Säkra webbapplikationer. John Wilander, Omegapoint, KTH maj 2010

Storlek: px

Starta visningen från sidan:

Download "Säkra webbapplikationer. John Wilander, Omegapoint, KTH maj 2010"

Ida Andreasson
för 7 år sedan
Visningar:

1 Säkra webbapplikationer John Wilander, Omegapoint, KTH maj 2010

2 John Wilander, konsult Omegapoint Forskar inom mjukvarusäkerhet Leder svenska OWASP Certifierad inom Javautveckling och Security Development Lifecycle OWASP En öppen, icke-kommersiell community för alla som utvecklar, förvaltar eller köper webbapplikationer med höga säkerhetskrav

4 Säkerhet Utveckling

5 IT-säkerhet Systemutveckling

6 IT-säkerhet Applikationssäkerhet Systemutveckling

7 Webbens historia (enligt John)

8 <html> <head> <title>owasp AppSec Research</title> </head> <body> <form action="login" method="post"> <table> <tr><td>username: </td> <td><input name="username" type="text"></td> </tr> <tr><td>password: </td> <td><input name="password" type="password"></td> </tr> <tr><td></td> <td><input type="submit" value="login"></td> </tr> </table> </form> </body> </html> Statiska HTML-sidor 1991

9 <html> <head> <title>owasp AppSec Research</title> </head> <body> <form action="login" method="post"> <table> <tr><td>username: </td> <td><input name="username" type="text"></td> </tr> <tr><td>password: </td> <td><input name="password" type="password"></td> </tr> <tr><td></td> <td><input type="submit" value="login"></td> </tr> </form> </body> </html> </table> HTTP/ OK Content-type: text/html Set-Cookie: name=value Cookies 1994

10 <html> <head> <title>owasp AppSec Research</title> </head> <body> <form action="login" method="post"> <table> <tr><td>username: </td> <td><input name="username" type="text"></td> </tr> <tr><td>password: </td> <td><input name="password" type="password"></td> </tr> <tr><td></td> <td><input type="submit" value="login"></td> </tr> </table> </form> </body> </html> HTTP/ OK Content-type: text/html Set-Cookie: name=value 1995 $(function() { $("#button").click(function() { var username = $("input#username").val(); var password = $("input#password").val(); var datastring = 'username='+ username + '&password=' + password; $.ajax({ type: "POST", url: "LoginAjax", data: datastring, success: function() { $('#login_form').html("<div id='message'></div>"); $('#message').html("<h2>welcome, " + username +"!</h2>").append("<p>you are now logged in to the system.</p>").hide().fadein(1500); }, error: function() { $('#login_form').html("<div id='message'></div>"); $('#message').html("<h2>username and/or password wrong</h2>").hide().fadein(1500); } }); return false; }); }); JavaScript

11 <html> <head> <title>owasp AppSec Research</title> </head> <body> <form action="login" method="post"> <table> <tr><td>username: </td> <td><input name="username" type="text"></td> </tr> <tr><td>password: </td> <td><input name="password" type="password"></td> </tr> <tr><td></td> <td><input type="submit" value="login"></td> </tr> </table> HTTP/ OK </form> </body> Content-type: text/html 1999 </html> Set-Cookie: name=value $(function() { <html> $("#button").click(function() { <head> var username = $("input#username").val(); <title>owasp AppSec Research 2010 Challenge X</title> var password = $("input#password").val(); </head> var datastring = 'username='+ username + '&password=' + password; <body> $.ajax({ <form action="login" method="post"> type: "POST", <table> url: "LoginAjax", <tr><td>username: </td> data: datastring, <td><input name="username" type="text"></td> success: function() { </tr> $('#login_form').html("<div id='message'></div>"); <tr><td>password: </td> $('#message').html("<h2>welcome, " + username +"!</h2>") <td><input name="password" type="password"></td>.append("<p>you are now logged in to the system.</p>") </tr>.hide() <tr><td><div style="color: red">.fadein(1500); <% if ("true".equals(request.getattribute("loginfailed"))) { %> }, Bad login <% } %> error: function() { </div></td> $('#login_form').html("<div id='message'></div>"); <td><input type="submit" value="login"></td> $('#message').html("<h2>username and/or password wrong</h2>") </tr>.hide() </table>.fadein(1500); </form> } </div> }); </body> return false; }); </html> }); jsp-sidor (dynamisk HTML)

