Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Erich Kastle Geändert vor über 10 Jahren
1
www.datenschutz.rlp.de poststelle@datenschutz.rlp.de
LfD Rheinland-Pfalz H. Eiermann
2
Europäischer Datenschutztag 28. Januar 2008
“Denn Sie wissen nicht, was sie tun...” Datenschutz in der Online-Generation Info-Shop 3 “Wie sicher ist die Technik ?” Sicherheitsaspekte von Web-Anwendungen LfD Rheinland-Pfalz H. Eiermann
3
Web-Anwendungen LfD Rheinland-Pfalz H. Eiermann
4
IT-Struktur Web-Anwendung
LfD Rheinland-Pfalz H. Eiermann
5
Schulverwaltungsnetz
Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann
6
Schulverwaltungsnetz Pädagogisches Netz
Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann
7
Schulverwaltungsnetz Pädagogisches Netz
Intranet-Server Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann
8
Schulverwaltungsnetz Pädagogisches Netz
Intranet-Server Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann
9
Schulverwaltungsnetz Pädagogisches Netz
Intranet-Server Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann
10
Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Web- / Intranet-Server Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann
11
IP Spoofing Manipulation von Datenpaketen ICMP-Attacken
Angriffsszenarien IP Spoofing Manipulation von Datenpaketen ICMP-Attacken Missbrauch von Kontrollnachrichten Replay-Attacken Aufzeichnen und erneutes Einspielen von Datenpaketen Buffer-Overflow-Attacken Einschleußen von Programmcode durch Speicherüberlauf ARP-Spoofing Manipulation von Datenströmen im LAN DNS Spoofing Vortäuschen/Manipulation von DNS-Angaben Web Spoofing Kontrolle der Verbindung zwischen Client und Server Protokoll-Tunneling Kapselung in unverdächtigen Protokollen Denial of Service-Attacken (DOS, DDoS) SYN-Flooding, Mail-Bomben Schadenssoftware Viren, Würmer, Trojanische Pferde Aktive Komponenten (ActiveX, Java) LfD Rheinland-Pfalz H. Eiermann
12
Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann
13
Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann
14
Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann
15
Schulverwaltungsnetz Pädagogisches Netz
rlp-Netz Schulverwaltungsnetz Pädagogisches Netz Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann
16
Firewall LfD Rheinland-Pfalz H. Eiermann
17
Firewall # ipfwadm -F -f # ipfwadm -F -p deny
# ipfwadm -F -a accept -P tcp -S /24 -D 0/0 80 # ipfwadm -F -a accept -P tcp -S 0/0 80 -D /24 # ... LfD Rheinland-Pfalz H. Eiermann
18
Sicherheitsmaßnahmen (Filterung nach IP-Adressen, Ports, Diensten)
Netzwerkebene LfD Rheinland-Pfalz H. Eiermann
19
Sicherheitsmaßnahmen
Anwendungsebene Sicherheitsmaßnahmen (Applikationssicherheit, Systemhärtung, Konfiguration) LfD Rheinland-Pfalz H. Eiermann
20
# ipfwadm -F -a accept -P tcp -S ANY -D 172.16.1.0/24 -port 80
Pädagogisches Netz Webserver/Intranet-Server Router/Firewall # ipfwadm -F -a accept -P tcp -S ANY -D /24 -port 80 Router/Firewall Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann
21
Online-Kontrollen des LfD
• Schwerpunkt Internet-basierte Anwendungen • Nutzung frei verfügbarer Software für Analyse und Test • Nutzung frei verfügbarer Informationen LfD Rheinland-Pfalz H. Eiermann
22
Brutus, WebCrack, wwwhack Hydra
Tools Brutus, WebCrack, wwwhack Hydra nikto Manuelle Exploits (!) LfD Rheinland-Pfalz H. Eiermann
23
Beispiele für Vorgehensweisen / festgestellte Defizite
Beispiel 1: Directory Traversal Beispiel 2: SQL-Injection Beispiel 3: Wörterbuch-/BruteForce-Attacke LfD Rheinland-Pfalz H. Eiermann
