2008
Infosecurity 2008Infosecurity 2008
Infosecurity 2008
 

Web Application Security: Bug Hunting e Code Review

  • 1. Web Application Security: Bug Hunting e Code Review Pisa 11 Dicembre 2008 Antonio Parata antonio.parata@emaze.net Francesco Ongaro ascii@ush.it
  • 2. Chi siamo? Antonio Parata Antonio Parata - Lavoro nel SOC di Telecomitalia come security auditor per conto di Emaze Networks (siamo alla ricerca di personale!)‫‏‬ - Membro del gruppo di ricerca indipendente USH - Faccio parte del gruppo Owasp Italy - IT Security researcher
  • 3. Chi siamo? Francesco Ongaro Francesco Ongaro - IT Security consultant - Fondatore del gruppo di ricerca indipendente USH - IT Security researcher
  • 4. Introduzione A chi è rivolto ? Professionisti del settore - Ethical hackers - Source code auditors Programmatori Web Computer security enthusiasts
  • 5. Vulnerability Assessment È il processo che identifica, quantifica e valuta le vulnerabilità presenti in un sistema (nel nostro caso‫‏‬un‟applicazione‫‏‬web)‫‏‬ . GRAY BOX TESTING BLACK BOX WHITE BOX TESTING TESTING
  • 6. Vulnerability Assessment Tipologie di testing - Black box testing →‫‏‬Nessuna conoscenza sul sistema - Gray Box Testing →‫‏‬Vengono‫‏‬fornite delle informazioni sul sistema, come ad esempio tipo di applicazione, policy implementate, account di prova - White box testing →‫‏‬Ho‫‏‬pieno accesso alle informazioni‫‏‬dell‟applicazione,‫‏‬compreso‫‏‬il‫‏‬codice‫‏‬ sorgente
  • 8. Vulnerability Assessment Penetration Testing Process Application Profiling Vulnerability Report Discovery Vulnerability Exploitation Evaluation
  • 9. Application Profiling Cosa identificare Si cerca di capire con che tipo di applicazione si ha a che fare e che tecnologie utilizza: - Tipo di applicazione (CMS, Forum, Webmail,‫‏‬Custom‫‏)…‏‬ - Linguaggio di programmazione (PHP,‫‏‬Java,‫‏‬ASP‫.‏‬NET‫‏)…‏‬ - Web Server e Application Server (Apache, IIS, Jboss,‫‏)…‏‬ - Database Server (MySQL, Acces,‫‏‬MS‫‏‬SQL‫‏‬Server,‫‏‬Oracle,…)‫‏‬ - Sistema operativo (Windows,‫‏‬Linux,‫‏)…‏‬ - Architettura (numero di tier, etc…)‫‏‬
  • 10. Application Profiling A che scopo fare profiling Per identificare eventuali debolezze note: - Forum‫‏→‏‬Stored XSS - Webmail →‫‏‬Header Injection (per mail spamming)‫‏‬ - CMS‫‏→‏‬Arbitrary file upload (code execution)‫‏‬ Capire quali attacchi possono essere portati a termine a seconda del linguaggio utilizzato: - Java,‫‏‬ASP‫.‏‬NET‫‏→‏‬difficile Code Execution, Web Server Misconfiguration - PHP‫‏→‏‬SQLi,‫‏‬RCE,‫‏‬LFI,… Capire che tipo di operazioni si possono fare sul DB. (eseguire codice, query annidate, stacked query,‫‏‬creare‫‏‬tabelle,…)‫‏‬
  • 11. Vulnerability Discovery In questa fase si identifica il maggior numero di vulnerabilità, facendo tesoro di quanto appreso nella fase di profiling per ottimizzare i tempi. Un aiuto non indifferente viene fornito dai tool automatici: - Dirbuster - W3af - Appscan (commerciale, costo circa 30K)‫‏‬ - Webinspect (commerciale, costo circa 30K)‫‏‬ - Acunetix (commerciale, costo circa 6K)‫‏‬
  • 12. Web application vulnerabilities 1. Cross Site Scripting (XSS)‫‏‬ 2. Injection Flaw (sqli, OS Injection, xpath injection,…)‫‏‬ 3. Malicious File Execution (LFI,RFI)‫‏‬ 4. Insecure Direct Object Reference 5. Cross Site Request Forgery (CSRF/XSRF)‫‏‬ 6. Information Leakage and Improper Error Handling 7. Broken Authentication and Session Management 8. Insecure Cryptographic Storage 9. Insecure Communications 10. Failure to Restrict URL Access
