Audit Sécurité vendredi 13 novembre

Transcription

1 Audit Sécurité 1

2 Ordre du jour Présentation de l atelier Audit boîte noire Audit à code ouvert 2

3 Qui parle? Philippe Gamache Parler haut, interagir librement : audit de sécurité, formations Caviste de cidres de glace info@ph-il.ca 3

4 Qui parle? Damien Seguy Alter Way Consulting : services experts en logiciels libres Editeur de calendriers damien.seguy@alterway.fr 4

5 Livre sécurité Nouvelle édition 2009 Bilan complet de la sécurité : système, MySQL, PHP, etc Edité chez Eyrolles Dédicaces sur demande 5

6 Cligraph CRM CRM/GRC Open Source Version Activement développé Soutenu par Cogivea Léger, rapide et puissant 6

7 Cligraph CRM Technologies PHP et MySQL, Javascript Code développé depuis 5 ans 4970 fichiers 1200 fichiers PHP lignes de code 7

8 L atelier sécurité Réveillez-vous : vous avez du travail! Analyse des logs et identification des problèmes Discussion des stratégies de protection et contextes de démonstration 8

9 Tests boîte noire 9 9

10 Tests boîte noire Recherche d informations Trouver de l information sur l application Que puis-je faire sur cette application? Où sont les points d'entrée les plus populaires? 10 10

11 Tests boîte noire Trouver des vulnérabilités Trouver les trous dans l application Scanneurs automatiques À la main Fuzzing Scénarios Comment puis-je l'utiliser à mon avantage? 11 11

12 Tests boîte noire Attaquer Attaquer une vulnérabilité avec un but précis 12 12

13 Recherche d informations Moteurs de recherches Facebook, LinkedIn, Joboom, Monster Langage de programmation Logiciels utilisés 13 13

14 Recherche d informations Moteurs de recherches (suite) Google : phpinfo, "Zend engine, site:nomsite.com Divulgation de renseignements <b>notice</b>: undefined </b> on line <b> <b>warning</b>: </b> on line <b> 14 14

15 Recherche d informations Moteurs de recherches (suite) Krugle : echo $_GET Bases de données de vulnérabilités BUGTRAQ CERT CVE Milw0rm 15 15

16 Recherche d informations Google codesearch : XSS lang:php (echo print).*\$_(get POST COOKIE REQUEST) Injection SQL lang:php query\(.*\$_(get POST COOKIE REQUEST).*\) Injection de code lang:php (include include_once require require_once).*\$_(get POST COOKIE REQUEST) 16 16

17 Recherche d informations Google codesearch : Injection d'en-tête HTTP lang:php header\s*\(.*\$_(server GET POST COOKIE REQUEST).*\) Fixation de session lang:php session_start\(\) lang:php session_regenerate_id\(\) 17 17

18 Recherche d informations Google codesearch : Affichage arbitraire de fichiers lang:php (fopen readfile file_get_contents)\s*\ (.*\$(_GET _POST HTTP_GET_VARS HTTP_POST_VARS).*\) 18 18

19 Recherche d informations Google codesearch : Mots de passes filetype:sql INSERT intitle:"phpinfo()" +".default_password"! +"Zend Scripting Language Engine" lang:php _connect\s*\(.*,.*,(" ').*(" ').*\) lang:php "VBULLETIN IS NOT FREE SOFTWARE" lang:php "XCART_SESSION_START" lang:php \$pass\w+\s*=\s*(' ")\w+(' "); 19 19

20 Recherche d informations robots.txt Alias Apache /icons/ Signatures dans les en têtes curl, wget, Firefox, Rex Swain's HTTP Viewer.phps 20 20

