📃 http://www.slideshare.net/spaze/bezpecnost-nocni-mury

https://www.youtube.com/watch?v=RmtbyD0a_rs

Detail přednášky

Zajímá vás webová bezpečnost? Přijďte si o tom popovídat na školení Bezpečnost PHP aplikací (14. 6. 2017 Praha). Vytváříte bezpečná hesla a máte zabezpečený prohlížeč? Že nevíte jak na to? Prozradím vám to na školení Bezpečnost pro uživatele (termín zatím nevypsán).

SQL Injection si můžete zkusit na mém testovacím webu na adrese https://exploited.cz/…products.php. Měl by vás zajímat parametr id, který je sice ošetřen pomocí mysql_real_escape_string(), ale v tomto případě to není nic platné, protože aplikace očekává číslo a vstup není uzavřen do apostrofů. Jeho změnou můžete zkusit:

  1. zjistit počet sloupců v dotazu SELECT ... FROM:
    • id=1 ORDER BY 1
    • id=1 ORDER BY 5
    • id=1 UNION SELECT 1,2,3,4
  2. ověřit Blind SQL Injection:
    • id=1 AND 1=1
    • id=1 AND 1=2
    • id=1 AND SUBSTRING(VERSION(),1,7)=0x31302E312E3232 (MariaDB verze 10.1.22)
  3. zjistit, nějaké informace:
    • aktuální databázi a verzi serveru: id=1 UNION SELECT 1,DATABASE(),VERSION(),4
    • jména tabulek a sloupců, ke kterým má uživatel přístup id=1 UNION SELECT 1,table_name,column_name,4 FROM information_schema.columns
  4. zjistit uživatelská jména a špatně uložená hesla:
    • id=1 UNION SELECT 1,username,password,4 FROM users

Příklad na hashování hesel a následné šifrování hashů (ne hesel!) najdete u mě na Githubu.

Během přednášky si Jirka Kosek tweetnul, že je v rozpacích z mého hesla s MD5 hashem be96b1bdfeaa262f3c45618d7a101706. Přesně proto jsou hesla soukromá věc uživatelů, co je komu do toho, že mamradjirkukoska :-)

Datum a akce

3. 3. 2015, Google Developer Group Spaghetti Code Liberec (délka přednášky 120 minut)


Přepis poznámek

  1. Mike Rogers, šéf americké NSA.

    Tato verze slajdů obsahuje navíc poznámky nejen pro ty, kteří na přednášce nebyli.

  2. POUZE PRO STUDIJNÍ ÚČELY, NENABÁDÁM K TRESTNÉ ČINNOSTI

    Webová bezpečnost je tak trochu jako matematika nebo sekera nebo kladivo. Když s těmito znalostmi nebo nástroji uděláte něco nepěkného, půjdete bručet. Můj anděl strážný mi doporučil vás upozornit.

  3. Trestní zákoník – č. 40/2009 Sb. § 182

    (1) Kdo úmyslně poruší tajemství … bude potrestán odnětím svobody až na dvě léta nebo zákazem činnosti.

  4. Neoprávněný přístup k počítačovému systému a nosiči informací

    V § 230, odstavci (1), se vůbec nehovoří o úmyslu. Jakákoliv bezpečnostní opatření na webu ale bohužel často chybí.

  5. How Tor Works

    Chyby tedy raději hledat nebudeme, jen si o nich budeme povídat. Chyby často hledají jiní a píšou o nich pak na webu. Když budete nějaký popis hledat, raději použijte Tor. Uber nechal přístupový klíč k databázi veřejně na GitHubu, někdo ho zneužil a Uber teď chce po GitHubu IP adresy všech návštěvníků té stránky. Tor funguje takto.

  6. SOOM.cz

    Jedním z webů, kde se občas zveřejňují chyby je český SOOM. Nezáleží na tom, jak velký máte web nebo kolik máte uživatelů, vždycky jste pro někoho dost dobrý cíl.