12 <html> <head> <title>owasp AppSec Research</title> </head> <body> <form action="login" method="post"> <table> <tr><td>username: </td> <td><input name="username" type="text"></td> </tr> <tr><td>password: </td> <td><input name="password" type="password"></td> </tr> <tr><td></td> <td><input type="submit" value="login"></td> </tr> </table> </form> </body> </html> HTTP/ OK Content-type: text/html Set-Cookie: name=value function xmlhttppost(strurl) { var xmlhttpreq = false; AJAX var self = this; // Mozilla/Safari if (window.xmlhttprequest) { self.xmlhttpreq = new XMLHttpRequest(); } // IE else if (window.activexobject) { self.xmlhttpreq = new ActiveXObject("Microsoft.XMLHTTP"); } self.xmlhttpreq.open('post', strurl, true); self.xmlhttpreq.setrequestheader('content-type', 'application/xwww-form-urlencoded'); self.xmlhttpreq.onreadystatechange = function() { if (self.xmlhttpreq.readystate == 4) { updatepage(self.xmlhttpreq.responsetext); } } self.xmlhttpreq.send(getquerystring()); } $(function() { <html> $("#button").click(function() { <head> var username = $("input#username").val(); <title>owasp AppSec Research 2010 Challenge X</title> var password = $("input#password").val(); </head> var datastring = 'username='+ username + '&password=' + password; <body> $.ajax({ <form action="login" method="post"> type: "POST", <table> url: "LoginAjax", <tr><td>username: </td> data: datastring, <td><input name="username" type="text"></td> success: function() { </tr> $('#login_form').html("<div id='message'></div>"); <tr><td>password: </td> $('#message').html("<h2>welcome, " + username +"!</h2>") <td><input name="password" type="password"></td>.append("<p>you are now logged in to the system.</p>") </tr>.hide() <tr><td><div style="color: red">.fadein(1500); <% if ("true".equals(request.getattribute("loginfailed"))) { %> }, Bad login <% } %> error: function() { </div></td> $('#login_form').html("<div id='message'></div>"); <td><input type="submit" value="login"></td> $('#message').html("<h2>username and/or password wrong</h2>") </tr>.hide() </table>.fadein(1500); </form> } </div> }); </body> return false; }); </html> }); 2005

13 Utveckling av (o)säker programkod

14 Windows, Office

15 Cisco-routers

16 SAP

17 Applikationer!

18 Distribuera, installera, licensiera, uppgradera

19 2010 Rich Internet Applications

20 Applikationer utvecklas överallt

21 Hemsidor övergår i webbapplikationer

22 Webbapplikationer exponeras för Internet

23 Alla utvecklare måste förstå säkerhet

24 Fundamenten för säkra webbapplikationer

25 Same Origin Cookies Policy SSL

26 Same Origin Policy

32 Same Origin Policy

33 OK Inte OK

34 Same Origin Policy Inte läsa Men exekvera text, skript, css skript, css

35 Men det är ju inte det vi vill ha :(

36 Kringå Same-Origin Policy Kommunicera server-side Använd JSONP JSON with Padding Sätt gemensam document.domain

37 Content Security Policy (förslag från Mozilla) Vitlista på källor för skript

38 Content Security Policy (förslag från Mozilla) Vitlista på källor för skript

39 Cookies

40 HTTP tillståndslöst GET HTTP/1.1 HTTP/ OK

41 HTTP tillståndslöst GET HTTP/1.1 HTTP/ OK

42 Att hålla en session Sessions-ID i URL ;sessionid=1234 Sessions-ID i gömda formulärfält <INPUT TYPE= hidden NAME= sessionid VALUE= 1234 > Sessions-ID i kaka Set-Cookie: sessionid= 1234

43 HTTP + session GET HTTP/1.1 HTTP/ OK

44 HTTP + session GET HTTP/1.1 HTTP/ OK Cookie Monster 2009 Sesame Workshop

45 Sessionsattacker Cookie replay (återanvända) Cookie poisoning (skapa eller manipulera) Cookie hijacking (stjäla) Session fixation (sätta kaka åt offret)

46 Sessionsskydd Secure (bara skicka krypterat) HTTPOnly (ej tillgänglig för skript) Inget hemmasnickrat

47 SSL

48 Klient Protokollversion, sessions-id, kryptoalgoritm, kompressionsmetod Salt Server ClientHello(crypto_info, ) ServerHello(crypto_info, ) server-certifikat CertificateRequest Kontrollera servercertifikat klient-certifikat FatalHandshakeFailureAlert Kontrollera klientcertifikat Symmetriskt krypterat

53 Var är hänglåset?

57 <div class="menu_login_container"><form method="post" action=" login.facebook.com/login.php?login_attempt=1" id="login_form">

58 <div class="menu_login_container"><form method="post" action=" login.facebook.com/login.php?login_attempt=1" id="login_form"> Samma källkod? JavaScript som sniffar?

59 Moxie s SSL Strip Avbryter SSL Gör om https till http Normal https till servern Agerar klient

60 Moxie s SSL Strip Secure cookie? Encoding, gzip? Cachat innehåll? Sessioner?

61 Moxie s SSL Strip Secure cookie? Encoding, gzip? Cachat innehåll? Sessioner? Strip! Ta bort secure-biten på alla kakor. Strip! Ta bort alla encodings i request. Strip! Ta bort alla if-modified-since i request. Strip! 302 till samma sida, set-cookie expired

62 SSL Strip & Tor-nätet login.yahoo.com Gmail Hotmail PayPal På 24 h

63 Antal som avbröt pga saknad kryptering: 0

64 Same Origin Cookies Policy SSL

65 Same Origin Content Policy Security Policy Cookies Äkta sessioner? SSL DNSSec?

Relevanta dokument

Säkerhet i applikationslagret och slaget om webben. John Wilander, Omegapoint, Rätt säkerhet, maj 2010

Säkerhet i applikationslagret och slaget om webben John Wilander, Omegapoint, Rätt säkerhet, maj 2010 John Wilander, konsult Omegapoint Forskar inom mjukvarusäkerhet Leder svenska OWASP Certifierad inom