21 Recherche d informations https Page 404 Page blanche arrêt de code sans affichage d'erreur 21 21

22 Recherche d informations Répertoires courants includes admin tmp data db uploads 22 22

23 Recherche d informations theharvester MetaGoofil Nikto SEAT (Search Engine Assessment Tool)

24 Recherche d informations Subdomainer

25 Recherche d informations 25

26 Recherche d informations 26

27 Recherche d informations Google Google codesearch Milm0rm 27

28 Trouver des vulnérabilités Où trouver des vulnérabilités? XSS CSRF Injections Remplacement de fichiers etc

29 Trouver des vulnérabilités Comment exploiter cette faiblesse? Que faire avec cette faille? 29 29

30 Outils manuels Firefox Access Me Firebug Firecookie FirePHP HackBar Header Spy JavaScript Debugger 30 30

31 Outils manuels Firefox Poster SQL Inject Me SQL Injection! User Agent Switcher Web Developer X-Forwarded-For Spoofer XSS Me Data 31 31

32 Outils manuels Rex Swain's HTTP Viewer

33 Scanneurs automatiques Simple à mettre en oeuvre Permets de trouver les attaques les plus courantes Doivent être adaptés Mis à jour régulièrement Personnalisables 33 33

34 Scanneurs automatiques Acunetix Web Vulnerability Scanner BeEF Burp Suite Metasploit

35 Scanneurs automatiques Nikto PBlind Scrawlr SCRT Mini MySqlat0r

36 Scanneurs automatiques SCRT Webshag XSSploit

37 Fuzzing Test par valeur aléatoire Stress des formulaires Bases de données Test décomplexé 37 37

38 Fuzzing Tous les caractères de \0 à \x255 Tous les caractères Unicode Les nombres 1, 0, -1, 0.99, extrêmes, infinis Chaînes Longues courtes 38 38

39 Fuzzing Dictionnaires de valeurs de vulnérabilités GET, POST, COOKIE Des variables tableaux c[]=

40 Fuzzing Excédents de variables debug=1, task=view Manque de variables Encodages variés UTF-8, Latin1, HTML, hexa 40 40

41 Fuzzing Burp Suite SCRT Webshag WebSlayer Wfuzz

42 Scénarios Des tests plus adaptés fragiles Automatiser les tests À utiliser avec le fuzzing À utiliser avec des serveurs mandataires 42 42

43 Scénarios Burp Suite Firefox Selenium IDE Funkload ProxyStrike

44 Scénarios SCRT Webshag WebScarab Category:OWASP_WebScarab_Project 44 44

45 Facilitez votre vie Backtrack 45

46 Facilitez votre vie Samurai Web Testing Framework 46

47 Sécure? 47

48 Les prolèmes Faux sentiment sécurité Ne marche pas toujours 48

49 Notre cas La sécurité par l insécurité La sécurité par l instabilité 49

50 Que faire? Tests manuels Les sources Installer l application 50

51 Les fichiers total 592 drwxrwxrwx 25 user group Feb 12:03 accueil drwxrwxrwx 67 user group Feb 12:03 action drwxrwxrwx 39 user group Feb 12:03 agent drwxrwxrwx 13 user group Feb 12:03 biblio drwxrwxrwx 39 user group Feb 12:03 compte -rwxrwxrwx 1 user group Sep 02:44 connect.php -rwxrwxrwx 1 user group Sep 02:44 err_navig.php -rwxrwxrwx 1 user group Sep 02:44 erreur404.php drwxrwxrwx 76 user group Feb 12:03 etat drwxrwxrwx 171 user group Feb 12:03 fonctions drwxrwxrwx 8 user group Feb 12:03 images drwxrwxrwx 13 user group Feb 12:03 include -rwxrwxrwx 1 user group Sep 02:44 index.php drwxrwxrwx 27 user group Feb 12:03 install drwxrwxrwx 80 user group Feb 12:03 inter_pages drwxrwxrwx 6 user group Feb 12:03 langue drwxrwxrwx 7 user group Mar 18:15 log drwxrwxrwx 36 user group Feb 12:03 mail 51

