I F8420: Éléments de Sécurité des applications web Daniel Boteanu
Architecture des applications web Client légitime Internet HTTP 浀 HTML Server Web 2
Architecture des applications web Client légitime Internet Server Web Server BD HTTP HTML SQL 3
Architecture des applications web Client légitime Internet Server Web Server BD XML SQL HTTP HTML Serveur d application 4
Architecture des applications web Client légitime Internet Server Web Server BD XML SQL HTTP 浀 HTML Serveur d application Kerberos LDAP Serveur d authentification 5
Architecture des applications web Client légitime Client malicieux Internet Server Web Server BD XML SQL HTTP HTML Serveur d application Kerberos LDAP Serveur d authentification 6
Architecture des applications web Client légitime Internet Server Web Server BD HTTP HTTP XML SQL HTML 浀 HTML Client malicieux Pare-feu Kerberos LDAP Serveur d application Serveur d authentification 7
Problèmes de sécurité Authentification Vérification des données usager SQL injection Cross site scripting Parameter tampering Phishing (hameçonnage) Logique application 8
AUTHE TIFICATIO 9
Authentification Composantes impliquées Client légitime Internet Server Web Server BD Pare-feu Serveur d application Client malicieux Serveur d authentification 10
Authentification Canal de communication sécurisé (https) Challenge response ( TLM, Kerberos) Réauthentification à des intervalles sécurisés Permission des usagers Tester Authentifier le client Authentifier le serveur 浀 11
Authentification Authentification du serveur Certificat SSL 12
Authentification Authentification du serveur Certificat SSL Autre 13
ө (Input validation) VÉRIFICATIO DES DO ÉES USAGER 14
Ce qu on fait Vérification des données usager (Input validation) Client légitime Internet Server Web Server BD Pare-feu Serveur d application Client malicieux Serveur d authentification 15
Code source html Vérification des données usager (Input validation) <form action="mailto:yourname@yourdomain.com" method="post" onsubmit="return checkform(this);"> <script language="javascript" type="text/javascript"> <!-- function checkform ( form ) { // see http://www.thesitewizard.com/archive/validation.shtml // for an explanation of this script and how to use it on your // own website // ** START ** if (form.email.value == "") { alert( "Please enter your email address." ); form.email.focus(); return false ; } // ** END ** return true ; } //--> </script> 16
Ce qu on devrais faire Vérification des données usager (Input validation) Client légitime Internet Server Web Server BD Pare-feu Serveur d application Client malicieux Serveur d authentification 17
Attaques Injection SQL (SQL Injection) Cross Site Scripting (XSS) Variable tampering Vérification des données usager (Input validation) 18
Vérification des données usager SQL I JECTIO 19
Injection SQL (SQL Injection) Client légitime Vérification des données usager (Input validation) Server BD extract($_post); Server Web $req = "select mem_code from MEMBRES where mem_login = '$login' and mem_pwd = '$pass'"; $result = mysql_query($req) or die ("Error : the SQL request <br><br>".$req."<br><br> is not valid: ".mysql_error()); list($mem_code) = mysql_fetch_array($result); if (empty($mem_code)) { //verifier que la requette a retourne une reponse positive 20
Injection SQL (SQL Injection) Client légitime daniel Xa4!dfga Vérification des données usager (Input validation) Server BD select mem_code from MEMBRES where mem_login = 'daniel' and mem_pwd = 'Xa4!dfga' extract($_post); 5 Server Web $req = "select mem_code from MEMBRES where mem_login = 'daniel' and mem_pwd = 'Xa4!dfga'"; $result = mysql_query($req) or die ("Error : the SQL request <br><br>".$req."<br><br> is not valid: ".mysql_error()); list($mem_code) = mysql_fetch_array($result); if (empty($mem_code)) { //verifier que la requette a retourne une reponse positive 21
