Формальное моделирование уязвимостей

Transcript

1. ptsecurity.ru Формальное моделирование уязвимостей Владимир Кочетков Руководитель отдела исследований по

   анализу защищённости приложений Positive Technologies

2. :~$ whoami • Руководитель отдела исследований по анализу защищённости приложений

   Positive Technologies • Appsec- и CS-исследователь (формальные методы анализа и защиты приложений) • Организатор Positive Development User Group Контакты: [email protected] https://twitter.com/kochetkov_v https://kochetkov.github.io

3. 3 Открытое сообщество разработчиков и IT- специалистов, которые стремятся создавать

   безопасные приложения Чат в Telegram: https://t.me/ru_appsec Присоединяйтесь! Positive Development User Group

4. Что такое формальная модель Модель, отражающая какие-либо свойства исследуемого объекта

   и описанная формальным языком

5. Зачем AppSec'у формальные модели • Теоретические исследования • Поиск уязвимостей

   (ручной и автоматизированный) • Генерация эксплоитов или патчей • Защита приложения времени выполнения

6. Виды моделей (1/2) • Предметной области (логические) • Управление доступом

   • Защищённость приложения • Бизнес-логика • Верификация • Вычислительные • Алгоритмические • Машины Тьюринга, Поста • Лямбда-исчисление • Нормальные алгорифмы Маркова • Темпоральные • Сети Петри • Потоки управления • Потоки данных • Потоки вычисления

7. Виды моделей (2/2) • Предметной области (логические) • Управление доступом

   • Защищённость приложения • Бизнес-логика • Верификация • Вычислительные • Алгоритмические • Машины Тьюринга (МТ), Поста • Лямбда-исчисление • Нормальные алгорифмы Маркова • Темпоральные • Сети Петри • Потоки управления • Потоки данных • Потоки вычисления

8. Моделирование программ МТ

9. Применимость абстрактных моделей на практике Построение прикладной модели на основе

   каких-либо свойств абстрактной позволяет, в некоторой степени, доказывать её свойства на основе уже имеющихся теорем и утверждений.

10. Машина Тьюринга (1/2) Математическая абстракция, представляющая универсальную вычислительную машину. Машина

    Тьюринга состоит из: • бесконечной ячеистой ленты; • управляющего устройства с конечным числом состояний; • таблицы переходов между состояниями. На каждой итерации может: • изменить текущую ячейку; • перейти в другое состояние; • переместиться на соседнюю ячейку.

11. Машина Тьюринга (2/2) Семерка M=(Q,Γ,b,Σ,δ,q0,F) где: Q - конечное непустое

    множество состояний; Γ - конечное непустое множество символов алфавита; b∈Γ - пустой символ; Σ⊆Γ∖b - множество входных символов; q0∈Q - начальное состояние; F⊆Q - множество финальных состояний; δ:Q∖F×Γ → Q×Γ×{L,R} - функция перехода, где: L - сдвиг по ленте влево R - сдвиг по ленте вправо

12. Реализация фильтрующей функции на МТ (1/18) _ # A B

    q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 A B

13. Реализация фильтрующей функции на МТ (2/18) (q1 A) ⇒ (A

    → q1) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 A B

14. Реализация фильтрующей функции на МТ (3/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 A B

15. Реализация фильтрующей функции на МТ (4/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 A B #

16. Реализация фильтрующей функции на МТ (5/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) (q2 #) ⇒ (# ← q2) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 A B #

17. Реализация фильтрующей функции на МТ (6/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) (q2 #) ⇒ (# ← q2) (q2 B) ⇒ (B ← q2) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 A B #

18. Реализация фильтрующей функции на МТ (7/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) (q2 #) ⇒ (# ← q2) (q2 B) ⇒ (B ← q2) (q2 A) ⇒ (A ← q2) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 A B #

19. Реализация фильтрующей функции на МТ (8/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) (q2 #) ⇒ (# ← q2) (q2 B) ⇒ (B ← q2) (q2 A) ⇒ (A ← q2) (q2 _) ⇒ (_ → q3) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 A B #

