The Open Web Application Security Project

Transcripción

1 The Open Web Application Security Project THE TEN MOST CRITICAL WEB APPLICATION SECURITY VULNERABILITIES 0_2007.pdf 1

2 2

3 SQL Injection LDAP Injection Xpath Injection Y a ciegas Blind SQL Injection Blind LDAP Injection Blind XPAth Injection Aplicaciones con mala comprobación de datos de entrada. Datos de usuario. Formularios otext opassword otextarea olist omultilist Datos de llamadas a procedimientos. Links Funciones Scripts Actions Datos de usuario utilizados en consultas a base de datos. Mala construcción de consultas a bases de datos. 3

4 Permiten al atacante: Saltar restricciones de acceso. Elevación de privilegios. Extracción de información de la Base de Datos Parada de SGBDR. Ejecución de comandos en contexto usuario bd dentro del servidor. Ejemplo 1: Autenticación de usuario contra base de datos. Usuario Clave **************** Select idusuario from tabla_usuarios Where nombre_usuario= $usuario And clave= $clave ; 4

5 Ejemplo 1 (cont) Usuario Clave Administrador or 1 = 1 Select idusuario from tabla_usuarios Where nombre_usuario= Administrador And clave= or 1 = 1 ; Ejemplo 2: Acceso a información con procedimientos de listado. Ó 5

6 Ejemplo 2 (cont): union select nombre, clave,1,1,1 from tabla_usuarios; otra instrucción; xp_cmdshell( del c:\boot.ini ); shutdown -- Ó union select...; otra instrucción; -- Escrita por Francisco Amato Obtener la estructura y datos completa de la BBDD. 1 Injección para la estructura 1 post paracadafila Totalmente automática Soporta n bases de datos. Descargable(app y source) 6

7 Programa.asp?id=218 and 1=(select top 1 name from sysusers order by 1 desc) Microsoft OLE DB ProviderforSQL Server error '80040e07' Conversion failed when converting the nvarchar value 'sys' todata typeint. /Programa.asp, line 8 Programa.asp?id=218 and 1=(select top 1 name from sysusers where name< sys order by 1 desc) 7

8 8

9 La aplicación Web no muestra ningún mensaje de error. La aplicación no procesa nuestros comandos Select titulo from tabla where param=$param Se inyecta comandos y se busca hacer preguntas de Verdad o Mentira. Ejemplo: and 1=1 and 1=2 9

10 Como reconocer un falso? Da un código de error Da una página de error Cambia el hash de la firma Cambia el árbol html Tarda más en responder Si la página reacciona de forma diferente a la Verdad y a la Mentira, entonces podemos extraer datos haciendo búsquedas: and 300>(select ascii(substring(username,1,1) from all_users where rownum<=1) 10

11 Si el contenido de la respuesta es idéntico en ambos casos, aún es posible conseguir nuestro objetivo variando condicionalmente el tiempo de respuesta del servidor Si la condición inyectada es verdadera, la aplicación tardará unos segundos en contestar Si la condición es falsa, la aplicación devolverá la misma respuesta, pero en el tiempo habitual Podemos utilizar las mismas técnicas de inyección descritas anteriormente 21 Cómo podemos conseguir el retardo? Utilizando instrucciones de retardo implementadas en el propio gestor de bases de datos SQL Server: waitfor delay Oracle: dbms_lock.sleep MySQL: sleep Utilizando consultas pesadas que consuman muchos recursos del servidor (CPU o memoria) CROSS JOIN que involucren muchas tablas De cualquier otra forma (ej: xp_cmdshell'ping ') 22 11

12 Instrucciones de retardo del propio SGBD Microsoft SQL Server ; if(exists(select * from contrasena)) waitfor delay'0:0:5' Oracle ; begin if (condicion) then dbms_lock.sleep(5); end if; end; MySQL(versión 5) and exists(select * from contrasena) and sleep(5) and exists(select * fromcontrasena)and benchmark( ,md5(rand()))=0 Microsoft Access no tiene instrucciones de retardo

13 Consultas pesadas La clave para generar consultas pesadas está en realizar múltiples operaciones CROSS JOIN Joins Filas Columnas Ejemplo: Una tabla con 4 registros y 2 columnas combinada consigo misma 10 veces, genera un resultado de 20 columnas y más de un millón de filas Consultas pesadas: estructura SELECT COUNT(*) FROM tabla T1, tabla T2,, tabla Tn Donde el número de tablas implicadas en el producto cartesiano (CROSS JOIN) sea suficientemente grande como para generar un retardo medible Dependiendo del SGDB y de cómo realice la comprobación de las condiciones lógicas introducidas con AND, deberemos establecer nuestra subconsulta SQL antes o después del operador lógico AND subconsulta AND consulta_pesada AND consulta_pesada AND subconsulta iculos_seguridad/2007/septiembre/sv0907.mspx 26 13