Injection SQL (SQL Injection) Vérification des données usager (Input validation) Server BD daniel ' or '1'='1 Client malicieux select mem_code from MEMBRES where mem_login = 'daniel' and mem_pwd = '' or '1'='1' extract($_post); Server Web $req = "select mem_code from MEMBRES where mem_login = 'daniel' and mem_pwd = '' or '1'='1'"; $result = mysql_query($req) or die ("Error : the SQL request <br><br>".$req."<br><br> is not valid: ".mysql_error()); list($mem_code) = mysql_fetch_array($result); if (empty($mem_code)) { //verifier que la requette a retourne une reponse positive 22
Injection SQL (SQL Injection) Vérification des données usager (Input validation) daniel Client malicieux x'; INSERT INTO members ('email','passwd','login_id','full_name') VALUES ('steve@unixwiz.net','hello','steve','steve Friedl');-- 23
Vérification des données usager CROSS SITE SCRIPTI G 24
Cross site scripting (XSS) Client légitime Gagner de l argent Search Vérification des données usager (Input validation) Search results for Gagner de l argent: Comment gagner de l'argent facile et des cadeaux sur internet L' objectif du blog est de présenter toutes les idées qui permettent d' économiser Server Web <html> <head></head> <body> extract($_post); $req = "select * from POSTS where title = '$stitle' <h1>search results for Gagner de l argent :</h1> <itemize> <item>comment gagner deacile et des cadeaux sur internet </item> <item>l' objectif du blog est de présenter toutes les idées qui permettent d' économiser </item> </itemize> </body> </html> 25
Cross site scripting (XSS) Vérification des données usager (Input validation) Search results for Super: <b>super</b> No results found Client malicieux Server Web Search <html> <head></head> <body> extract($_post); <h1>search results for <b>super</b> :</h1> No results found </itemize> </body> </html> $req = "select * from POSTS where title = '$stitle' 26
Cross site scripting (XSS) Vérification des données usager (Input validation) Server BD Post Client malicieux id message 1 Hello 2 Bien fait... 3 <script type="text/javascript">do cument.location.href= htt p://boteanu.com"</script> <script type="text/javascript">document.location.href= http://boteanu.com"</script> Your message has been posted 27
Cross site scripting (XSS) Client légitime Vérification des données usager (Input validation) Server BD Guestbook messages: Hello Bien fait... <h1>guestbook messages:</h1> Hello<br> Bien fait<br> <script type="text/javascript">document.location.hr ef= http://boteanu.com"</script><br>... id message 1 Hello 2 Bien fait... 3 <script type="text/javascript">docu ment.location.href= http://b oteanu.com"</script> 28
Comment se protéger? Valider les données de l usager sur le serveur Web et/ou sur le serveur d applications limiter la taille de l entrée refuser les caractères spéciaux \ / ; - < > accepter seulement les caractères nécessaires Utiliser les SQL Stored Procedures Gérer les permissions sur la basé de données usagers, rôles, permissions Messages d erreur Vérifications Vérification des données usager (Input validation) 29
Comment vérifier si un site est vulnérable? Vérification des données usager (Input validation) Rien fait pour protéger -> probablement vulnérable Développé sans gestion de projet -> probablement vulnérable Outils automatiques Nikto Acunetix ($$) WebScarab Autres (http://sectools.org/web-scanners.html) 30
Phishing HAMEÇO AGE 31
Hameçonnage (Phishing) Server Web Faux Client malicieux Vous avez gagné 1 million. Connectez vous sur le site de la banque en cliquant sur https://www.desjard1ns.com Client légitime Internet Server Web Server BD Pare-feu Serveur d application 32
Comment se protéger? Hameçonnage (Phishing) Filtrer le spam Authentification du serveur Eduquer les utilisateurs 33
LOGIQUE DE L APPLICATIO 34
Logique de l application Chaque attaque est différente Exploite la logique de l application Difficile à détecter Exemples: Acheter un livre de -20$ Créer un million d usagers et écrire des messages Enlever le câble réseau au milieu d une partie d échec 35
CO CLUSIO S 36
Conclusions Attaques web très populaires Facile de créer une application vulnérable Validation des données usager Éducation des usagers Principe de sécurité de l oignon (layered security) 37