20. Реализация фильтрующей функции на МТ (9/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) (q2 #) ⇒ (# ← q2) (q2 B) ⇒ (B ← q2) (q2 A) ⇒ (A ← q2) (q2 _) ⇒ (_ → q3) (q3 A) ⇒ (_ → q3) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 A B #

21. Реализация фильтрующей функции на МТ (10/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) (q2 #) ⇒ (# ← q2) (q2 B) ⇒ (B ← q2) (q2 A) ⇒ (A ← q2) (q2 _) ⇒ (_ → q3) (q3 A) ⇒ (_ → q3) (q3 B) ⇒ (_ → q4) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 B #

22. Реализация фильтрующей функции на МТ (11/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) (q2 #) ⇒ (# ← q2) (q2 B) ⇒ (B ← q2) (q2 A) ⇒ (A ← q2) (q2 _) ⇒ (_ → q3) (q3 A) ⇒ (_ → q3) (q3 B) ⇒ (_ → q4) (q4 #) ⇒ (# → q4) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 #

23. Реализация фильтрующей функции на МТ (12/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) (q2 #) ⇒ (# ← q2) (q2 B) ⇒ (B ← q2) (q2 A) ⇒ (A ← q2) (q2 _) ⇒ (_ → q3) (q3 A) ⇒ (_ → q3) (q3 B) ⇒ (_ → q4) (q4 #) ⇒ (# → q4) (q4 _) ⇒ (B • q2) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 #

24. Реализация фильтрующей функции на МТ (13/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) (q2 #) ⇒ (# ← q2) (q2 B) ⇒ (B ← q2) (q2 A) ⇒ (A ← q2) (q2 _) ⇒ (_ → q3) (q3 A) ⇒ (_ → q3) (q3 B) ⇒ (_ → q4) (q4 #) ⇒ (# → q4) (q4 _) ⇒ (B • q2) (q2 B) ⇒ (B ← q2) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 # B

25. Реализация фильтрующей функции на МТ (14/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) (q2 #) ⇒ (# ← q2) (q2 B) ⇒ (B ← q2) (q2 A) ⇒ (A ← q2) (q2 _) ⇒ (_ → q3) (q3 A) ⇒ (_ → q3) (q3 B) ⇒ (_ → q4) (q4 #) ⇒ (# → q4) (q4 _) ⇒ (B • q2) (q2 B) ⇒ (B ← q2) (q2 #) ⇒ (# ← q2) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 # B

26. Реализация фильтрующей функции на МТ (15/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) (q2 #) ⇒ (# ← q2) (q2 B) ⇒ (B ← q2) (q2 A) ⇒ (A ← q2) (q2 _) ⇒ (_ → q3) (q3 A) ⇒ (_ → q3) (q3 B) ⇒ (_ → q4) (q4 #) ⇒ (# → q4) (q4 _) ⇒ (B • q2) (q2 B) ⇒ (B ← q2) (q2 #) ⇒ (# ← q2) (q2 _) ⇒ (_ → q3) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 # B

27. Реализация фильтрующей функции на МТ (16/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) (q2 #) ⇒ (# ← q2) (q2 B) ⇒ (B ← q2) (q2 A) ⇒ (A ← q2) (q2 _) ⇒ (_ → q3) (q3 A) ⇒ (_ → q3) (q3 B) ⇒ (_ → q4) (q4 #) ⇒ (# → q4) (q4 _) ⇒ (B • q2) (q2 B) ⇒ (B ← q2) (q2 #) ⇒ (# ← q2) (q2 _) ⇒ (_ → q3) (q3 #) ⇒ (_ • q3) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 # B

28. Реализация фильтрующей функции на МТ (17/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) (q2 #) ⇒ (# ← q2) (q2 B) ⇒ (B ← q2) (q2 A) ⇒ (A ← q2) (q2 _) ⇒ (_ → q3) (q3 A) ⇒ (_ → q3) (q3 B) ⇒ (_ → q4) (q4 #) ⇒ (# → q4) (q4 _) ⇒ (B • q2) (q2 B) ⇒ (B ← q2) (q2 #) ⇒ (# ← q2) (q2 _) ⇒ (_ → q3) (q3 #) ⇒ (_ • q3) (q3 _) ⇒ (_ → q0) _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 B

