Mark Hloch

11/12.05.2012

web(in)securitiesCISCO Academy Day

!"#$%&'%#()*+$,*-./*0'&12%+$32(,"%4.'0.!"#(%&+(2".!*5+*##&+*52*-.6'17,%#&.8(+#*(#

9'():(),"#.;+#-#&&)#+*<*+=#&:+%4.'0.>77"+#-.8(+#*(#:

Montag, 14. Mai 12

Inhalt‣ Motivation für IT-Security

‣ Grundlagen• Client, Web-Server, Datenbank-Server• Datenübertragung Client-Server• Demo

‣ Angriffe• Cross Site Scripting & Demo• SQL Injection & Demo

‣ Fazit‣ Fragen

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Motivation für IT-Sicherheit

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Motivation für IT-Sicherheit• Computer-Besitzer sind für Vorfälle,

die vom eigenen Rechner ausgehen, haftbar.

• Informationen werden für Betrügereien genutzt (z.B. Online- Banking, Ebay, Amazon,...).

• Falsche Identitäten führen sogar zur (körperlichen) Bedrohung (facebook,studiVZ, schülerVZ,....).

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Motivation für IT-Sicherheit• Computer-Besitzer sind für Vorfälle,

die vom eigenen Rechner ausgehen, haftbar.

• Informationen werden für Betrügereien genutzt (z.B. Online- Banking, Ebay, Amazon,...).

• Falsche Identitäten führen sogar zur (körperlichen) Bedrohung (facebook,studiVZ, schülerVZ,....).

• Ablage von kinderpornografischem Material auf dem „übernommenen“ Rechner.

• Ablage von illegalen Musikdateien.

• Verwendung des Rechners für einen „Denial of Service“- Angriff.

• (Ungewollter) Spam-Versender.

• Spionage

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Folgen von Angriffen

‣ Gefährdung durch Spionage, Sabotage, Missbrauch

• Materielle Verluste

• Imageverlust

• Polizeiliche Ermittlungen

• Rechtliche Probleme durch Verstöße gegen das Datenschutzgesetz

Montag, 14. Mai 12

Ziele der Angreifer‣ Früher:

• Anerkennung, Langeweile, Spass, Interesse

‣ Heute:

• Geld mit Daten verdienen

• Kreditkartendaten (Kreditkarten-Betrug)

• Kundendaten (Logins, Kontodaten)

• Marketingrelevante Informationen (Allg. Daten,Surf-/Kaufgewohnheiten)

• Spam-Versand/Werbung

Montag, 14. Mai 12

Mark Hloch, B.Sc.

Neulich im Internet...

Montag, 14. Mai 12

Defacement

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Phishing

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Gängige Attacken aus dem Netz

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Gängige Attacken aus dem Netz

‣ Code Injection

‣ Cross Site Scripting (XSS)

‣ Cross Site Request Forgery (CSRF)

‣ Clickjacking

‣ Falsche Konfiguration/Rechte-Einschränkung

‣ Fehlerhafte Authentifizierung

‣ Session Management

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Grundlagen

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Web-Server

Mark Hloch, B.Sc.

‣ Stellt Inhalte in Form von HTML bereit

‣ Seitenerzeugung kann dabei statisch oder dynamisch geschehen

‣ Dynamisch auf Server-Seite

• PHP, ASP, Perl usw.

• Datenquelle ist oftmals ein Datenbank-Server

• Ergebnis ist aber immer eine HTML-Seite

Montag, 14. Mai 12

Client

Mark Hloch, B.Sc.

‣ Web-Browser stellt Inhalte dar.

‣ Versteht verschiedene Sprachen:

• HTML - Beschreibung der Seiten(inhalte)

• CSS (Cascading Style Sheets)

• JavaScript: Erweiterungen, Dynamik

‣ HTML, JavaScript, CSS werden beim Anwender „ausgeführt“!

Montag, 14. Mai 12

Client-Server-Datenbank

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Get und Post

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Get und Post

Mark Hloch, B.Sc.

http://www-dnm.kr.hsnr.de/ee.php?action=news

Identifier (Variable) Wert

GET

Montag, 14. Mai 12

Get und Post

Mark Hloch, B.Sc.

http://www-dnm.kr.hsnr.de/ee.php?action=news

Identifier (Variable) Wert

GET

POST <form name=login method=post><input name=nachname value=‘klaus‘>Name: </input>

</form>

Identifier (Variable) (Initialer) Wert

Montag, 14. Mai 12

Get und Post (Server)

‣ $daten = $_GET[,action‘];

‣ $daten = $_POST[,name‘];

‣ Auswerten der Eingabe und Anzeige der entsprechenden Inhalte

⇒ „Wenn „action = news“, dann zeige die aktuellen Nachrichten

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Hacking

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Disclaimer

Bereits der Versuch

in Rechner- oder Netzkomponenten einzudringen

ist strafbar

und

wird strafrechtlich verfolgt.

(Hacker-Paragraph §202, §149)

Mark Hloch, B.Sc.

Montag, 14. Mai 12

XSS - Cross Site Scripting

Mark Hloch, B.Sc.

