Auditing PHP applications. Audit des applications en PHP

Transcription

1 Auditing PHP applications Audit des applications en PHP 1

2 Who speak? Qui parle? Philippe Gamache Parler Haut, Interagir Librement : Web development, security audit, training Philippe Gamache Parler Haut, Interagir Librement : Développement Web, audit de sécurité, formations 2

3 Security book Livre de sécurité New 2009 edition Comprehensive review of security system for MySQL, PHP, etc. Published in French Planning translation Nouvelle édition 2009 Bilan complet de la sécurité : système, MySQL, PHP, etc. Édité chez Eyrolles Dédicaces sur demande 3

4 Agenda Ordre du jour Workshop presentation Black box audit Source code audit Présentation de l atelier Audit boîte noire Audit à code ouvert 4

5 Why? Pourquoi? Confidence does not exclude control To validate external work To validate internal work Round-up For an external perspective As often as possible La confiance n'exclut pas le contrôle Pour valider un travail externe Pour valider un travail interne Pour faire le point Pour avoir un regard externe Aussi souvent que possible 5

6 Full audit synopsis Synopsis d un audit Identification of the audit goals Interview with the development teams Black box testing Open Code audit Report Identification des objectifs d'audit Entretien avec les équipes de développement Test boîte noire Audit de code 6

7 Identification of the audit goals Identification des objectifs d audit Audit scope Security Performance Code quality Étendue de l'audit Sécurité Performance Qualité du code 7

8 Interview with the development teams Entretien avec les équipes de développement Check if development teams knows what to secure Have the design explained first Have them explains their approach Check what they say Check what they don t say Vérifiez si l équipe de développement sait ce qu il faut sécurisé Demandez d expliquer la conception Demandez d expliquer leur approche Vérifiez ce qu'ils disent Vérifiez ce qu'ils ne disent pas 8

9 The shy version La version timide We know there are security problems but we have no time to secure them this app has been written years ago we can t keep up with the threats Nous savons qu il y a des problèmes de sécurité : mais nous n'avons pas le temps de les sécuriser ce logiciel a été écrit il y a quelques années nous ne pouvons pas suivre les menaces 9

10 The strong version La version forte We have secured the application We use SSL and crypto All content is validated and filtered We don t do any dynamical include Our frameworks doesn t allow this Nous avons sécurisé l'application Nous utilisons le protocole SSL et la cryptographie Tout le contenu est validé et filtré Nous ne faisons aucune inclusion dynamique Nos cadres d applications sont sécurisées 10

11 Black box testing Test boîte noire Easy to set up Take into account the context of the application Often spectacular Generally shallow Facile de mise en place Prendre en compte le contexte de la demande Souvent spectaculaires Généralement peu profondes 11

12 Black box testing Test boîte noire Finding informations Look for vulnerabilities Automatic scanners By hand Fuzzing Scenarios Strikes Recherche d informations Rechercher les vulnérabilités Scanneurs automatiques À la main Fuzzing Scénarios Attaquer 12

13 Black box testing Test boîte noire Usual directories Répertoires habituels includes, include, inc, com, classes, lib, library admin, adm, administrator, administrateur tmp, TMP, ext, var data, db, conf, config, configuration uploads, install 13

14 Black box testing Test boîte noire Typical files.phps,.inc,.class xml, ini, yaml, cfg.tar,.gz,.zip,.rar,.bz2 Apache Alias : / icons/ robots.txt Fichiers typiques.phps,.inc,.class xml, ini, yaml, cfg.tar,.gz,.zip,.rar,.bz2 Apache Alias : / icons/ robots.txt 14

15 Open Code audit Audit de code Look into the PHP code Search for hidden problems Usually less spectacular than black box Easy to loose focus Tempting to audit everything Rechercher dans le code PHP Rechercher les problèmes cachés Habituellement, moins spectaculaire que les tests boîte noire Facile de perdre sa concentration Tentant de tout vérifier 15

16 Approch Approche What to search for? What are the entry points? What are the exit points? Open-mindedness and discovery How can they be exploited Or protected? Que rechercher? Quels sont les points d'entrée? Quels sont les points de sortie? Ouverture d esprit et découverte Comment peuvent-ils être exploités Ou protégés? 16

17 Assessing the code Évaluer le code One liners One line of code is sufficiently to be bad Even though you must follow the code forward (for input) in reverse (for output) En une ligne Une ligne de code est suffisamment pour être mauvais Malgré tous vous devez suivre le code vers l avant (entrées) sens inverse (sorties) <?php $action = $_POST['action']; $query_string = "action=$action"; $link = "index.php?$query_string";?> <a href="<?php echo $link;?>"> Click Here </a> 17

18 What to search for? Que rechercher? Injections PHP SQL HTML/JavaScript system Injections PHP SQL HTML/JavaScript système 18

19 Tools Outils Your eyes Text editors grep Fast, available, convenient Tokenizer Semantic, accurate Vos yeux Éditeurs de texte grep Rapide, disponible, pratique Tokenizer Sémantique, précis 19

20 Tokenizer <?php print ("hello $world!");?> [1] => Array ( [0] => 266 [1] => print [2] => 1 ) [2] => Array ( [0] => 370 [1] => [2] => 1 ) [3] => ( [4] => " [5] => Array ( [0] => 314 [1] => hello [2] => 1 ) [6] => Array ( [0] => 309 [1] => $world [2] => 1 ) [7] => Array ( [0] => 314 [1] =>! [2] => 1 ) [8] => " [9] => ) [10] => ; [1] => Array ( [0] => PHP token [1] => PHP code [2] => Script line ) [2] => " 20

21 PHP injections Injections PHP dynamical inclusion include, require and *_once back ticks (`) eval Inclusions dynamiques d'inclusion include, require and *_once ` eval 21

22 Input Entrées HTML Forms: form input $_GET $_POST $_REQUEST Formulaire HTML: form input $_GET $_POST $_REQUEST 22

23 Input Entrées Databases: mysql_query() SELECT HTTP Headers: $_COOKIE $_SERVER Bases de données: mysql_query() SELECT Entête HTTP: $_COOKIE $_SERVER 23

24 Input Entrées register_globals strikes back Foreach and $$ extract import_request_var $GLOBALS parse_str (ini_get ( register_globals )) register_globals contreattaque Foreach and $$ extract import_request_var $GLOBALS parse_str (ini_get ( register_globals )) 24

25 Output Sorties Client: echo print <?= die print_r var_dump Client: echo print <?= die print_r var_dump 25

26 Output Sorties Databases: mysql_query() mysqli_multi_query update, delete, insert Headers header() Bases de données: mysql_query() mysqli_multi_query update, delete, insert En-têtes header() 26

27 Output Sorties System: exec() passthru() system() Système: exec() passthru() system() 27

28 Gotchas Pièges Trust of HTTP Headers: Referer Trust of $_SERVER: $_SERVER ['PHP_SELF'] Trust of Client-Side Restrictions: maxlength Confiance des en-têtes HTTP : Referer Confiance de $_SERVER : $_SERVER ['PHP_SELF'] Confiance des restrictions clients: maxlength 28

29 Questions? conferences conferences 29

30 30

31 31