29. Реализация фильтрующей функции на МТ (18/18) (q1 A) ⇒ (A

    → q1) (q1 B) ⇒ (B → q1) (q1 _) ⇒ (# • q2) (q2 #) ⇒ (# ← q2) (q2 B) ⇒ (B ← q2) (q2 A) ⇒ (A ← q2) (q2 _) ⇒ (_ → q3) (q3 A) ⇒ (_ → q3) (q3 B) ⇒ (_ → q4) (q4 #) ⇒ (# → q4) (q4 _) ⇒ (B • q2) (q2 B) ⇒ (B ← q2) (q2 #) ⇒ (# ← q2) (q2 _) ⇒ (_ → q3) (q3 #) ⇒ (_ • q3) (q3 _) ⇒ (_ → q0) halt _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 B

30. Модель потока вычисления (q1 A) ⇒ (A → q1) ⇒

    q1 {AB} (q1 B) ⇒ (B → q1) ⇒ q1 {AB } (q1 _) ⇒ (# • q2) ⇒ q2 {AB#} (q2 #) ⇒ (# ← q2) ⇒ q2 {AB#} (q2 B) ⇒ (B ← q2) ⇒ q2 {AB#} (q2 A) ⇒ (A ← q2) ⇒ q2 { AB#} (q2 _) ⇒ (_ → q3) ⇒ q3 {AB#} (q3 A) ⇒ (_ → q3) ⇒ q3 {B#} (q3 B) ⇒ (_ → q4) ⇒ q4 {#} (q4 #) ⇒ (# → q4) ⇒ q4 {# } (q4 _) ⇒ (B • q2) ⇒ q2 {#B} (q2 B) ⇒ (B ← q2) ⇒ q2 {#B} (q2 #) ⇒ (# ← q2) ⇒ q2 { #B} (q2 _) ⇒ (_ → q3) ⇒ q3 {#B} (q3 #) ⇒ (_ • q3) ⇒ q3 { B} (q3 _) ⇒ (_ → q0) ⇒ q0 {B} Поток вычисления (предикат ⇒ побочные эффекты ⇒ состояние)

31. Поиск уязвимостей на потоке вычисления МТ (1/5) Доказать неэффективную реализацию

    фильтрации, используя модель потока вычисления

32. Поиск уязвимостей на потоке вычисления МТ (2/5) halt _ #

    A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 A B

33. Поиск уязвимостей на потоке вычисления МТ (3/5) (q3 _) ⇒

    (_ → q0) halt _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 A B

34. Поиск уязвимостей на потоке вычисления МТ (4/5) (q1 #) ⇒

    (# • q3) (q3 _) ⇒ (_ → q0) halt _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 # A B

35. Поиск уязвимостей на потоке вычисления МТ (5/5) (q1 #) ⇒

    (# • q3) (q3 _) ⇒ (_ → q0) halt _ # A B q0 halt q1 # • q2 # • q3 A → q1 B → q1 q2 _ → q3 # ← q2 A ← q2 B ← q2 q3 _ → q0 _ • q3 _ → q3 _ → q4 q4 B • q2 # → q4 A → q4 B → q4 # A B Эксплоит

36. Проблемы подхода • Утверждать о получении результата анализа возможно только

    после остановки анализатора • Лента МТ бесконечна ⇒ бесконечно множество неуязвимых конфигураций программы • При анализе веток неуязвимых конфигураций, анализатор никогда не достигнет начального состояния • Анализатор никогда не остановится, если программа неуязвима

37. Применимость абстрактных моделей (1/2) In practice, models built on these

    foundations are bound to be nearly useless for generalized, real-world software engineering… Michal Zalewski, "The Tangled Web"

38. Применимость абстрактных моделей (2/2) In practice, models built on these

    foundations are bound to be nearly useless for generalized, real-world software engineering… Michal Zalewski, "The Tangled Web" В любой непонятной ситуации – аппроксимируй модель!

