web(in)securitiesinhalt ‣ motivation für it-security ‣ grundlagen • client, web-server,...
TRANSCRIPT
Mark Hloch
11/12.05.2012
web(in)securitiesCISCO Academy Day
!"#$%&'%#()*+$,*-./*0'&12%+$32(,"%4.'0.!"#(%&+(2".!*5+*##&+*52*-.6'17,%#&.8(+#*(#
9'():(),"#.;+#-#&&)#+*<*+=#&:+%4.'0.>77"+#-.8(+#*(#:
Montag, 14. Mai 12
Inhalt‣ Motivation für IT-Security
‣ Grundlagen• Client, Web-Server, Datenbank-Server• Datenübertragung Client-Server• Demo
‣ Angriffe• Cross Site Scripting & Demo• SQL Injection & Demo
‣ Fazit‣ Fragen
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Motivation für IT-Sicherheit
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Motivation für IT-Sicherheit• Computer-Besitzer sind für Vorfälle,
die vom eigenen Rechner ausgehen, haftbar.
• Informationen werden für Betrügereien genutzt (z.B. Online- Banking, Ebay, Amazon,...).
• Falsche Identitäten führen sogar zur (körperlichen) Bedrohung (facebook,studiVZ, schülerVZ,....).
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Motivation für IT-Sicherheit• Computer-Besitzer sind für Vorfälle,
die vom eigenen Rechner ausgehen, haftbar.
• Informationen werden für Betrügereien genutzt (z.B. Online- Banking, Ebay, Amazon,...).
• Falsche Identitäten führen sogar zur (körperlichen) Bedrohung (facebook,studiVZ, schülerVZ,....).
• Ablage von kinderpornografischem Material auf dem „übernommenen“ Rechner.
• Ablage von illegalen Musikdateien.
• Verwendung des Rechners für einen „Denial of Service“- Angriff.
• (Ungewollter) Spam-Versender.
• Spionage
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Folgen von Angriffen
‣ Gefährdung durch Spionage, Sabotage, Missbrauch
• Materielle Verluste
• Imageverlust
• Polizeiliche Ermittlungen
• Rechtliche Probleme durch Verstöße gegen das Datenschutzgesetz
Montag, 14. Mai 12
Ziele der Angreifer‣ Früher:
• Anerkennung, Langeweile, Spass, Interesse
‣ Heute:
• Geld mit Daten verdienen
• Kreditkartendaten (Kreditkarten-Betrug)
• Kundendaten (Logins, Kontodaten)
• Marketingrelevante Informationen (Allg. Daten,Surf-/Kaufgewohnheiten)
• Spam-Versand/Werbung
Montag, 14. Mai 12
Mark Hloch, B.Sc.
Neulich im Internet...
Montag, 14. Mai 12
Defacement
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Phishing
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Gängige Attacken aus dem Netz
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Gängige Attacken aus dem Netz
‣ Code Injection
‣ Cross Site Scripting (XSS)
‣ Cross Site Request Forgery (CSRF)
‣ Clickjacking
‣ Falsche Konfiguration/Rechte-Einschränkung
‣ Fehlerhafte Authentifizierung
‣ Session Management
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Grundlagen
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Web-Server
Mark Hloch, B.Sc.
‣ Stellt Inhalte in Form von HTML bereit
‣ Seitenerzeugung kann dabei statisch oder dynamisch geschehen
‣ Dynamisch auf Server-Seite
• PHP, ASP, Perl usw.
• Datenquelle ist oftmals ein Datenbank-Server
• Ergebnis ist aber immer eine HTML-Seite
Montag, 14. Mai 12
Client
Mark Hloch, B.Sc.
‣ Web-Browser stellt Inhalte dar.
‣ Versteht verschiedene Sprachen:
• HTML - Beschreibung der Seiten(inhalte)
• CSS (Cascading Style Sheets)
• JavaScript: Erweiterungen, Dynamik
‣ HTML, JavaScript, CSS werden beim Anwender „ausgeführt“!
Montag, 14. Mai 12
Client-Server-Datenbank
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Get und Post
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Get und Post
Mark Hloch, B.Sc.
http://www-dnm.kr.hsnr.de/ee.php?action=news
Identifier (Variable) Wert
GET
Montag, 14. Mai 12
Get und Post
Mark Hloch, B.Sc.
http://www-dnm.kr.hsnr.de/ee.php?action=news
Identifier (Variable) Wert
GET
POST <form name=login method=post><input name=nachname value=‘klaus‘>Name: </input>
</form>
Identifier (Variable) (Initialer) Wert
Montag, 14. Mai 12
Get und Post (Server)
‣ $daten = $_GET[,action‘];
‣ $daten = $_POST[,name‘];
‣ Auswerten der Eingabe und Anzeige der entsprechenden Inhalte
⇒ „Wenn „action = news“, dann zeige die aktuellen Nachrichten
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Hacking
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Disclaimer
Bereits der Versuch
in Rechner- oder Netzkomponenten einzudringen
ist strafbar
und
wird strafrechtlich verfolgt.
(Hacker-Paragraph §202, §149)
Mark Hloch, B.Sc.