  7. SQL Injection

    Velmi často je zmiňována útok SQL Injection. Ten vypadá přesně takto. To znáte, ne? Někteří úplně přesně takhle, že? Fajn, pro ty, kteří jste to nezažili nebo to s radostí zapomněli, tak opakování: SQL Injection spočívá v úpravě dotazu odesílaného do databáze.

  8. WHERE rz = '$prectena'

    Představte si aplikaci pro kameru, která měří rychlost. Pod kamerou projede auto, kamera přečte jeho registrační značku a když pojede rychle, tak z databáze vytáhne adresu a pošle pokutu. Zjednodušeně.

  9. WHERE rz = '1AM 1337'

    Když pod kamerou projede nějaký elitní pražan, tak obslužný software kamery pošle do databáze tento dotaz, najde se jméno a adresa a už se tiskne milostný dopis.

  10. ' OR 0='0

    Když pod kamerou projede třeba tohle auto ze Severní Karolíny, tak… to nebude fungovat, protože nejspíš nebude mít značku vpředu. Ale kdyby to fungovalo, tak se stane tohle:

  11. WHERE rz = '' OR 0='0';

    Do databáze se pošle tento dotaz, to červené a podtržené je přečtená značka. OR 0='0' je vždy pravda, takže pokuta se pošle všem. HA HA HA.

  12. ' OR 1=1; --

    Někdy se používá tenhle minitrik s komentářem, protože nevíme, co všechno na konci dotazu je, tak to prostě zakomentujeme.

  13. WHERE rz = '' OR 1=1; --';

    Dotaz pak bude vypadat třeba takto, všimněte si, že vše za středníkem je zakomentováno. Středník se dá vynechat a v MySQL by bylo potřeba ještě doplnit mezeru za pomlčka pomlčka. Výsledek je ale stejný.

  14. DROP DATABASE

    Mno, tak když by pod takovou kamerou projel tenhle frajer, tak… Ale tohle by fungovalo jen v případě, že by šlo najednou poslat více dotazů oddělených středníkem. Za určitých okolností to lze i v MySQL, třeba při SQL Injection v emulovaných prepared statements v PDO.

  15. znacka=30'abc

    Software kamer na silnici ale není to, s čím se často setkáváme, zvlášť pokud nemáme řidičák. Pojďme si to ukázat spíš na nějaké webové aplikaci. Tady jsme chtěli zobrazit produkty značky 30'abc – to je známá čínská značka, něco jako McDonald's – v obojím je apostrof a to se hodí.

  16. AND (znacka='30'abc')

    V téhle webové aplikaci došlo k chybě, protože dotaz není syntakticky správně, ale vývojáři nám k tomu naštěstí vypsali spoustu dalších informací, jako třeba celý dotaz, takže přesně víme, jak vypadá a co máme dělat. Tohle nikdy nedělejte, když dojde k chybě, tak tohle uživatele vůbec nezajímá. Zajímá to jen mizery.

  17. "… WHERE znacka = '{$_GET['znacka']}'"

    Dotaz, který aplikace odesílala, mohl vypadat třeba nějak takto, parametr je sice ohraničen do apostrofů, ale bez jakéhokoliv ošetření. Stačí pak apostrofem z toho ohraničení vyskočit a zbytek dotazu upravit dle přání.

  18. main.php?id=foo

    Někdy není apostrof potřeba, protože není z čeho vyskakovat, to je třeba tento případ. Aplikace očekává číslo a my pošleme řetězec.

  19. '… WHERE id = ' . $_GET['id']

    Kód v tomto případě mohl vypadat takto, parametr je do dotazu vložen bez ohraničení apostrofy, takže i kdyby náhodou ochrana spočívala v nějakém ošetření apostrofů, aby nešlo vyskočit, tak je to jedno, apostrof zde vůbec není třeba psát.