Montag, 14. Mai 12

XSS - Cross Site Scripting

‣ Ziele: Daten-/Identitätsdiebstahl

‣ Bekannt seit mindestens Ende der 90er

‣ Liefert den Einstieg zu

• Click-Jacking• Cookie-Theft/Session Hijacking• Trojaner• Zugriff auf Client-Rechner• Manipulation des Browsers (!)

Mark Hloch, B.Sc.

Montag, 14. Mai 12

XSS - Cross Site Scripting

Mark Hloch, B.Sc.

Montag, 14. Mai 12

XSS - Cross Site Scripting

‣ Angriffsvektor

• Schwache Eingabeprüfung ausnutzen

• I.d.R. über die Verwendung von JavaScript

‣ Gefahren für den Anwender

• Darstellung derWebseite lässt sich manipulieren

• JavaScript wird auf Client-Seite ausgeführt!

• Extrem einfach für den Angreifer zu finden!

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Angriff auf „GET“

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Angriff auf „GET“

‣ Trivial! Einfach den Schadcode an die URL anhängen!

‣ HTML

<h1>Das ist HTML-Code</h1>

‣ JavaScript:

<script> //schadcode</script>

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Demo

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Persistenter Angriff

Angreifer:

„Es wäre schön, wenn mein Schadcode gespeichert würde...“

Wie??

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Persistenter Angriff

Angreifer:

„Es wäre schön, wenn mein Schadcode gespeichert würde...“

Wie??

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Persistenter Angriff

Angreifer:

„Es wäre schön, wenn mein Schadcode gespeichert würde...“

Wie??

XSS-Angriff auf Formulare, Gästebücher oder Ähnliches!!! ↪ speichern in Datenbank oder Dateien

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Demo

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Schutz - Anwender

‣ Programmierer: Alle übergebenen Daten filtern!

‣ Update des Betriebssystems, Software insbesondere Browser

‣ Firefox-Security-Erweiterungen

• NoScript

‣ Änderungen der Seite beobachten :-/

Mark Hloch, B.Sc.

Montag, 14. Mai 12

SQL InjectionZugriff auf geschützte Bereiche

Mark Hloch, B.Sc.

Montag, 14. Mai 12

SQL Injection

Mark Hloch, B.Sc.

Montag, 14. Mai 12

SQL Injection

Mark Hloch, B.Sc.

‣ Ziel:

Datendiebstahl, Identitätsdiebstahl, Manipulation auf Server-Seite

‣ Angriffsvektor

Fehlende/Schlechte Filterung von Benutzerdaten

‣ Gefahren für den Anwender/Betreiber:

• Zugangsbeschränkungen können umgangen werden

• System beschädigen

Montag, 14. Mai 12

SQL Injection

Mark Hloch, B.Sc.

Montag, 14. Mai 12

SQL Injection

Mark Hloch, B.Sc.

‣ SQL-Abfragen durch gezielte Falscheingaben manipulieren

↪ Missbraucht Formulare um Code zu „injecten“

Montag, 14. Mai 12

SQL Injection

Mark Hloch, B.Sc.

‣ SQL-Abfragen durch gezielte Falscheingaben manipulieren

↪ Missbraucht Formulare um Code zu „injecten“

‣ Beispiel:

Ursprüngliche Datenbankanfrage:

SELECT * FROM users WHERE USER=“cisco“ AND PASSWORD=“class“;

Montag, 14. Mai 12

SQL Injection

Mark Hloch, B.Sc.

‣ SQL-Abfragen durch gezielte Falscheingaben manipulieren

↪ Missbraucht Formulare um Code zu „injecten“

‣ Beispiel:

Ursprüngliche Datenbankanfrage:

SELECT * FROM users WHERE USER=“cisco“ AND PASSWORD=“class“;

Manipulierte Datenbankanfrage:

SELECT * FROM tabelle WHERE USER=“cisco“ AND PASSWORD=“class“ OR 1=1;

Montag, 14. Mai 12

Demo

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Schutz

‣ Programmierer:

• Alle übergebenen Daten filtern...

• Passwörter verschlüsseln (!!!)

‣ Anwender:

• :-(

• Verschiedene Passwörter benutzen

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Fazit

Sicherheit hat nichts mit Vertrauen,

sondern mit Misstrauen zu tun!

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Quellenhinweise• http://www.heise.de/security

• http://www.securityfocus.com

• http://www.dshield.org

• http://shmoo.com

• http://www.insecure.com

• http://www.cert.org

• http://www.microsoft.com/

• http://www.heise.de/newsticker

• http://www.zone-h.org

• http://fefe.de

• http://mozilla.org

• https://ezs.kr.hsnr.de/its

• https://www.ccc.de

• https://www.owasp.org

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Fragen?

Mark Hloch, B.Sc.

Montag, 14. Mai 12

Kontakt?

Mark.Hloch@hsnr.de

https://www-dnm.kr.hsnr.de (Personen -> Mitarbeiter)

Tel. 02151-822 4758

Montag, 14. Mai 12

Vielen Dank!

Montag, 14. Mai 12