  • 13. SQL Injection vulnerability Si‫‏‬presenta‫‏‬in‫‏‬quei‫‏‬casi‫‏‬in‫‏‬cui‫‏‬l‟applicazione‫‏‬fa‫‏‬ utilizzo di un Database come strumento di storage. Si cerca di alterare la struttura delle query eseguite sul DB per scopi malevoli. Modificando la query si può: - Bypassare routine di autenticazione - Ottenere username e password degli utenti dell‟applicazione - Eseguire codice sul macchina su cui è installato il DB
  • 14. SQL Injection vulnerability Query di autenticazione con DB Mysql: SELECT * FROM Utenti WHERE username=„<input User>‟ and password=MD5(„<input Pass>‟)
  • 15. SQL Injection vulnerability Gli sviluppatori web sono ormai coscienti di questo tipo di attacco non più tanto comune, o per lo meno nella sua forma “standard” Blind SQL Injection Second Order SQL Injection
  • 16. SQL Injection vulnerability Blind SQL Injection In‫‏‬base‫‏‬al‫“‏‬tipo”‫‏‬di‫‏‬risposta‫‏‬ottenuta‫‏‬si‫‏‬deduce‫‏‬se‫‏‬ la query è andata a buon fine o meno. Necessita di una prima fase di scoperta della vulnerabilità: 1‟‫‏‬OR‫‏‟1„‏=‏‟1„‏‬OR‫( 2„‏=‏‟1„‏‬query sempre vera)‫‏‬ 1‟‫‏‬OR‫‏‟2„‏=‏‟1„‏‬OR‫( 2„‏=‏‟1„‏‬query sempre falsa)‫‏‬ Le risposte ricevute verranno utilizzate per discriminare sul risultato della query.
  • 17. SQL Injection vulnerability Blind SQL Injection Calcoliamo il valore della risposta sempre vera:
  • 18. SQL Injection vulnerability Blind SQL Injection Calcoliamo il valore della risposta sempre falsa:
  • 19. SQL Injection vulnerability Blind SQL Injection Attacco:
  • 20. SQL Injection vulnerability Second Order SQL Injection A‫‏‬volte‫‏‬accade‫‏‬che‫‏‬l‟input‫‏‬utente‫‏‬venga‫‏‬filtrato‫‏‬ correttamente salvo poi essere riutilizzato in un secondo momento in modo errato:
  • 21. SQL Injection vulnerability Attack Optimization Le vulnerabilità di tipo SQLi (in particolare di tipo Blind) richiedono un alto numero di richieste. Esistono varie tecniche per poter ottimizzare il numero di richieste: - Ricerca Binaria - Mappable Blind SQL Injection http://www.wisec.it/sectou.php?id=4706611fe9210 http://www.ush.it/team/ascii/ hack-charmap/charmap_0.1.tar.gz
  • 22. SQL Injection vulnerability Problemi di automazione Purtroppo esistono alcuni impedimenti ad una completa automazione degli attacchi di tipo SQLi: - La non stabilità della pagina, attualmente rappresenta la sfida più impegnativa da parte degli sviluppatori di tool automatici (esistono comunque degli studi a riguardo non ancora pubblicati)‫‏‬ - Complessità delle query, in particolare la presenza di‫‏‬parentesi‫‏‬e‫‏‬l‟utilizzo‫‏‬di‫‏‬keyword‫‏‬particolari‫(‏‬come‫‏‬ad‫‏‬ esempio LIKE) complica la fase di automatizzazione dell‟attacco
  • 23. SQL Injection vulnerability Tools Tool che vale la pena di provare: - Sqlmap http://sqlmap.sourceforge.net/ - Sqlninja http://sqlninja.sourceforge.net/ - Absinthe http://www.0x90.org/releases/absinthe/ Altri tool: - BSQL http://labs.portcullis.co.uk/application/bsql-hacker/ - Scrawl https://download.spidynamics.com/products/scrawlr/
  • 24. OS Command Injection Utilizza funzioni che permettono di eseguire comandi di sistema o valutazione dinamica di codice di scripting: - System - Exec - Eval - Open (per script perl)‫‏‬ -… Inutile‫‏‬dire‫‏‬che‫‏‬se‫‏‬dell‟input‫‏‬utente‫‏‬arriva‫‏‬inalterato‫‏‬ in una di queste funzioni, cose molto brutte possono accadere 