52 Les fichiers total 592 drwxrwxrwx 25 user group Feb 12:03 accueil drwxrwxrwx 67 user group Feb 12:03 action drwxrwxrwx 39 user group Feb 12:03 agent drwxrwxrwx 13 user group Feb 12:03 biblio drwxrwxrwx 39 user group Feb 12:03 compte -rwxrwxrwx 1 user group Sep 02:44 connect.php -rwxrwxrwx 1 user group Sep 02:44 err_navig.php -rwxrwxrwx 1 user group Sep 02:44 erreur404.php drwxrwxrwx 76 user group Feb 12:03 etat drwxrwxrwx 171 user group Feb 12:03 fonctions drwxrwxrwx 8 user group Feb 12:03 images drwxrwxrwx 13 user group Feb 12:03 include -rwxrwxrwx 1 user group Sep 02:44 index.php drwxrwxrwx 27 user group Feb 12:03 install drwxrwxrwx 80 user group Feb 12:03 inter_pages drwxrwxrwx 6 user group Feb 12:03 langue drwxrwxrwx 7 user group Mar 18:15 log drwxrwxrwx 36 user group Feb 12:03 mail 52

53 Les fichiers total 592 drwxrwxrwx 25 user group Feb 12:03 accueil drwxrwxrwx 67 user group Feb 12:03 action drwxrwxrwx 39 user group Feb 12:03 agent drwxrwxrwx 13 user group Feb 12:03 biblio drwxrwxrwx 39 user group Feb 12:03 compte -rwxrwxrwx 1 user group Sep 02:44 connect.php -rwxrwxrwx 1 user group Sep 02:44 err_navig.php -rwxrwxrwx 1 user group Sep 02:44 erreur404.php drwxrwxrwx 76 user group Feb 12:03 etat drwxrwxrwx 171 user group Feb 12:03 fonctions drwxrwxrwx 8 user group Feb 12:03 images drwxrwxrwx 13 user group Feb 12:03 include -rwxrwxrwx 1 user group Sep 02:44 index.php drwxrwxrwx 27 user group Feb 12:03 install drwxrwxrwx 80 user group Feb 12:03 inter_pages drwxrwxrwx 6 user group Feb 12:03 langue drwxrwxrwx 7 user group Mar 18:15 log drwxrwxrwx 36 user group Feb 12:03 mail 53

54 Les fichiers total 592 drwxrwxrwx 25 user group Feb 12:03 accueil drwxrwxrwx 67 user group Feb 12:03 action drwxrwxrwx 39 user group Feb 12:03 agent drwxrwxrwx 13 user group Feb 12:03 biblio drwxrwxrwx 39 user group Feb 12:03 compte -rwxrwxrwx 1 user group Sep 02:44 connect.php -rwxrwxrwx 1 user group Sep 02:44 err_navig.php -rwxrwxrwx 1 user group Sep 02:44 erreur404.php drwxrwxrwx 76 user group Feb 12:03 etat drwxrwxrwx 171 user group Feb 12:03 fonctions drwxrwxrwx 8 user group Feb 12:03 images drwxrwxrwx 13 user group Feb 12:03 include -rwxrwxrwx 1 user group Sep 02:44 index.php drwxrwxrwx 27 user group Feb 12:03 install drwxrwxrwx 80 user group Feb 12:03 inter_pages drwxrwxrwx 6 user group Feb 12:03 langue drwxrwxrwx 7 user group Mar 18:15 log drwxrwxrwx 36 user group Feb 12:03 mail 54

55 Les fichiers total 592 drwxrwxrwx 25 user group Feb 12:03 accueil drwxrwxrwx 67 user group Feb 12:03 action drwxrwxrwx 39 user group Feb 12:03 agent drwxrwxrwx 13 user group Feb 12:03 biblio drwxrwxrwx 39 user group Feb 12:03 compte -rwxrwxrwx 1 user group Sep 02:44 connect.php -rwxrwxrwx 1 user group Sep 02:44 err_navig.php -rwxrwxrwx 1 user group Sep 02:44 erreur404.php drwxrwxrwx 76 user group Feb 12:03 etat drwxrwxrwx 171 user group Feb 12:03 fonctions drwxrwxrwx 8 user group Feb 12:03 images drwxrwxrwx 13 user group Feb 12:03 include -rwxrwxrwx 1 user group Sep 02:44 index.php drwxrwxrwx 27 user group Feb 12:03 install drwxrwxrwx 80 user group Feb 12:03 inter_pages drwxrwxrwx 6 user group Feb 12:03 langue drwxrwxrwx 7 user group Mar 18:15 log drwxrwxrwx 36 user group Feb 12:03 mail 55