Montag, 14. Mai 12
XSS - Cross Site Scripting
Mark Hloch, B.Sc.
Montag, 14. Mai 12
XSS - Cross Site Scripting
‣ Ziele: Daten-/Identitätsdiebstahl
‣ Bekannt seit mindestens Ende der 90er
‣ Liefert den Einstieg zu
• Click-Jacking• Cookie-Theft/Session Hijacking• Trojaner• Zugriff auf Client-Rechner• Manipulation des Browsers (!)
Mark Hloch, B.Sc.
Montag, 14. Mai 12
XSS - Cross Site Scripting
Mark Hloch, B.Sc.
Montag, 14. Mai 12
XSS - Cross Site Scripting
‣ Angriffsvektor
• Schwache Eingabeprüfung ausnutzen
• I.d.R. über die Verwendung von JavaScript
‣ Gefahren für den Anwender
• Darstellung derWebseite lässt sich manipulieren
• JavaScript wird auf Client-Seite ausgeführt!
• Extrem einfach für den Angreifer zu finden!
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Angriff auf „GET“
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Angriff auf „GET“
‣ Trivial! Einfach den Schadcode an die URL anhängen!
‣ HTML
<h1>Das ist HTML-Code</h1>
‣ JavaScript:
<script> //schadcode</script>
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Demo
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Persistenter Angriff
Angreifer:
„Es wäre schön, wenn mein Schadcode gespeichert würde...“
Wie??
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Persistenter Angriff
Angreifer:
„Es wäre schön, wenn mein Schadcode gespeichert würde...“
Wie??
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Persistenter Angriff
Angreifer:
„Es wäre schön, wenn mein Schadcode gespeichert würde...“
Wie??
XSS-Angriff auf Formulare, Gästebücher oder Ähnliches!!! ↪ speichern in Datenbank oder Dateien
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Demo
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Schutz - Anwender
‣ Programmierer: Alle übergebenen Daten filtern!
‣ Update des Betriebssystems, Software insbesondere Browser
‣ Firefox-Security-Erweiterungen
• NoScript
‣ Änderungen der Seite beobachten :-/
Mark Hloch, B.Sc.
Montag, 14. Mai 12
SQL InjectionZugriff auf geschützte Bereiche
Mark Hloch, B.Sc.
Montag, 14. Mai 12
SQL Injection
Mark Hloch, B.Sc.
Montag, 14. Mai 12
SQL Injection
Mark Hloch, B.Sc.
‣ Ziel:
Datendiebstahl, Identitätsdiebstahl, Manipulation auf Server-Seite
‣ Angriffsvektor
Fehlende/Schlechte Filterung von Benutzerdaten
‣ Gefahren für den Anwender/Betreiber:
• Zugangsbeschränkungen können umgangen werden
• System beschädigen
Montag, 14. Mai 12
SQL Injection
Mark Hloch, B.Sc.
Montag, 14. Mai 12
SQL Injection
Mark Hloch, B.Sc.
‣ SQL-Abfragen durch gezielte Falscheingaben manipulieren
↪ Missbraucht Formulare um Code zu „injecten“
Montag, 14. Mai 12
SQL Injection
Mark Hloch, B.Sc.
‣ SQL-Abfragen durch gezielte Falscheingaben manipulieren
↪ Missbraucht Formulare um Code zu „injecten“
‣ Beispiel:
Ursprüngliche Datenbankanfrage:
SELECT * FROM users WHERE USER=“cisco“ AND PASSWORD=“class“;
Montag, 14. Mai 12
SQL Injection
Mark Hloch, B.Sc.
‣ SQL-Abfragen durch gezielte Falscheingaben manipulieren
↪ Missbraucht Formulare um Code zu „injecten“
‣ Beispiel:
Ursprüngliche Datenbankanfrage:
SELECT * FROM users WHERE USER=“cisco“ AND PASSWORD=“class“;
Manipulierte Datenbankanfrage:
SELECT * FROM tabelle WHERE USER=“cisco“ AND PASSWORD=“class“ OR 1=1;
Montag, 14. Mai 12
Demo
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Schutz
‣ Programmierer:
• Alle übergebenen Daten filtern...
• Passwörter verschlüsseln (!!!)
‣ Anwender:
• :-(
• Verschiedene Passwörter benutzen
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Fazit
Sicherheit hat nichts mit Vertrauen,
sondern mit Misstrauen zu tun!
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Quellenhinweise• http://www.heise.de/security
• http://www.securityfocus.com
• http://www.dshield.org
• http://shmoo.com
• http://www.insecure.com
• http://www.cert.org
• http://www.microsoft.com/
• http://www.heise.de/newsticker
• http://www.zone-h.org
• http://fefe.de
• http://mozilla.org
• https://ezs.kr.hsnr.de/its
• https://www.ccc.de
• https://www.owasp.org
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Fragen?
Mark Hloch, B.Sc.
Montag, 14. Mai 12
Kontakt?
https://www-dnm.kr.hsnr.de (Personen -> Mitarbeiter)
Tel. 02151-822 4758
Montag, 14. Mai 12
Vielen Dank!
Montag, 14. Mai 12