  20. STOP! DEMO TIME!

    SQL Injection si můžete beztrestně vyzkoušet třeba u mě, na adrese http://exploited.cz/…products.php

  21. Blind SQL Injection

    Při útoku SQL Injection je běžné, že aplikace zobrazuje nějaké chybové hlášky nebo něco vypisuje do stránky. Často ale nic takového nevidíte. Blind SQL Injection spočívá v tom, že jen pozorujete chování stránky.

  22. Prepared statements (PDO)

    Řešením mohou být třeba prepared statements, které jsou v PHP v PDO extenzi. Fungují tak, že si v dotazu pojmenujete zástupné místo (:id) a pak na něj navážete proměnnou. Někdy se místo těchto pojmenovaných míst mohou použít jen otazníky. Ale pozor, v PHP tohle neumí třeba vložit pole, takže si musíte spoustu věcí dopsat a můžete to podělat. Jako třeba Drupal, ten si právě takto zavlekl do kódu SQL Injection.

  23. dibi

    Je tedy lepší použít něco, co už tyto věci umí, třeba dibi, nebo aspoň dávejte velký pozor při implementaci, v tom případě vám přeji hodně štěstí.

  24. $query→where('SELECT ... WHERE code = \'' . $code . '\'');

    No a nakonec, ani s dibi nesmíte udělat třeba tohle. $code je tam prostě nalepené, což je špatně, protože i toto je zranitelnost SQL Injection. Do dotazu raději nic takto nevkládejte, vždy využijte vázání proměnných.

  25. password, 12345678

    Může se stát a asi se i stane, že někde přece jen uděláte chybu a někdo získá přístup k databázi. Nebo se dostane k zálohám. V databázi je spousta věcí, údaje o dodavatelích apod. jsou sice jen vaše, ale hesla uživatelů vaše nejsou. Hesla uživatelů se pak dají použít na páchání zla přímo těm uživatelům, třeba na přístup k jejich e-mailovým schránkám. Hodně uživatelů používá jedno heslo na více místech.

  26. Plaintext, MD5, SHA-1, SHA-2

    Takto hesla neukládejte. MD5, ani SHA-1 nebo SHA-2 nepoužívejte. Pokud dva uživatelé budou mít stejné heslo, budou mít i stejný hash. Takto zahashovaná hesla lze najít i v tzv. předpočítaných tabulkách (rainbow tables). Lidé, co to myslí vážně s lámáním hesel už rainbow tables nepoužívají, zabírají moc místa a dlouho se vytváří.

  27. 54bd33f9fdb722bb03d6bbba1537d3f9 fellini7

    Jenže Google takových tabulek pár indexuje, takže pro rychlé vyzkoušení stačí vzít hash a dát ho do Google. Profi práce se ale takto nedělá. Profíci používají grafické karty a velké slovníky (které obsahují i sousloví a celé věty, nejenom jednotlivá slova) pro slovníkové a hybridní útoky.

  28. MD5(heslo + salt) SHA-1(heslo + salt)

    Pro zamezení použití rainbow tables a narozeninových útoků se používá salt. Salt je unikátní a náhodný pro každý účet, není tajný a je v db uložen v čitelné podobě, neslouží ke zpomalení lámání hesel. Takže takhle to také nedělejte. Tohle je sice lepší, než jen MD5, ale…

  29. 8× GEFORCE GTX

    Salt nezpomaluje lámání hesel, takže hrubou silou 8 grafických karet se pořád dá lámat hodně rychle. Tenhle stroj generuje 80 miliard MD5 hashů/sec. I můj laptop dělá 30 milionů MD5 hashů/sec a asi 20M SHA-1/sec. Podobné stroje pro profíky staví Jeremi Gosney.

  30. bcrypt

    Takže jak na to? Pro ukládání hesel použijte bcrypt, někdy nazýván „Blowfish hashing“ (samotný název Blowfish představuje symetrickou šifru, tedy něco jiného a nevhodného pro ukládání hesel). Bcrypt podporuje salt a dá se řídit jeho rychlost. Doporučuje se nastavit cost parametr na 10 (nebo více), což znamená, že se jedno heslo zahashuje v cyklu 2×1010. Jedno hashování trvá zhruba 80 ms, uživatel to ani nepostřehne, ale útočníka to podstatně zpomalí.