24
Beispiel 1: „Directory Traversal“
Gemeinsames Internet-Angebot mehrerer Bundesländer • Ausbrechen aus der vorgegebenen Verzeichnisstruktur eines Webservers • Hintergrund: Fehlerhafte Zugriffsrechte Hinweise im Seitenquelltext „ratbare“ Verzeichnisstruktur • Probleme: Unbefugter Datenzugriff; Manipulation LfD Rheinland-Pfalz H. Eiermann
25
LfD Rheinland-Pfalz H. Eiermann
26
1. Quelltextanalyse src=”http://f009.internet.shop.net/counter.js“>
LfD Rheinland-Pfalz H. Eiermann
27
2. Browseraufruf: http://f009.internet.shop.net ... erfolglos
1. Quelltextanalyse src=” 2. Browseraufruf: erfolglos LfD Rheinland-Pfalz H. Eiermann
28
2. Browseraufruf: http://f009.internet.shop.net ... erfolglos
1. Quelltextanalyse src=” 2. Browseraufruf: erfolglos 3. Browseraufruf: LfD Rheinland-Pfalz H. Eiermann
29
2. Browseraufruf: http://f009.internet.shop.net ... erfolglos
1. Quelltextanalyse src=” 2. Browseraufruf: erfolglos 3. Browseraufruf: LfD Rheinland-Pfalz H. Eiermann
30
2. Browseraufruf: http://f009.internet.shop.net ... erfolglos
1. Quelltextanalyse src=” 2. Browseraufruf: erfolglos 3. Browseraufruf: LfD Rheinland-Pfalz H. Eiermann
31
4. Browseraufruf: https://internet.shop.net/f009/logs/
/internet.shop.net/f009/logs/counter2.csv LfD Rheinland-Pfalz H. Eiermann
32
IP-Adresse des Nutzers
4. Browseraufruf: /internet.shop.net/f009/logs/counter2.csv Datum/Uhrzeit IP-Adresse des Nutzers Zugangsknoten URL LfD Rheinland-Pfalz H. Eiermann
34
Im Ergebnis konnten in 19 Fällen Zugriffsdaten heruntergeladen werden.
Das Gesamtvolumen der Daten betrug ca MB (entspricht etwa Druckseiten DIN A 4- Seiten). Zeitaufwand insgesamt: ca. 1 Std. LfD Rheinland-Pfalz H. Eiermann
35
(Server-Root, Document-Root)
Vorbeugung • Gestaltung des Web-Angebots • Reduzierung der Hinweise im Seitenquelltext • Anpassung der Zugriffsrechte, Konfiguration des Webservers (Server-Root, Document-Root) LfD Rheinland-Pfalz H. Eiermann
36
Beispiel 2: „SQL-Injection“ Internet-basierte Register-Anwendung
• Kompromittierung der Web-Anwendung durch die Eingabe von SQL-Anweisungen • Hintergrund: Web-Applikation mit nachgeschalteter Datenbank Eingabefelder Mangelnde Prüfung von Benutzereingaben • Problem: Umgehung der Authentifizierung Unbefugter Datenzugriff Datenveränderung LfD Rheinland-Pfalz H. Eiermann
37
LfD Rheinland-Pfalz H. Eiermann
38
LfD Rheinland-Pfalz H. Eiermann
39
Web-Anwendung LfD Rheinland-Pfalz H. Eiermann
40
Web-Anwendung Dahinter stehende SQL-Anweisung:
rlpuser01 sE5Am Dahinter stehende SQL-Anweisung: select ... from ... where name=‘ rlpuser01‘ and passwd=‘ sE5Am‘ LfD Rheinland-Pfalz H. Eiermann
41
Web-Anwendung LfD Rheinland-Pfalz H. Eiermann
42
Web-Anwendung Dahinter stehende SQL-Anweisung:
select ... from ... where name=‘ ... ‘ and passwd=‘ ...‘ LfD Rheinland-Pfalz H. Eiermann
43
Web-Anwendung Dahinter stehende SQL-Anweisung:
select ... from ... where name=‘ ... ‘ and passwd=‘ ...‘ Benutzereingabe führt zu: select ... from ... where name=‘4711‘ or ‘1=1‘-- LfD Rheinland-Pfalz H. Eiermann
44
Anmeldung ohne gültige Benutzerkennung
Ergebnis: Anmeldung ohne gültige Benutzerkennung oder Passwort war möglich Zeitaufwand ca. 5 sec LfD Rheinland-Pfalz H. Eiermann
45
Anmeldung ohne gültige Benutzerkennung
Ergebnis: Anmeldung ohne gültige Benutzerkennung oder Passwort war möglich Zeitaufwand ca. 5 sec Innerhalb der Anwendung sind bei fehlender Prüfung der Benutzereingaben SQL-Anweisungen für jeden angemeldeten Benutzer möglich. LfD Rheinland-Pfalz H. Eiermann