39. Поток вычисления реальных приложений Поток вычисления описывает предикативную последовательность смены

    конфигураций МТ в процессе вычисления алгоритма Для МТ конфигурацию составляют: • позиция считывателя на ленте; • содержимое ленты; • активное состояние. Для реального приложения, полным аналогом конфигурации МТ является состояние всех потоков данных, доступных в каждой точке потока управления.

40. Коллажирование и художественная резьба по коду

41. Построение потока вычисления реального приложения (1/10) var name = Request.Params["name"];

    var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

42. Построение потока вычисления реального приложения (2/10) Response.Write(str1) var name =

    Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

43. Построение потока вычисления реального приложения (3/10) Response.Write({ key1 == "validkey"

    ⇒ Encoding.UTF8.GetString(data), }) var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

44. Построение потока вычисления реального приложения (4/10) Response.Write({ key1 == "validkey"

    ⇒ Encoding.UTF8.GetString(data), key1 != "validkey" ⇒ "Wrong key!" }) var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

45. Построение потока вычисления реального приложения (5/10) name + "in" ==

    "admin" ⇒ Response.Write({ key1 == "validkey" ⇒ Encoding.UTF8.GetString(data), key1 != "validkey" ⇒ "Wrong key!" }) var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

46. Построение потока вычисления реального приложения (6/10) name + "in" ==

    "admin" ⇒ Response.Write({ key1 == "validkey" ⇒ Encoding.UTF8.GetString({ string.IsNullOrEmpty(parm) ⇒ new char[0] }), key1 != "validkey" ⇒ "Wrong key!" }) var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

47. Построение потока вычисления реального приложения (7/10) name + "in" ==

    "admin" ⇒ Response.Write({ key1 == "validkey" ⇒ Encoding.UTF8.GetString({ string.IsNullOrEmpty(parm) ⇒ new char[0], !string.IsNullOrEmpty(parm) ⇒ Convert.FromBase64String(parm) }), key1 != "validkey" ⇒ "Wrong key!" }) var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

48. Построение потока вычисления реального приложения (8/10) name + "in" ==

    "admin" ⇒ Response.Write({ key1 == "validkey" ⇒ Encoding.UTF8.GetString({ string.IsNullOrEmpty( Request.Params["parm"] ) ⇒ new char[0], !string.IsNullOrEmpty( Request.Params["parm"] ) ⇒ Convert.FromBase64String( Request.Params["parm"] ) }), key1 != "validkey" ⇒ "Wrong key!" }) var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

49. Построение потока вычисления реального приложения (9/10) name + "in" ==

    "admin" ⇒ Response.Write({ Request.Params["key1"] == "validkey" ⇒ Encoding.UTF8.GetString({ string.IsNullOrEmpty( Request.Params["parm"] ) ⇒ new char[0], !string.IsNullOrEmpty( Request.Params["parm"] ) ⇒ Convert.FromBase64String( Request.Params["parm"] ) }), Request.Params["key1"] != "validkey" ⇒ "Wrong key!" }) var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

50. Построение потока вычисления реального приложения (10/10) Request.Params["name"] + "in" ==

    "admin" ⇒ Response.Write({ Request.Params["key1"] == "validkey" ⇒ Encoding.UTF8.GetString({ string.IsNullOrEmpty( Request.Params["parm"] ) ⇒ new char[0], !string.IsNullOrEmpty( Request.Params["parm"] ) ⇒ Convert.FromBase64String( Request.Params["parm"] ) }), Request.Params["key1"] != "validkey" ⇒ "Wrong key!" }) var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

51. Построение полного потока вычисления (1/10) ε ⇒ { name ∈

    {ε ⇒ Request.Params["name"]} } var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

52. Построение полного потока вычисления (2/10) ε ⇒ { name ∈

    {ε ⇒ Request.Params["name"]} key1 ∈ {ε ⇒ Request.Params["key1"]} } var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

