Problèmes rencontrés

Transcription

1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Problèmes rencontrés dans les applications des entreprises Séminaire ELCA La sécurité des applications sur Internet : problèmes et solutions Lausanne, 27 novembre 2008 Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>

2 Sommaire Introduction Méthodologie Conséquences Mauvaises configurations Injections SQL XSS Contrôle en entrée A Contrôle en sortie A Mauvaise programmation Frameworks Combinaisons Conclusion 2

3 Introduction HSC Société de conseil, d'expertise et d'audit en SSI depuis 1989 Environ 20/25 personnes Objectif Retour d'expérience Vulnérabilités rencontrées lors des audits de sécurité et tests d'intrusion Sur les applications d'entreprise Toute les applications sont accessibles en web depuis un butineur 3

4 Méthodologie Tests entièrement manuels Outils pour automatiser certaines tâches utilisés manuellement Consultant expérimentés Adaptation permanente aux résultats Exemple : adaptation au réseau testé Répétition des scans Utilisation de plusieurs scanners différents pour croiser les résultats Augmentation du nombre de paquets par port testé Limitation du nombre de paquets envoyés par seconde Augmentation des délais de garde (timeout) dans les scanners 4

5 Méthodologie Adaptation permanente aux résultats... Tests au niveau gestion des sessions Prédiction, interception, capture, fixation Tests au niveau de l'authentification Contournement, force brute, séparation des profils Tests sur les formulaires Injections, données renvoyées, XSS Tests non-automatisables 5

6 Méthodologie Présentation des résultats Manque de confiance dans les constats Démonstration vidéo Manque de confiance dans la reproductibilité par d'autres Approche conformité vs approche gestion de risque 6 Objectifs de l'audit de sécurité ou du test d'intrusion Réalisé pour être conforme, ne pas avoir des reproches de la hiérarchie, protéger sa carrière SoX, Bâle II, Solvency II, PCI-DSS, ISO 27799, politique de 100 pages Réalisé pour réduire les risques, améliorer la situation, corriger les erreurs ISO Plan Do Act Check

7 Conséquences Divulgation de bases de données nominatives Citoyens, clients, patients,... Acquisition gratuite Billets, forfaits, tickets,... Divulgation, vol,... de données Boites aux lettres Comptes bancaires... Détournement d'application professionnelles Tout est interconnecté avec tout Attaques réelles finalement peu fréquentes 7

8 Mauvaises configurations Console d'administration tomcat accessibles à distance Vulnérabilité la plus grave Failles tomcat jamais corrigées Responsables, exploitants, ignorent le fait qu'ils ont tomcat Permet à l'intruseur d'aller très vite très loin Utilisé par des logiciels malveillants pour se déployer sur des serveurs windows malware.html 8

9 Mauvaises configurations Interface de gestion du serveur (jmx-console) Par défaut non protégée dans Jboss Execution de commandes arbitraires, compromission du serveur Authentification faible Inclusion de fichier locale et distante 9

10 Injections SQL Vulnérabilités les plus fréquentes Très rare de ne pas en trouver dans une application web Permer d'acceder aux données sensibles Inutile de chercher à avoir les privilèges d'administration Exemple : nom de colonne utilisé pour le tri de tableaux incorrectement validé Techniques en évolution : ' or 1=1 /*' union select attaques en aveugle, bit à bit Cf mesure de sécurité ISO 27001:2005 A

11 A Contrôle des données en entrée Data input to application systems shall be validated to ensure that it is correct and appropriate. Input data validation Concept fondamental : Toutes les entrées d'une application doivent être vérifiées Concept néanmoins simple : S'assurer qu'une information est bien du type attendu Exemples Un prix ne peut dépasser une valeur limite Nom d'une personne : lettres, apostrophe, tiret, accents Personne ne s'appelle MARTIN /bin/sh; 11

12 Pourquoi? A Contrôle des données en entrée Se protéger contre un fonctionnement non déterminé Déni de service Comportement erratique Erreurs... Se protéger contre l'injection : Utiliser les paramètres d'entrée pour injecter un contenu Contenu spécialement écrit pour exploiter la vulnérabilité Code (en fonction de l'application : code de script, HTML, SQL) Débordement de buffers 12