46
Schulverwaltungsnetz Pädagogisches Netz
Webserver/Intranet-Server Router/Firewall Mailserver Router/Firewall Datei-/Anwendungsserver Datei-/Anwendungsserver LfD Rheinland-Pfalz H. Eiermann
47
Variationen ... ... ‘4711‘ or ‘1=1‘ LfD Rheinland-Pfalz H. Eiermann
48
Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... LfD Rheinland-Pfalz H. Eiermann
49
Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... ... ‘4711‘ or ‘1=1‘; delete ... LfD Rheinland-Pfalz H. Eiermann
50
Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... ... ‘4711‘ or ‘1=1‘; delete ... ... ‘4711‘ or ‘1=1‘; drop table LfD Rheinland-Pfalz H. Eiermann
51
Variationen ... ... ‘4711‘ or ‘1=1‘ ... ‘4711‘ or ‘1=1‘; insert user ... ... ‘4711‘ or ‘1=1‘; delete ... ... ‘4711‘ or ‘1=1‘; drop table ... ‘4711‘ or ‘1=1‘; exec master.dbo.xp_cmdshell ‘cmd.exe dir c: (MS SQL-Server, DB-User „sa“) LfD Rheinland-Pfalz H. Eiermann
52
Canonicalization ‘4711‘ or ‘1=1‘ LfD Rheinland-Pfalz H. Eiermann
53
‘ = 0x27 Canonicalization ‘4711‘ or ‘1=1‘
0x x27+or+0x27+1=1+=0x27 0x27+0x34+0x37+0x31+0x31+0x27+0x20+0x64+0x72+0x20+0x27+0x31+0x3d+0x31+0x27 LfD Rheinland-Pfalz H. Eiermann
54
‘ = 0x27 0x27 = char(39) Canonicalization ‘4711‘ or ‘1=1‘
0x x27+or+0x27+1=1+=0x27 0x27+0x34+0x37+0x31+0x31+0x27+0x20+0x64+0x72+0x20+0x27+0x31+0x3d+0x31+0x27 0x27 = char(39) char(39)+char(52)+char(55)+char(49)+char(49)+char(39)+char(11)+char(114) MS-SQL char(39,52,55,49,49,39,11, ) MySQL LfD Rheinland-Pfalz H. Eiermann
55
(Prepared Statements, Stored Procedures)
Vorbeugung • Gestaltung der Anwendung / Sichere Programmierung • Verwendung vorgefertigter Abfragen (Prepared Statements, Stored Procedures) • Filterung / Prüfung der Benutzereingaben (Input Validation) • Konfiguration des Webservers • Datenbank-Konfiguration “All user input is evil!” LfD Rheinland-Pfalz H. Eiermann
56
Mailserver mit Internet-basiertem Zugang (Outlook Web Access)
Beispiel 3: Mailserver mit Internet-basiertem Zugang (Outlook Web Access) „Wörterbuch- / Brute-Force-Attacke“ • Automatisiertes Ausprobieren möglicher Benutzerkennungen / Passwörter • Hintergrund: HTTP Basic Authentication • Problem: Aushebeln der Authentifizierung Unbefugter Datenzugriff Datenveränderung LfD Rheinland-Pfalz H. Eiermann
57
LfD Rheinland-Pfalz H. Eiermann
58
Anmeldeaufforderung .HTACCESS
LfD Rheinland-Pfalz H. Eiermann
59
Tool-Unterstützung (wwwhack) ...
LfD Rheinland-Pfalz H. Eiermann
60
Tool-Unterstützung ... ... für die Kennung „test“ mit beliebigem Passwort LfD Rheinland-Pfalz H. Eiermann
61
Tool-Unterstützung ... ... für eine beliebige Kennung mit einem beliebigem Passwort (Brute Force) Versuche mit einem Protokollvolumen von 500 MB wurden nicht erkannt. LfD Rheinland-Pfalz H. Eiermann
62
Tool-Unterstützung ... ... für vorgewählte Kennungen in einer Datei mit einem beliebigem Passwort (Wörterbuchattacke) z.B. admin administrator system sa nimda service lvarp test ... LfD Rheinland-Pfalz H. Eiermann
63
Ergebnis: gültige Kombinationen Benutzerkennung: Passwort
27078:lvarp 80610:lvarp 80624:lvarp 80670:lvarp 80683:lvarp 90002:lvarp 90004:lvarp 90005:lvarp 90007:lvarp 90201:lvarp 90202:lvarp 90205:lvarp 90302:lvarp 90505:lvarp lvarp:lvarp test:test Zeitaufwand insgesamt: ca. 30 min LfD Rheinland-Pfalz H. Eiermann
64
Zugriff auf Postfächer und Ablagestruktur
LfD Rheinland-Pfalz H. Eiermann
65
Versand von Mails unter der ermittelten Kennung.