53. Построение полного потока вычисления (3/10) ε ⇒ { name ∈

    {ε ⇒ Request.Params["name"]} key1 ∈ {ε ⇒ Request.Params["key1"]} parm ∈ {ε ⇒ Request.Params["parm"]} } var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

54. Построение полного потока вычисления (4/10) ε ⇒ { name ∈

    {ε ⇒ Request.Params["name"]} key1 ∈ {ε ⇒ Request.Params["key1"]} parm ∈ {ε ⇒ Request.Params["parm"]} data ∈ { string.IsNullOrEmpty(parm) ⇒ new char[0], !string.IsNullOrEmpty(parm) ⇒ Convert.FromBase64String(parm) } } var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

55. Построение полного потока вычисления (5/10) (name + "in" == "admin")

    ⇒ { name ∈ {ε ⇒ Request.Params["name"]} key1 ∈ {ε ⇒ Request.Params["key1"]} parm ∈ {ε ⇒ Request.Params["parm"]} data ∈ { string.IsNullOrEmpty(parm) ⇒ new char[0], !string.IsNullOrEmpty(parm) ⇒ Convert.FromBase64String(parm) } } var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

56. Построение полного потока вычисления (6/10) (name + "in" == "admin")

    ⇒ { name ∈ {ε ⇒ Request.Params["name"]} key1 ∈ {ε ⇒ Request.Params["key1"]} parm ∈ {ε ⇒ Request.Params["parm"]} data ∈ { string.IsNullOrEmpty(parm) ⇒ new char[0], !string.IsNullOrEmpty(parm) ⇒ Convert.FromBase64String(parm) } str1 ∈ { (name + "in" == "admin") ⇒ null} } var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

57. Построение полного потока вычисления (7/10) (name + "in" == "admin")

    && (key1 == "validkey") ⇒ { name ∈ {ε ⇒ Request.Params["name"]} key1 ∈ {ε ⇒ Request.Params["key1"]} parm ∈ {ε ⇒ Request.Params["parm"]} data ∈ { string.IsNullOrEmpty(parm) ⇒ new char[0], !string.IsNullOrEmpty(parm) ⇒ Convert.FromBase64String(parm) } str1 ∈ { (name + "in" == "admin") ⇒ null} } var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

58. Построение полного потока вычисления (8/10) (name + "in" == "admin")

    && (key1 == "validkey") ⇒ { name ∈ {ε ⇒ Request.Params["name"]} key1 ∈ {ε ⇒ Request.Params["key1"]} parm ∈ {ε ⇒ Request.Params["parm"]} data ∈ { string.IsNullOrEmpty(parm) ⇒ new char[0], !string.IsNullOrEmpty(parm) ⇒ Convert.FromBase64String(parm) } str1 ∈ { (name + "in" == "admin") ⇒ null, (name + "in" == "admin") && (key1 == "validkey") ⇒ Encoding.UTF8.GetString(data) } } var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

59. Построение полного потока вычисления (9/10) (name + "in" == "admin")

    && (key1 != "validkey") ⇒ { name ∈ {ε ⇒ Request.Params["name"]} key1 ∈ {ε ⇒ Request.Params["key1"]} parm ∈ {ε ⇒ Request.Params["parm"]} data ∈ { string.IsNullOrEmpty(parm) ⇒ new char[0], !string.IsNullOrEmpty(parm) ⇒ Convert.FromBase64String(parm) } str1 ∈ { (name + "in" == "admin") ⇒ null, (name + "in" == "admin") && (key1 == "validkey") ⇒ Encoding.UTF8.GetString(data), (name + "in" == "admin") && (key1 != "validkey") ⇒ "Wrong key!" } } var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

60. Построение полного потока вычисления (10/10) (name + "in" == "admin")

    ⇒ { name ∈ {ε ⇒ Request.Params["name"]} key1 ∈ {ε ⇒ Request.Params["key1"]} parm ∈ {ε ⇒ Request.Params["parm"]} data ∈ { string.IsNullOrEmpty(parm) ⇒ new char[0], !string.IsNullOrEmpty(parm) ⇒ Convert.FromBase64String(parm) } str1 ∈ { (name + "in" == "admin") && (key1 == "validkey") ⇒ Encoding.UTF8.GetString(data), (name + "in" == "admin") && (key1 != "validkey") ⇒ "Wrong key!" } Response.Write(str1) } var name = Request.Params["name"]; var key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); if (name + "in" == "admin") { string str1; if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }

