אבטחת אפליקציות רשת - עידן החדש

היום יצא לי לדבר עם אודי קצת על אבטחת אפליקציות רשת. אודי בעמדת המפתח ואני בעמדת איש האבטחה.
אודי שאל אם סינון של תוים מסוכנים (בדיקת קלט) באפליקציה זה מה שיאבטח אותה.. אני יודע שהרבה מפתחי ווב חושבים כך, אז זהו, זה לא נכון.
אם הבדיקת קלט נעשית בצורה נכונה זה ימנע מתקפות, אך לומר, סטנדרטיות כגון SQL Injection, Cross-site scripting ("תסרוט חוצה אתרים" :-) כו'. למרות שלא את כולם, לדוגמה XSS, יש כל כך הרבה וריאציות ל-XSS (ע"ע HTTP Expect header injection) שכמעט אי-אפשר להיות תמיד בטוחים במאה אחוז.
בקיצור, שלחתי לאודי מייל עם מידע על איומים חדשים (רובים ישנים אבל עושים קאמבק) כנגד אפליקציות רשת.
גיא מזרחי הציע שאכתוב על זה בבלוג. רעיון טוב אז הנה:

#####

תשמע מתקפות מבוססות ווב מתפתחות היום בקצב מטורף.
אני אומר לך בתור איש מקצוע שמאוד קשה להשאר מעודכן בהכל. הן במחינת ההאק עצמו והן מבחינת איבטוח נגדו.
רוב המתקפות שאני אציג פה קיימות כבר די הרבה זמן אבל עושות עכשיו קאמבק בגלל ריבוי האפליקציות המבוססות רשת.

טוב המתקפה הראשונה (יותר נכון אוסף של כמה טכניקות) היא one-way web hacking.
בגדול זו טכניקה שברגע שיש לך גישה להעלות קבצים לשרת (לא דרך FTP או משהו אלא דרך המערכת ווב) אז כמעט תמיד אפשר להשתלט על השרת.
העלאת קבצי סקריפט צד שרת והרצתם מאפשרות גישה מלאה למערכת (העלאת קבצים אחרים והרצתם, לדוגמה אקספלוייט לוקאלי להשגת הרשאות או רוט-קיט).
קח לדוגמה פורומים שמאפשרים להעלות תמונה (חתימה או אבאטר) הם יעד מצויין למתקפות כאלה.
הנה מאמר מצויין על המתקפה הנ"ל שאפשר להגיד מסכם את רוב הטכניקות:
http://net-square.com/papers/one_way/one_way.html

מתקפה שניה (אני כותב עליה לגליון של רק-סק) היא cross-site request forgery.
המומחים אומרים שזה "הענק הישן".. שזו המתקפה שתחליף XSS ותהייה המתקפה הכי פופלארית הבאה.
בגדול אפשר לסכם את המתקפה כמתקפה על ידי לינקים באתר.. כמו בXSS גם פה היא מתחלקת ל-direct, stored, and reflected.
http://en.wikipedia.org/wiki/Cross-site_request_forgery
http://www.squarefree.com/securitytips/web-developers.html
http://shiflett.org/articles/security-corner-dec2004
http://www.tux.org/~peterw/csrf.txt
http://www.darkreading.com/document.asp?doc_id=107651
http://isecpartners.com/documents/XSRF_Paper.pdf
http://www.cgisecurity.com/questions/csrf.shtml
http://shiflett.org/articles/foiling-cross-site-attacks
http://searchappsecurity.techtarget.com/tip/0,289483,sid92_gci1235537,00.html
האחרון דורש הרשמה..
תקרא על המתקפה.. תבין אותה (ואת הפשטות שלה) ואת הפוטנצייל המסוכן. תחשוב ברמות של בנקים - ביצוע פעולות והעברות כספים...