  • 25. OS Command Injection Considerazioni È buona regola non far passare input utente a tali funzioni: anche in caso di escaping dell‟input‫‏‬si‫‏‬ possono avere brutte sorprese. Esempio: system('ls '.escapeshellarg($dir)); Ma se siamo su sistemi linux cosa succede se mettiamo: $dir= `ls`  “`ls`” il codice viene eseguito 
  • 26. Malicious File Execution Permette di eseguire codice sul sistema. Rappresenta una delle vulnerabilità a maggior impatto. Tipologie: - Remote File Inclusion - Local File Inclusion - OS Command Injection
  • 27. Malicious File Execution Remote File Inclusion Sfrutta le funzioni di inclusione dinamica di file per eseguire codice: - include() - include_once() - require() - require_once() Esempio (Joomla Component Simple RSS Reader 1.0): include(quot;$mosConfig_live_site/components/ com_rssreader/about.htmlquot; );
  • 28. Malicious File Execution Remote File Inclusion – Considerazioni In declino: - I più diffusi linguaggi di programmazione web non supportano‫‏‬l‟inclusione‫‏‬dinamica. (J2EE, ASP .NET)‫‏‬ - PHP non permette di default di includere file remoti. (falso per le vecchie versioni di PHP)‫‏‬
  • 29. Malicious File Execution Local File Inclusion Permette di visualizzare o eseguire il contenuto di file presenti sul filesystem. (permessi di lettura permettendo)‫‏‬ Permette di eseguire codice remoto. Sfrutta le stesse funzioni del Remote File Inclusion. Esempio (FTP Admin v0.1.0): include(quot;$page.phpquot;);  http://localhost/ft/index.php?page=../../../../../../../../etc/pas swd%00&loggedin=true
  • 30. Malicious File Execution Local File Inclusion Non tutti sanno che su sistemi Linux è possibile eseguire del codice tramite una LFI Esempio: index.php?page=../../../proc/self/environ&cmd=ls HTTP_USER_AGENT: <?php system($_GET['cmd'])?> More info: http://www.ush.it/2008/08/18/lfi2rce-local-file-inclusion-to- remote-code-execution-advanced-exploitation-proc- shortcuts/ http://www.g-brain.net/tutorials/local-file-inclusions.txt
  • 31. Failure to Restrict URL Access Anche detta Force Browsing. Consiste‫‏‬nell‟essere‫‏‬fiduciosi‫‏‬che‫‏‬chi‫‏‬accede‫‏‬a‫‏‬ certe‫‏‬sezioni‫‏‬dell‟applicazioni‫‏‬deve‫‏‬per‫‏‬forza‫‏‬ essere autorizzato. In genere ciò si ottiene: - “Nascondendo”‫‏‬i‫‏‬link‫‏‬relativi‫‏‬a‫‏‬sezioni‫‏‬privilegiate - Errata implementazione delle politiche di accesso
  • 32. Failure to Restrict URL Access Esempi La pagina admin non appare nel menu principale a meno che non si è Administrator →‫‏‬basta‫‏‬far‫‏‬puntare‫‏‬il‫‏‬browser‫‏‬ su /admin.php Viene‫‏‬inserito‫‏‬un‫“‏‬redirect header”‫‏‬per‫‏‬redirezionare l‟utente‫‏‬su‫‏‬una‫‏‬pagina‫‏‬di‫‏‬errore‫‏‬ma‫‏‬ci‫‏‬si‫‏‬dimentica‫‏‬di‫‏‬ uscire‫‏‬dall‟applicazione‫‏→‏‬analizzando‫‏‬il‫‏‬codice‫‏‬ritornato‫‏‬ dalla pagina di redirect si ottiene il codice HTML della pagina di admin
  • 34. Code Review Code Review è il processo di analisi del codice sorgente con il fine di identificare le eventuali vulnerabilità. (o più in generale software bugs)‫‏‬ Diverse tipologie di navigazione del codice - Control-flow sensitive → si analizza il codice senza tener conto del flusso dei dati ma solo del percorso del programma. - Data-flow sensitive → si analizza il codice sorgente seguendo il flusso dei dati. Scelta una variabile si considerano solo le chiamate di funzione che interessano tale variabile.