  31. password_hash() password_verify()

    Bcrypt je v PHP implementován ve funkci crypt() od 5.3.7. Nastavuje se saltem, který začíná na $2y$. Salt si musíte vymyslet sami, jenže to je masakr. Saltem to můžete pokazit, třeba když použijete všude stejný. Jakákoliv funkce, která po vás chce salt je na nic. Od PHP 5.5 jsou dostupné funkce, kterým jen dáte heslo a ony ho zahashují nebo ověří, nic víc neřešíte. Pro starší PHP raději použijte password_compat. Od Nette 2.2 můžete použít Nette\Security\Pas­swords.

  32. scrypt PBKDF2 Argon2

    Další vhodné algoritmy jsou scrypt a PBKDF2. Scrypt je pro PHP dostupný pouze jako PECL extenze. PBKDF2 je v PHP od 5.5. V létě 2015 bychom měli znát výherce Password Hashing Competition, tedy nový a ještě lepší algoritmus pro ukládání hesel. Snad bude brzy dostupný i v PHP a dalších jazycích. (Aktualizace: novou hashovací funkcí je Argon2, až bude dostupná ve vašem oblíbeném jazyce, tak ji používejte.)

  33. ←@→

    Neposílejte hesla e-mailem, ani po registraci. Ne všechna spojení mezi servery jsou šifrovaná a někdo tedy e-mail s heslem může odposlechnout. Navíc když si uživatel zprávu s heslem stáhne do počítače, tak to heslo tam může někdo přečíst. Uživatel si navíc heslo zaslané e-mailem spíš nikdy nezmění.

  34. ADMIN/ADMIN

    Reset zapomenutého hesla provádějte tak, že uživateli pošlete odkaz, který bude mít náhodný token, který bude za hodinu expirovat a bude platit jen jednou. Po kliknutí si bude moci uživatel nastavit heslo. Negenerujte mu nové heslo a neposílejte ho ani e-mailem. Po změně hesla uživatele informujte, inspirujte se třeba u Facebooku.

  35. Jeden uživatel = Jedna databáze

    Nebuďte líní a pro každou aplikaci vytvářejte nové databázové uživatele a nová hesla. Nastavte jim právo pro přístup pouze do jedné databáze. Jeden uživatel s možností přístupu k databázím více aplikací může být problém ve chvíli, kdy jedna z těch aplikací bude mít chybu SQL Injection.

  36. eval() HTML

    V databází nemějte ani žádný PHP kód, který budete chtít spouštět pomocí eval(), viz Drupal 7 Remote Code Execution, ani HTML na formátování, protože to HTML může útočník s přístupem do databáze upravit a dát tam třeba svoji reklamu. Použijte třeba Texy s vypnutým HTML, aby nešlo propašovat ani vlastní Javascript.

  37. Cross-Site Scripting XSS

    Další častou chybou je XSS, tedy útok, během kterého útočník vloží nějaký kód na stránku, JavaScript, obrázek, HTML formulář apod.

  38. alert()

    XSS vypadá třeba takto, viz parametr zb v URL. Tím se do stránky propašoval JavaScript, který zobrazil tohle alert okno.

  39. <script src="...">

    V kódu napadené stránky to vypadá takto. Modře označený text je to, co se do HTML dostalo z parametru zb v URL.

  40. f.onsubmit=function(){}

    JavaScript od útočníka může vypadat třeba takto. Tohle konkrétně krade přihlašovací jméno a heslo z přihlašovacího formuláře po jeho odeslání. JavaScriptem lze někdy získat i session id z cookies, pak není třeba krást hesla. Ačkoliv heslo se vždycky hodí.