14 Consultas pesadas: tablas recomendadas Microsoft SQL Server sysusers Oracle all_users MySQL (versión 5) information_schema.columns Microsoft Access MSysAccessObjects (versiones 97 y 2000) MSysAccessStorage (versiones 2003 y 2007) 27 Verdad: La consulta dura 6 segundos. 14

15 Falso: La consulta dura 1 segundo. 15

16 16

17 Absinthe: Extrae toda la información de bases de datos MSSQL, PostgreSQL, Sybasey Oracle utilizando suma linear de valores ASCII. Absinthe: Extrae toda la información de bases de datos MSSQL, PostgreSQL, Sybasey Oracle utilizando suma linear de valores ASCII. 17

18 18

19 19

20 Sniffing de Passwords LDAP Recogida de certificados servidores LDAP-s MITM LDAP-s LDAP: Base de datos Jerarquica Clases Objetos Herencia Contenedores Búsqueda: LDAP Search Filters 20

21 filter = LPAREN filtercomp RPAREN filtercomp = and / or / not / item and = AMPERSAND filterlist or = VERTBAR filterlist not = EXCLAMATION filter filterlist = 1*filter item = simple / present / substring / extensible simple = attr filtertype assertionvalue filtertype = equal / approx / greaterorequal / lessorequal equal = EQUALS approx = TILDE EQUALS greaterorequal = RANGLE EQUALS lessorequal = LANGLE EQUALS (&(atributo1=valor1)(atributo2=valor2)) Ejemplo: (&(directorio=nombre_directorio)(nivel_seguridad=bajo)) Inyección: (&(directorio=almacen)(nivel_seguridad=alto))( (directorio=al macen)(nivel_seguridad=bajo)) 21

22 ( (atributo1=valor1)(atributo2=valor2)) Ejemplo: ( (cn=d*)(ou=groups)) Inyección: ( (cn=void)(uid=*))(ou=groups)) Tiene lógica binaria Tiene soporte para booleanización: Comodín: * Reducción charset: *a* Despliegue: a* Relacionales: >= <= ~= = 22

23 Certezas absolutas (RFC 4256) AbsoluteFALSE ( ) AbsoluteTRUE (&) Anomalías: NOT absoluto? (!)-> equivalente a! Caracteres fuera del alfabeto Ñ* -> equivalente a * Ç* -> equivalente a * ** -> equivalente a ERROR!! 23

24 Explotación Dada la siguiente consulta Xpath: string(//user[username/text()= romansoft' and password/text()='!dsr']/uid/text()) Dónde buscar Condición Qué devolver Inyectamos: User: abc' or 1=1 or 'a'='b Pass: k La condición quedaría: username/text()= abc' or 1=1 or 'a'='b' and password/text()= k' Vulnerabilidad propia de páginas PHP dinámicas que permite enlace de archivos remotos situados en otros servidores Se debe a una mala programación o uso de la función include() Esta vulnerabilidad no se da en páginas programadas en un lenguaje que no permita la inclusión de ficheros ajenos al servidor 24

25 La vulnerabilidad es producida por código semejante a este $page = $_GET['page']; include($page); En páginas de este tipo se puede incluir ficheros que estén en nuestro servidor Existen herramientas que permite explorar un sitio Web en busca de este tipo de vulnerabilidades (rpvs) 25

26 Mediante las shellphp se pueden ejecutar comandos en una página Web Usando RFI se puede incluir un fichero que ejecute comandos, tales como listar directorios, obtener y colocar ficheros, etc. El cucharón Rutas a ficheros no controladas File=../../../../etc/passw id= /../windows/repair/sam 26

27 Session Riding, One-Click Attacks, Cross Site Reference Forgery, Hostile Linking, Automation Attack o XSRF. Pormediode unainjecciónse fuerzala ejecuciónde acciones automáticas por parte del usuario. <imgsrc=" <img src=" frmacct=document.form.frmacct&toacct= &toswiftid=434343&amt= "> 27

28 Se deja información sensible sin asegurar Se muestran mensajes de error detallados 7.- Autenticación Rota y Gestión de Sesión Partes sin comprobar autenticación No procesos de logout seguro. 8.- Almacenamiento con Criptografía insegura Datos sin cifrar o mal cifrados 9.- Comunicaciones Inseguras 10.-URLs mal restringidas Pueden ser adivinadas o bruteforceadas 28

29 Chema Alonso Francisco Amato Infobyte Technews I64. Suscríbete Gratis en November

30 Blind SQL Injection Time-Bases Blind SQL Injection with heavy Queries eptiembre/sv0907.mspx LDAP Injection & Blind LDAP Injection XPath injection in XML databases Blind XPath Injection pdf Milw0rm (Webapps exploits) -OWASP 30