  • 35. Code Review Navigazione del codice 1. int bob(int c) { 2. if (c == 4) 3. fred(c); 4. if (c == 72) 5. jim(); 6. for (; c; c) 7. updateglobalstate(); 8. } Control-flow sensitive  123|45|67|8 Data-flow sensitive (var c)  123|46|8
  • 36. Code Review Strategie di Code-auditing Trace Malicious Input Si‫‏‬identificano‫‏‬i‫‏‬punti‫‏‬in‫‏‬cui‫‏‬l‟input‫‏‬utente‫“‏‬entra”‫‏‬ nell‟applicazione‫(‏‬entrypoint).‫‏‬Da‫‏‬qui‫‏‬si‫‏‬traccia‫‏‬l‟input‫‏‬alla‫‏‬ ricerca di vunerabilità Candidate Point Strategies Si identificano i punti in cui è più probabile che si riscontrino vulnerabilità (esecuzione di query o di comandi di sistema) e si procede a ritroso fino ad una correlazione‫‏‬con‫‏‬l‟input‫‏‬utente
  • 37. Code Review Strategie di Code-auditing  Trace Malicious Input Navigazione del codice  Control-Flow Sensitive … 1. $myvar = $_GET['name']; 2. if ($counter > 0)‫‏‬ 3. { 4. sayhello(quot;Ben tornato quot;.$myvar); 5. } 6. else 7. { 8. sayhello(quot;Benvenutoquot;); 9. } 10. function sayhello($msg)‫‏‬ 11. { 12. print_header(); 13. print_menu(); 14. print $msg; 15. print_footer(); 16. } …
  • 38. Code Review Strategie di Code-auditing  Candidate Point Strategies ... Navigazione del codice  Data-Flow Sensitive 1. $U = $_POST['username']; 2. $P = $_POST['password']; 3. if (!isset($U) || !isset($P)) { 4. echo quot;Password non validaquot;; 5. } 6. Else { 7. $resOk = check_login($U, $P); 8. if ($resOk) { 9. print quot;Accesso consentitoquot;; 10. doAdminStuff(); 11. } 12. else { 13. print quot;Password e/o Username erratiquot;; 14. } 15. } 16. function check_login($username, $password) { 17. $sql = quot;SELECT count(*) FROM Utenti WHERE 18. Username='$username' AND Password=MD5('$password')quot;; 19. $res = execute_query($sql); 20. return $res > 0; 21. } ...
  • 39. Code Review Strategie di Code-auditing – quale utilizzare? Trace Malicious Input Utile quando si vogliono identificare vulnerabilità derivanti da‫‏‬funzioni‫‏‬utilizzate‫‏‬con‫‏‬un‟alta‫‏‬frequenza‫(‏‬print,echo → XSS)‫‏‬ Candidate Point Strategies Utile quando si vogliono identificare vulnerabilità derivanti da funzioni utilizzate con bassa frequenza (system, eval →‫‏‬RCE)‫ ‏‬Generalmente è il primo da provare a causa del . limitato uso di funzioni altamente pericoloso.