מתקפה שלישית זה יותר 2 מתקפות שאחת זה פיתוח של השניה - HTTP Response Splitting, HTTP Request Smuggling
פיצול/גנבות בקשות/תגובות HTTP. שוב, מתקפה מאוד מסוכנת כשחושבים בסדר גודל של אתרי מסחר ובנקים.
מסוכנת גם מכיוון שהיא לא רק תלויה בכשלי תכנות אלא גם בכשלים בשרתי הווב עצמם שמאפשרים לה לקרות.
http://www.securiteam.com/securityreviews/5WP0E2KFGK.html
http://www.securiteam.com/securitynews/6A00O0AHPC.html
http://en.wikipedia.org/wiki/HTTP_response_splitting
http://www.webappsec.org/projects/threat/classes/http_response_splitting.shtml
http://www.packetstormsecurity.org/papers/general/whitepaper_httpresponse.pdf
http://www.securiteam.com/securityreviews/5GP0220G0U.html
http://www.petefreitag.com/item/378.cfm
http://secunia.com/advisories/14530/
http://secunia.com/advisories/23074/
http://www.cgisecurity.com/lib/HTTP-Request-Smuggling.pdf

מתקפות חדשות ומסוכנות נוספות עושות שימוש בכשלים בדפדפנים.
לדוגמה reverse cross site request שמאפשרת לגנוב כמעט כל סיסמה מדפדפני פיירפוקס:
http://www.info-svc.com/news/11-21-2006/
http://shiflett.org/archive/280
http://www.securityfocus.com/infocus/1882
http://www.securityfocus.com/infocus/1883

עוד זרם עצום של מתקפות חדשות אלו מתקפות בסביבה של כל מה שקשור לweb 2.0 ופיתוח לקוי בajax או בדיקות שגויות/חוסר בדיקה של מקורות חוץ כגון RSS ו-xml-ים למיניהם.
בגדול רוב המתקפות היו פה עוד מלפני ajax וווב 2.0 אבל כיום "שטח ההתקפה" הוא גדול יותר ומורכב יותר בגלל האופי של אפליקציות ווב 2.0, לדוגמה קבלת מידע מעשרות מקומות (RSS-ים וכדומה).
כמה מאמרים בנושא:
http://www.securityfocus.com/infocus/1881
http://www.securityfocus.com/infocus/1868
http://www.securityfocus.com/infocus/1879
http://www.spidynamics.com/assets/documents/HackingFeeds.pdf
http://www.insecuremagazine.com/INSECURE-Mag-9.pdf - פה יש כתבה בשם Web 2.0 defense with Ajax fingerprinting & filtering
http://shiflett.org/archive/250
http://www.whitehatsec.com/home/resources/articles/files/myth_busting_ajax_insecurity.html

זהו אחי אני יכול להמשיך ככה עד הבוקר אבל זה נגיעה קטנה למה שחם היום במתקפות רשת.
תהנה ותלמד :)

#####

מקווה שזה יתרום קצת ידע למישהו...

במייל ציינתי את הגיליון הבא (והראשון) של אתר Rec-Sec. מי שחושב שהוא יכול לתרום מאמר בכל נושא שקשור לאבטחת מידע מוזמן לשלוח לנו מייל לפה. מידע נוסף על הגיליון אפשר לקבל בפורום החדש של האתר בפוסט הזה.

הערה חשובה לגבי הגיליון והאתר:
הגיליון לא הולך להיות גיליון "האקינג" כמו גיליונות של קבוצות כאילו מחתרתיות שכותבות על פריצות בשקל. הגיליון פונה לקהל בוגר יותר ואנשי מקצוע בתחום. אנחנו לא נקבל כתבות עם הסברים איך לפרוץ לפה ולשם או כתבות לא חוקיות, זה לא באמת מעניין.
תרגומים של כתבות יתקבלו בברכה כל עוד זה תואם עם הכותב עצמו.
אתר Rec-Sec הוא אתר בהתפתחות שבשאיפה יהווה מקור ידע לאנשי מקצוע בתחום באמצעות כתבות בעברית, קישורים לכתבות באנגלית, פורום וערוץ IRC.