61. Модель потока вычисления приложения • Приложение рассматривается, как множество точек

    выполнения, связанных между собой в соответствии с графом потока управления • Каждая точка хранит информацию о предикативных состояниях всех доступных в ней переменных • Предикативное состояние описывается парой элементов: 1. Предикатом, описывающим формулу достижимости состояния 2. Формулой, определяющей множество значений, соответствующее описываемому состоянию • Формулы конструируются путём подстановки фрагментов кода при абстрактной интерпретации в семантике символьных вычислений • Формальная форма описания модели – граф потока вычисления

62. Возможности модели потока вычисления • Модель потока вычисления позволяет: •

    разрешать элементы множества значений входных данных по заданному состоянию; • определять состояние по заданному множеству значений входных данных • Для моделирования уязвимостей по ней требуется конкретизация понятия "уязвимое состояние" в зависимости от рассматриваемого класса атак • Один из возможных подходов к конкретизации заключается в сопоставлении аргументов опасных операций со множествами значений возможных эксплоитов

63. Бесконтекстный поиск уязвимостей (1/13) Request.Params["name"] + "in" == "admin" ⇒

    Response.Write({ Request.Params["key1"] == "validkey" ⇒ Encoding.UTF8.GetString({ string.IsNullOrEmpty(Request.Params["parm"]) ⇒ new char[0], !string.IsNullOrEmpty(Request.Params["parm"]) ⇒ Convert.FromBase64String(Request.Params["parm"]) }), Request.Params["key1"] != "validkey" ⇒ "Wrong key!" })

64. Бесконтекстный поиск уязвимостей (2/13) Request.Params["name"] + "in" == "admin" ⇒

    Response.Write({ Request.Params["key1"] == "validkey" ⇒ Encoding.UTF8.GetString({ string.IsNullOrEmpty(Request.Params["parm"]) ⇒ new char[0], !string.IsNullOrEmpty(Request.Params["parm"]) ⇒ Convert.FromBase64String(Request.Params["parm"]) }), Request.Params["key1"] != "validkey" ⇒ "Wrong key!" })

65. Бесконтекстный поиск уязвимостей (3/13) Request.Params["name"] + "in" == "admin" ⇒

    Response.Write({ Request.Params["key1"] == "validkey" ⇒ Encoding.UTF8.GetString({ !string.IsNullOrEmpty(Request.Params["parm"]) ⇒ Convert.FromBase64String(Request.Params["parm"]) }), Request.Params["key1"] != "validkey" ⇒ "Wrong key!" })

66. Бесконтекстный поиск уязвимостей (4/13) Request.Params["name"] + "in" == "admin" ⇒

    Response.Write({ Request.Params["key1"] == "validkey" ⇒ Encoding.UTF8.GetString({ !string.IsNullOrEmpty(Request.Params["parm"]) ⇒ Convert.FromBase64String(Request.Params["parm"]) }), Request.Params["key1"] != "validkey" ⇒ "Wrong key!" })

67. Бесконтекстный поиск уязвимостей (5/13) Request.Params["name"] + "in" == "admin" ⇒

    Response.Write({ Request.Params["key1"] == "validkey" ⇒ Encoding.UTF8.GetString({ !string.IsNullOrEmpty(Request.Params["parm"]) ⇒ Convert.FromBase64String(Request.Params["parm"]) }) })

68. Бесконтекстный поиск уязвимостей (6/13) Request.Params["name"] + "in" == "admin" ⇒

    Response.Write({ Request.Params["key1"] == "validkey" ⇒ Encoding.UTF8.GetString({ !string.IsNullOrEmpty(Request.Params["parm"]) ⇒ Convert.FromBase64String(Request.Params["parm"]) }) })