  • 40. Code Review Stato‫‏‬attuale‫‏‬della‫‏‬ricerca‫‏‬per‫‏‬l‟automazione‫‏‬della‫‏‬Code‫‏‬ Review È un campo di ricerca ancora molto giovane Si è passati da tool “grep style” (tool di prima generazione) a tool che comprendono un completo parser del linguaggio con complessi algoritmi di analisi: - Data flow analysis - Intraprocedural analysis (analisi del Call Graph)‫‏‬ - Interprocedural‫‏‬analysis‫(‏‬analisi‫‏‬dell‟AST)‫‏‬ - Dinamic/Static taint analysis - Symbolic execution - <aggiungere nome altisonante qui> :P
  • 41. Code Review Tool automatici – evoluzione Fonte “Secure Programming with Static Analysis”
  • 42. Code Review Tool automatici – web based related OWASP Orizon “This project born in 2006 in order to provide a framework to all Owasp projects developing code review services. The project is in a quite stable stage and it is usable for Java static code review and some dynamic tests against XSS. Owasp Orizon includes also APIs for code crawling, usable for code crawling tools.” Project Leader: Paolo Perego Pixy “Pixy is a Java program that performs automatic scans of PHP 4 source code, aimed at the detection of XSS and SQL injection vulnerabilities. Pixy takes a PHP program as input, and creates a report that lists possible vulnerable points in the program, together with additional information for understanding the vulnerability.”
  • 43. Spot the Bug Moodle 1.9.3 La vulnerabilità è di tipo Remote Code Execution Strategie di Code-auditing: Candidate Point Strategies
  • 44. Spot the Bug … Moodle 1.9.3 - tex.php 1. error_reporting(E_ALL); 2. $texexp = urldecode($_SERVER['QUERY_STRING']); 3. $texexp = str_replace('formdata=','',$texexp); 4. if ($texexp) { 5. $image = md5($texexp) . quot;.gifquot;; 6. $filetype = 'image/gif'; 7. if (!file_exists(quot;$CFG->dataroot/filter/texquot;)) { 8. make_upload_directory(quot;filter/texquot;); 9. } 10. $texexp = str_replace('&lt;','<',$texexp); 11. $texexp = str_replace('&gt;','>',$texexp); 12. $texexp = preg_replace('!rn?!',' ',$texexp); 13. $cmd = tex_filter_get_cmd($pathname, $texexp); 14. system($cmd, $status); 15. if (file_exists($pathname)) { 16. send_file($pathname, $image); 17. } else { 18. echo quot;Image not found!quot;; 19. } …
  • 45. Spot the Bug Moodle 1.9.3 - lib.php … 1. function tex_filter_get_cmd($pathname, $texexp) { 2. $texexp = escapeshellarg($texexp); 3. $executable = tex_filter_get_executable(false); 4. if ((PHP_OS == quot;WINNTquot;) || (PHP_OS == quot;WIN32quot;) 5. || (PHP_OS == quot;Windowsquot;)) { 6. $executable = str_replace(' ', '^ ', $executable); 7. return quot;$executable ++ -e quot;$pathnamequot; -- $texexpquot;; 8. } else { 9. return quot;quot;$executablequot; -e quot;$pathnamequot; -- $texexpquot;; 10. } 11. } …
  • 46. Spot the Bug Moodle 1.9.3 tex_filter_get_cmd non esegue alcuna validazione sul parametro $pathname. Le globals devono essere abilitate. Trace: - Input formdata → $formdata - Evil Input pathname → $pathname - tex_filter_get_cmd($pathname,…) → $cmd - $cmd → system($cmd,…)‫‏‬ Exploit: http://www.example.com/moodle/filter/tex/texed.ph p?formdata=foo&pathname=fooquot;;ls+-l;echo+quot;
  • 47. Spot the Bug Collabtive 0.4.6 - admin.php La vulnerabilità è di tipo Force Browser con Authentication Bypass Strategie di Code-auditing: Trace Malicious Input
  • 48. Spot the Bug … Collabtive 0.4.6 - admin.php 1. $repeatpass = getArrayVal($_POST, quot;repeatpassquot;); 2. $template->assign(quot;modequot;, $mode);$user = new user(); 3. $project = new project(); 4. $theset = new settings(); 5. $mainclasses = array(quot;desktopquot; => quot;desktopquot;, quot;profilquot; => quot;profilquot;, quot;adminquot; => quot;admin_activequot;); 1. $template->assign(quot;mainclassesquot;, $mainclasses); 2. if ($adminstate < 5) {// TRUE se non siamo admin 3. $errtxt = $langfile[quot;nopermissionquot;]; 4. $noperm = $langfile[quot;accessdeniedquot;]; 5. $template->assign(quot;errortextquot;, quot;$errtxt<br>$nopermquot;); 6. $template->display(quot;error.tplquot;); // è una print di codice HTML 7. } 8. // OK siamo admin 9. if ($action == quot;indexquot;) { 10. $classes = array(quot;overviewquot; => quot;overview_activequot;, quot;systemquot; => quot;systemquot;, “usersquot; =>quot;usersquot;); …
  • 49. Spot the Bug Collabtive 0.4.6 - admin.php Se $adminstate è minore di 5 viene stampato un messaggio di errore, ma l’esecuzione del programma continua Fix: Inserire un exit nel blocco if se le globals sono abilitate il bug rimane exploitabile Exploit: http://www.example.com/collabtive/admin.php
  • 50. Spot the Bug XXXX – 0day  La vulnerabilità è di tipo Arbitrary file creation con Remote Code Execution Strategie di Code-auditing: Trace Malicious Input Prerequisiti: Nessuno!!