56 Les fichiers cligraphcrm/include/fpdf: total 376 -rwxrwxrwx 1 user group Jan 02:41 fpdf.php -rwxrwxrwx 1 user group Sep 02:44 fpdf_entete.php -rwxrwxrwx 1 user group Jan 18:07 fpdf_facture.php -rwxrwxrwx 1 user group Jan 14:50 fpdf_html2pdf.php -rwxrwxrwx 1 user group Sep 02:44 fpdf_mem_image.php -rwxrwxrwx 1 user group Sep 02:44 fpdf_memoire.php -rwxrwxrwx 1 user group Sep 02:44 fpdf_table_def.inc -rwxrwxrwx 1 user group Sep 02:44 fpdf_tableau.php -rwxrwxrwx 1 user group Sep 02:44 fpdf_texte.php -rwxrwxrwx 1 user group Sep 02:44 fpdf_writetag.php 56

57 Les fichiers cligraphcrm/include/fpdf: total 376 -rwxrwxrwx 1 user group Jan 02:41 fpdf.php -rwxrwxrwx 1 user group Sep 02:44 fpdf_entete.php -rwxrwxrwx 1 user group Jan 18:07 fpdf_facture.php -rwxrwxrwx 1 user group Jan 14:50 fpdf_html2pdf.php -rwxrwxrwx 1 user group Sep 02:44 fpdf_mem_image.php -rwxrwxrwx 1 user group Sep 02:44 fpdf_memoire.php -rwxrwxrwx 1 user group Sep 02:44 fpdf_table_def.inc -rwxrwxrwx 1 user group Sep 02:44 fpdf_tableau.php -rwxrwxrwx 1 user group Sep 02:44 fpdf_texte.php -rwxrwxrwx 1 user group Sep 02:44 fpdf_writetag.php 57

58 Les fichiers cligraphcrm/install/sql/tables: total 928 -rwxrwxrwx 1 user group Jan 10:44 acces.sql -rwxrwxrwx 1 user group Jan 10:44 acces_type.sql -rwxrwxrwx 1 user group Nov 20:12 admin_crm.sql -rwxrwxrwx 1 user group Feb 14:45 adresse.sql -rwxrwxrwx 1 user group Jan 11:24 affaire.sql -rwxrwxrwx 1 user group Jan 19:27 affaire_intvt.sql -rwxrwxrwx 1 user group Oct 17:49 affaire_pdt.sql -rwxrwxrwx 1 user group Dec 19:15 agent.sql -rwxrwxrwx 1 user group Oct 17:49 argument.sql -rwxrwxrwx 1 user group Jan 09:45 avoir.sql -rwxrwxrwx 1 user group Jan 06:30 avoir_detail.sql -rwxrwxrwx 1 user group Oct 17:49 campagne.sql -rwxrwxrwx 1 user group Oct 17:49 campagne_promo.sql -rwxrwxrwx 1 user group Oct 17:49 categorie_pdt.sql -rwxrwxrwx 1 user group Jan 11:36 cgv.sql -rwxrwxrwx 1 user group Sep 02:44 civilite.sql -rwxrwxrwx 1 user group Oct 17:49 client.sql 58

59 Installation 59

60 Installation 60

61 Installation 61

62 Installation 62

63 Installation 63

64 Installation 64

65 Installation 65

66 Installation 66

67 Audit de code 67

68 Ordre du jour Lire les logs et repérer les vulnérabilités Caractériser et supprimer les failles Evaluation du volume de correction 68

69 Approche Un point d entrée Lecture du code Ouverture d esprit et découverte Identifier la faille Comment l exploiter 69