13 A Contrôle des données en entrée Client LOGIN=NOM&PASSWORD=PAF OR 'x'='x' SELECT ID WHERE LOGIN=NOM AND PASSWORD=PAF OR 'x'='x' Serveur Web OK Base de données 13

14 A Contrôle des données en entrée Entrée d'application Démonstration Champs d'un formulaire Web Données provenant d'une base de données Saisie sur un terminal Etc. Ici par extension, la validation de toutes les données entrantes Ex: une note interne, demandant un accès privilégié sur un système Est-elle valide? Insertion de 2 millions d'entrées dans une base etc. Test technique conseillé lors de l'audit (IS D.1) 14

15 XSS Execution croisée de code / Cross-Site-Scripting Vulnérabilités les plus fréquentes après les injections Exploitées par les vers javascript type 'Sam My hero' Cf mesure de sécurité ISO A

16 A Contrôle des données en sortie Data output from an application system shall be validated to ensure that the processing of stored information is correct and appropriate to the circumstances. Output data validation Corollaire du précédent Même type de contrôle sur le résultat d'un traitement Les données sont-elles correctes? Leur classification est-elle correcte? Données confidentielles publiées suite à une erreur Toutes les sorties, ou presque, sont les entrées d'un autre programme Confiance mutuelle? 16

17 A Contrôle des données en sortie Démonstration POST /newart.php Host: Content-Type: multipart/form-data subject=vds%20palm%20pas%20cher& texte=<script>alert("coucou!")</script> <body> <h2>vds Palm pas cher</h2><br> <hr> <script>alert("coucou!")</script> </body> GET /article.php?id=9081 Host: Test technique possible lors de l'audit (IS D.1) 17

18 Mauvaise programmation Mots de passe en clair dans les journaux applicatifs Fuite d'information, vol de session, rebond Exemple PHP Implémentation d'une fonction check_session pour faire du register_globals : foreach($_request as $key => $vars) $GLOBALS[$key]=$vars; 18 Permet à l'utilisateur de redéfinir n'importe quelle variable globale et variable interne au moteur PHP Listage des profils utilisateurs sans authentification, facturation d'un profil quelconque, ajout de privilège administrateur à un profil quelconque, compromission système,... Recommander d'enlever magic_quotes_gpc entraîne ce type de vulnérabilité

19 Gestion des droits Mauvaise programmation Isolation entre comptes mauvaise Images Exportation en PDF,.csv,... Exemple : export en PDF d'un contrat ne vérifiant pas que le contrat exporté appartient à l'utilisateur authentifié 19

20 Combinaisons Injection SQL + CSRF ou XSS Logiciels malveillants ajoutent du code en attaquant la base de données Recherche d'url de type /index.asp?id= pour tenter /index.asp?id=3<injection SQL> Modification des colonnes contenant des chaînes de caractères Ajout de javascript ou de liens vers des sites malveillants UPDATE de la base de données 20

21 Frameworks Permettent d'éviter les vulnérabilités les plus graves Gestion de la base de données (Hibernate pour Java, activerecord en rails) Gestion de l'affichage pour éviter les XSS (struts en Java, <%=h en rails)... 21

22 Frameworks Induisent cependant des vulnérabilités nouvelles Inhérentes au framework lui-même comme dans toute application exposée Mauvaise compréhension de la gestion des autorisations car pas géré nativement Mise en confiance du programmeur qui fait des bétises XSS parce qu'au lieu d'écrire : <%=h user.about %> il a écrit : <%= user.about %> Toujours possible de ne pas utiliser le mapping avec la base de données. find_by_sql permet de faire du SQL et donc potentiellement une injection 22

23 Conclusion Exiger l'intégration et la prise en compte de la sécurité dans les applications web dès l'appel d'offres Faire une appréciation des risques sur le projet Exiger des développeurs formés et sensibilisés Prévenir qu'un audit de sécurité sera réalisé par une société spécialisée Ne pas sélectionner sur le prix Questions? 23