=> Identitätsdiebstahl LfD Rheinland-Pfalz H. Eiermann
66
Vorbeugung • Passwortgestaltung und -gebrauch
• Verlässliche Authentifizierung • Serverkonfiguration • Gestaltung der Anwendung • Protokollierung / Auswertung LfD Rheinland-Pfalz H. Eiermann
67
Zugang zu Administrationsoberflächen via Internet
Sonstiges Zugang zu Administrationsoberflächen via Internet LfD Rheinland-Pfalz H. Eiermann
68
zugehöriges SQL-Statement: SELECT ... FROM ... WHERE $az=
Browserzeile: ... zugehöriges SQL-Statement: SELECT ... FROM ... WHERE $az= LfD Rheinland-Pfalz H. Eiermann
69
zugehöriges SQL-Statement: SELECT ... FROM ... WHERE $az=
Browserzeile: ... zugehöriges SQL-Statement: SELECT ... FROM ... WHERE $az= az= /2005 LfD Rheinland-Pfalz H. Eiermann
70
Anwendungsentwicklung (Konzeption, Programmierung)
Erkenntnisse: • Alle Angriffe erfolgten auf Anwendungsebene • Vorkehrungen auf Netzebene sind ohne Wirkung • Schwachstellen resultieren zum Teil aus Versäumnissen bei der Anwendungsentwicklung (Konzeption, Programmierung) • Mögliche Risiken wurden nicht thematisiert • Kommunikationsdefizite • Verbundentwicklungen bieten nicht zwangsläufig höheren Schutz • Risikobetrachtung / Sicherheitsuntersuchungen sind nicht erfolgt • Defizite bei der Überwachung sicherheitsrelevanter Ereignisse • Administrative Defizite • Arglosigkeit ... LfD Rheinland-Pfalz H. Eiermann
71
122 Mio WebSites LfD Rheinland-Pfalz H. Eiermann
72
... admin.asp, admin.js, admin.html
Ich finde Dich ... ! LfD Rheinland-Pfalz H. Eiermann
73
... admin.asp, admin.js, admin.html
... login.asp, login.js, login.html Ich finde Dich ... ! LfD Rheinland-Pfalz H. Eiermann
74
... admin.asp, admin.js, admin.html
... login.asp, login.js, login.html Ich finde Dich ... ! ... anmeldung.asp, anmeldung.js, anmeldung.html LfD Rheinland-Pfalz H. Eiermann
75
Konsequenzen: • Risikobetrachtung
• Sicherheit als Aspekt der eGovernment-Tauglichkeit • Sicherheitskonzept / Evaluation • Filterung der Benutzereingaben (Input-Validation) • Überwachung sicherheitsrelevanter Ereignisse • Sichere Konfiguration der Anwendungsplattform („Härtung“) • Sicherheitsbewusste Administration („Betriebshandbuch“) • Sichere Anwendungsentwicklung („Pflichtenheft Anwendungssicherheit“) LfD Rheinland-Pfalz H. Eiermann
76
Verfahrenskomponenten
Anwendung Server- / Plattform Netzwerk LfD Rheinland-Pfalz H. Eiermann
77
Verfahrenskomponenten Sicherheitsmaßnahmen:
Anwendung Server- / Plattform Administration, Konfiguration, Betrieb Netzwerk Netzstruktur, Firewall LfD Rheinland-Pfalz H. Eiermann
78
Verfahrenskomponenten Sicherheitsmaßnahmen:
Anwendung Entwicklung, Administration, Konfiguration Server- / Plattform Netzwerk LfD Rheinland-Pfalz H. Eiermann
79
Quelle: www.microsoft.com/germany/msdn/library/security/
Handbuch „Erhöhen der Sicherheit von Webanwendungen“ LfD Rheinland-Pfalz H. Eiermann
80
Quelle: www.bsi.de/literat/studien/websec/index.htm
LfD Rheinland-Pfalz H. Eiermann
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.