  • 51. Spot the Bug … XXXX – 0day  1. function _holiday_cmp($a,$b) { 2. if (($year_diff = ($a['occurence'] <= 0 ? 3. 0 : $a['occurence']) - ($b['occurence'] <= 0 ? 4. 0 : $b['occurence']))) 5. { 6. return $year_diff; 7. } 8. return $a['month'] - $b['month'] ? 9. $a['month'] - $b['month'] : $a['day'] - $b['day']; 10. } 11. $send_back_to = str_replace('&locale='.$_POST['locale'],'',$send_back_to); 12. $file = './holidays.'.$_POST['locale'].'.csv'; 13. if(!file_exists($file) || filesize($file) < 300) { 14. if (count($_POST['name'])) { 15. $fp = fopen($file,'w'); 16. if ($_POST['charset']) 17. fwrite($fp,quot;charsettquot;.$_POST['charset'].quot;nquot;); 18. $holidays = array(); …
  • 52. Spot the Bug XXXX – 0day  Trace: - Input File locale → $file - fopen($file,…) → $fp - Evil input charset → fwrite($fp,…)‫‏‬ Exploit: - Sorry no exploit evailable :P
  • 53. Pubblicare una vulnerabilità Policy - Full disclosure → Trovata la vulnerabilità, si scrive l’advisory e lo si pubblica. - Responsible disclosure → Invece di pubblicare l’advisory subito, si avverte il vendor e si coordina con esso la pubblicazione dell’advisory dopo che è stato rilasciata una patch (se prevista).
  • 54. Responsible disclosure Processo - Notifica della vulnerabilità al vendor - Aspettare ed eventualmente collaborare con il vendor per la risoluzione e il fix del bug - Pubblicare la vulnerabilità sulle varie ml di sicurezza senza omissioni di dettagli ed eventualmente con un poc (proof of concept)‫‏‬ Esiste una policy non ufficiale (ma riconosciuta come tale)‫‏‬ http://www.wiretrip.net/rfp/policy.html
  • 55. Responsible disclosure Relazionarsi con il vendor Nella prima mail di contatto dovreste specificare: - Versione del software vulnerabile - Dettagliata descrizione della vulnerabilità (eventualmente allegate il draft dell’advisory)‫‏‬ - Suggerire una possibile soluzione - Specificate che lo fate solo ed esclusivamente a scopo di ricerca - Specificate bene qual’è la vostra politica per quanto riguarda i tempi di rilascio
  • 56. Responsible disclosure Eventuale problematiche Può capitare che il vendor non risponda alla vostra mail, in questo caso: - Aspettate una settimana dopodiché inviate un’altra mail di notifica, specificando che non avete ricevuto risposta (controllate se esistono altri indirizzi e-mail a cui inviare l’adv)‫‏‬ - Se ancora non risponde, aspettate un’altra settimana e inviate un’altra mail dicendo che il giorno seguente pubblicherete l’advisory - Se non risponde in tempo, pubblicate l’advisory 
  • 57. Conclusioni - Web 2.0 is everywhere! - Ogni azienda che si possa definire tale ha un sito web  ci si sta rendendo conto che la sicurezza delle applicazioni web è una cosa di cui tener conto. - Scovare bug ad alto impatto (sqli, rce) non è più tanto semplice In futuro vedremo (imho): - Tool di analisi statica sempre più intelligenti - Identificazione di nuove vulnerabilità lato client - Tool di testing sempre più Context-aware