70 Outils existants Rats Yasca /accueil/accueil.php:478: High: fopen /action/facture_trt.php:170: High: eval /include/pear/file_archive/archive/reader/bzip2.php:80: High: bzopen /mail/mess_suppr_trt.php:193: High: mail /include/pear/pear/runtest.php:449: High: system /fonctions/gallery.func.php:95: Medium: is_dir /include/pear/pear/remote.php:296: Medium: fsockopen 70

71 Trois moteurs Grep Les expressions rationnelles Le tokenizer 71

72 Approches Sémantique Rapide Sémantique : proche des concepts PHP et de programmation Rapide à mettre en place et exécuter Grep Regex Tokenizer 72

73 Occurrences $_GET $_POST $_REQUEST Grep Regex Token

74 Choix One-liner contre temps de développement Précision sémantique face à recherche brute Rejouable ou jetable 74

75 Points d intérêt index.php index_bis.php err_nav.php out.php erreur404.php verif.php 75

76 Points d intérêt Entrée Filtrage Traitement Suivi Sortie Protection 76

77 Cheminement $_GET pdo_query pdo_fetch echo 77

78 Interfaces Navigateur URL Cookies JavaScript SQL Système Processus PHP XML LDAP... 78

79 Navigateur Entrées $_GET, $_POST, $_REQUEST, $_SERVER, $_COOKIE Sorties echo, print, var_dump Protections htmlentities, htmlspecialchars, strip_tags ext/xmlwriter 79

80 URL Entrées parse_url, urldecode, rawurldecode Sorties echo, print, http_build_url, http_build_query, http_build_str Protections url_encode, rawurlencode 80

81 Cookies Entrées $_COOKIES, $HTTP_COOKIE_VARS, http_parse_cookies, session_name Sorties setcookies, setrawcookie, stream_context_create, httprequest::setcookies, http_build_cookie Protections 81

82 JavaScript Entrées json_decode Sorties json_encode, echo, print Protections Rien vraiment 82

83 SQL Entrées pdo_query, mysqli_query, query, Sorties *fetch*, mysqli_error Protections pdo_quote, mysqli_real_escape_string, etc. 83

84 Fichiers Entrées fopen, file_get_contents, passthru Sorties fwrite, fread, mkdir, Protections pathinfo, realpath 84

85 PHP Entrées eval, include, require et _once, dl, preg_replace, assert Sorties var_export Protections Aucune pour le code, fichiers pour les autres. 85

86 Système Entrées ini_get, set_limit, getenv, getmypid, phpversion, phpinfo, Sorties ini_set, setenv Protections Aucune prévue 86

87 Trouvailles 87

88 Register_globals Register globals via fct_urldecode dans fonctions/ fonctions_gen.php Utilisation des superglobales, puis intuition sur le nom de la fonction $GLOBALS[$k] et affectation 88

89 Injections SQL $query="select theme_nom from theme where theme_id=\"".$_request['theme_id']."\""; Passer par les requêtes SQL, et chercher les variables globales Lire le contexte et repérer les variables sans filtrage 89

90 err_nav.php XSS init_chem_crm est injecté directement 90

91 Téléchargements Via les fonctions header() Téléchargement de fichiers dans lanceur_dl.php Pas de protection des variables, ni par session 91

92 $_REQUEST DOS $_REQUEST est utilisé pour le logout if(isset($_request['opt']) && $_REQUEST['opt']==1) $_REQUEST == $_GET && $_POST && $_COOKIE Que se passe-t-il quand on pose un cookie opt de 1? 92

93 include $format=$_request['exp_formdoc']; include(fct_lien_page_custom("action/facture_". $format.".php","abs")); Maitrise du chemin d inclusion $exp_formdoc = "/../action/facture_fiche"; <- auto-inclusion! ou bien, tentative d inclusion d un phpinfo qui traine 93

94 eval $nom=addslashes($_request['nom']); eval('insert_action_agent("'.$lang_agent ['cgv_mod'].'",66,'.$param_id.',"","'.$date_du_jour.'", 2);'); PHP injection! 94

95 die $result2=$_session['cligraph']->request($query2) or die($_session['cligraph']->errormsg) Interruption de script en cas de problème de requêtes errormsg ne contient pas de message intéressant 95

96 Code OK 96

97 97