  41. htmlspecialchars($string, ENT_QUOTES)

    Výstupy ošetřujte pomocí htmlspecialchars() s parametrem ENT_QUOTES aby se převáděly i apostrofy. Ty se standardně nepřevádí. Lepší je ale použít nějaký šablonovací systém, který toto řeší za vás automaticky. Nikdy si nezkracujte cestu a automatické ošetřování nevypínejte.

  42. Nepoužívat strip_tags() proti XSS

    Funkce strip_tags() není ta správná ochrana pro XSS. Odstraňuje pouze celé značky, ale to útočníkovi nezabrání vložit třeba nový atribut onclick do existujícího formulářového políčka.

  43. X-XSS-Protection: 1; mode=block

    A když náhodou zapomenete něco ošetřit (nebo když vypnete automagické ošetřování), tak tahle HTTP hlavička může vaše návštěvníky zachránit. Aktivuje XSS Auditor v prohlížečích a v pokud se na stránku dostane nějaký JavaScript přes adresu nebo z formuláře, tak jej nespustí, případně celou stránku vůbec nezobrazí, pokud použijete mode=block. A to byste měli, protože některé prohlížeče se stránku pokusí opravit, ale opraví ji tak dobře, že vložený JavaScript se stejně spustí.

  44. Content-Security-Policy

    Hlavička X-XSS-Protection neřeší případy, kdy útočník uloží JavaScript do databáze, například do článku. Dopad takového problému můžete zmírnit třeba pomocí Content Security Policy (CSP). Tato hlavička explicitně povoluje zdroje, odkud se mohou načítat skripty, obrázky, styly aj. Hodnota unsafe-inline povoluje inline JS, tedy JavaScript vložený přímo do HTML kódu. To byste neměli dělat, veškerý kód byste měli dát do externích souborů a unsafe-inline nepoužívat. Podle mé zkušenosti s tím ale nefunguje třeba Google Tag Manager, bohužel.

  45. Lepší Content-Security-Policy

    Zavést CSP na běžící web není nic jednoduchého, právě třeba kvůli Google Tag Manageru. Proto je jednodušší použít tuto hlavičku. strict-dynamic je vlastnost z CSP3, která dovolí skriptům již vloženým do stránky vkládat další skripty, tedy přesně to, co dělá právě např Tag Manager. HTML značky script pro vkládání JavaScriptu do stránky je nutné označit pomocí atributu nonce a jeho hodnotu pak přidat do direktivy script-src. Hodnota by měla být náhodná a měla by se měnit při každém načtení stránky. Zbytek, včetně 'unsafe-inline', je pak pro starší prohlížeče, které CSP3 neumí. object-src zakáže vložit Flash, který také může způsobit XSS. Díky direktivě report-uri bude prohlížeč odesílat reporty o porušení nastavení politiky, posílejte si je na službu report-uri.io. Kvalitu nastavení CSP si můžete zkontrolovat na csp-evaluator.wit­hgoogle.com, na stejném místě můžete stáhnout i extenzi do Chrome.

  46. HTTP-Only cookies

    Pomocí XSS se často kradou sessions – JS načte z document.cookie session cookie a pošle ji útočníkovi, ten si ji vloží do svého browseru a vydává se za uživatele, který útočníkův kód spustil. Parametr httponly zabrání JS ve čtení dané cookie, v document.cookie pak není dostupná. Tuhle direktivu si nastavte. HNED. TEĎ. A pokud máte web pouze na HTTPS, což byste měli mít, tak nastavte i secure parametr. A tím se pomalu dostáváme k…

  47. HTTPS = How To Transfer Private Shit

    Nikomu tedy není nic do toho, jaké články si zrovna čtu, jaká odesílám hesla, co si zrovna prohlížím a nikdo nemá právo modifikovat data, která stahuji.

  48. STOP! DEMO TIME!

    Umím donutit vaše zařízení, aby se připojila k mojí Wi-Fi a HTTPS potom docela oceníte. Ukázku najdete v druhé půlce mojí přednášky z konference PHP live 2014.

  49. TLS – Transport Layer Security

    To S v názvu HTTPS neznamená SSL, ale Secure. SSL je protokol z minulého tisíciletí a už by se neměl dnes používat. Nahradil ho protokol TLS, aktuálně ve verzi 1.2, v březnu 2015 je aktuálně k dispozici návrh TLS 1.3.

  50. Došly IP adresy. Už zase?

    Pro web na HTTPS (celý web, jinak to nemá smysl) vlastní IP adresu potřebovat NE-BU-DE-TE.

  51. SNI – Server Name Indication

    Od roku 2003 existuje rozšíření TLS s názvem SNI, které zajistí, že název serveru pošle prohlížeč nešifrovaně a server tak bude moci poskytnout prohlížeči správný certifikát. SNI umí IE od verze 7 na WinVista a pozdějších. Na WinXP to nefunguje v žádném IE, ve Firefoxu a Chrome ano. Firefox umí SNI od verze 2, Chrome od verze 6 na WinXP (na WinVista v jakékoliv verzi), Safari od verze 3, Android od 3 dále. Pokud potřebujete podporovat starší verze, tak budete pořád vlastní IP adresu potřebovat.

  52. HSTS – HTTP Strict Transport Security

    Až budete mít celý web na HTTPS, tak přidejte hlavičku Strict-Transport-Security. HSTS, zajistí, že browser vnitřně přesměruje na HTTPS a nebude vůbec nebude posílat požadavek po HTTP. Ten by stejně jenom vygeneroval přesměrování na HTTPS verzi. Požadavek na HTTP tedy nepůjde zachytit a odstranit to přesměrování a tím efektivně HTTPS odstranit a převést na HTTP.

  53. Mixed content

    Po převodu na HTTPS si dávejte pozor na tzv. mixed content, tedy abyste do stránek na HTTPS nenačítali HTTP obsah, browser by tento obsah mohl zablokovat. Typicky se jedná třeba o videa, styly a obrázky.

  54. Referrer + meta referrer

    Pozor na referrer, ten se ze stránek na HTTPS nepředává do stránek na HTTP, takže je potřeba si správně odkazy z HTTPS nějak označit, jinak nebudete v Google Analytics vědět, odkud návštěvník přišel. Můžete také použít meta referrer (tady už správně s dvěma „r“), ten zajistí, že se referrer bude předávat i z HTTPS na HTTP, pokud použijete hodnotu origin (předá se pouze doména) nebo unsafe-url (předá se celé URL včetně parametrů), podpora v Chrome od konce roku 2011, Firefox od verze 36, IE od verze 12/Edge.

  55. Secure cookies

    HTTP-only cookie jsem zmiňoval jako obranu proti krádeži session pomocí XSS. Secure parametr jsem také už nakousl. Ten zajistí, že browser nepošle cookie (třeba se session id) po nešifrovaném spojení, i kdyby ho útočník přesvědčoval, že to má udělat, takže nepůjde odposlechnout. Bez toho je HTTPS jakoby bez toho S.

  56. Nepotřebný nebezpečný nepořádek

    Nene… chávejte nepotřebné soubory na webu.

  57. http://www.example.com/app/config.neon

    Konfigurace Nette v čitelné podobě. Přibližně jedno procento webů napsaných v Nette má konfiguraci volně a veřejně přístupnou. Tyhle soubory nesmí být přístupné pomocí prohlížeče, patří mimo document root nebo k nim musí být zakázán přístup pomocí souboru .htaccess.

  58. http://www.example.com/.git

    Pokud pracujete s Gitem, tak si zkontrolujte, jestli na webu nemáte adresář .git a pokud máte, tak ho smažte a zajistěte, aby se tam zase nedostal. Pokud se dá do toho adresáře dostat přes browser, tak je možné získat interní databázi Gitu, ve které je třeba seznam souborů. Často lze také naklonovat repozitář a získat tak kompletní zdrojové kódy.

  59. https://www.michalspacek.cz/skoleni

    Followujte mě na Twitteru a přijďte na školení bezpečnosti. Mějte se rádi! \V/

English