69. Бесконтекстный поиск уязвимостей (7/13) Request.Params["name"] + "in" == "admin" &&

    Request.Params["key1"] == "validkey" && !string.IsNullOrEmpty(Request.Params["parm"]) ⇒ Response.Write( Encoding.UTF8.GetString( Convert.FromBase64String(Request.Params["parm"]) ) )

70. Бесконтекстный поиск уязвимостей (8/13) Request.Params["name"] + "in" == "admin" &&

    Request.Params["key1"] == "validkey" && !string.IsNullOrEmpty(Request.Params["parm"]) ⇒ Response.Write( Encoding.UTF8.GetString( Convert.FromBase64String(Request.Params["parm"]) ) )

71. Бесконтекстный поиск уязвимостей (9/13) Request.Params["name"] + "in" == "admin" &&

    Request.Params["key1"] == "validkey" && Encoding.UTF8.GetString( Convert.FromBase64String(Request.Params["parm"]) ) ⊇ "<script>alert(0)</script>" ⇒ Response.Write( Encoding.UTF8.GetString( Convert.FromBase64String(Request.Params["parm"]) ) )

72. Бесконтекстный поиск уязвимостей (10/13) Request.Params["name"] + "in" == "admin" &&

    Request.Params["key1"] == "validkey" && Encoding.UTF8.GetString( Convert.FromBase64String(Request.Params["parm"]) ) ⊇ "<script>alert(0)</script>" ⇒ Response.Write( Encoding.UTF8.GetString( Convert.FromBase64String(Request.Params["parm"]) ) )

73. Бесконтекстный поиск уязвимостей (11/13) Request.Params["name"] + "in" == "admin" &&

    Request.Params["key1"] == "validkey" && Convert.FromBase64String(Request.Params["parm"]) ⊇ Encoding.UTF8.GetBytes("<script>alert(0)</script>") ⇒ Response.Write( Encoding.UTF8.GetString( Convert.FromBase64String(Request.Params["parm"]) ) )

74. Бесконтекстный поиск уязвимостей (12/13) Request.Params["name"] + "in" == "admin" &&

    Request.Params["key1"] == "validkey" && Request.Params["parm"] = Convert.ToBase64String( Encoding.UTF8.GetBytes("<script>alert(0)</script>") ) ⇒ Response.Write( Encoding.UTF8.GetString( Convert.FromBase64String(Request.Params["parm"]) ) )

75. Бесконтекстный поиск уязвимостей (13/13) Request.Params["name"] = "adm" Request.Params["key1"] = "validkey"

    Request.Params["parm"] = "PHNjcmlwdD5hbGVydCgwKTwvc2NyaXB0Pg==" ⇒ Response.Write( Encoding.UTF8.GetString( Convert.FromBase64String(Request.Params["parm"]) ) )

76. Дальнейшее развитие модели • Точность модели можно увеличить за счёт

    перехода от конечных множеств возможных эксплоитов к бесконечным • Для этого необходимо определить критерии состояния защищённости в рамках исследуемого класса уязвимостей

77. Формальная модель инъекций

78. 78 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); Граница окружения Модель уязвимого приложения (1/7)

79. 79 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); Точка входа a Граница окружения Модель уязвимого приложения (2/7)

80. 80 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); Точка входа a Точка входа b Граница окружения Модель уязвимого приложения (3/7)

81. 81 Точка выхода fpvo (ftransform (a, b)) 01 var a

    = Request.Params["a"]; 02 03 var b = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); Точка входа a Точка входа b Граница окружения Модель уязвимого приложения (4/7)

82. 82 Точка выхода fpvo (ftransform (a, b)) 01 var a

    = Request.Params["a"]; 02 03 var b = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); Точка входа a Точка входа b Граница окружения Модель уязвимого приложения (5/7)

83. 83 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); Точка входа a Точка входа b Точка выхода fpvo (ftransform (a, b)) Граница окружения Модель уязвимого приложения (6/7) Точка инъекции a

84. 84 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); Точка входа a Точка входа b Точка выхода fpvo (ftransform (a, b)) Граница окружения Модель уязвимого приложения (7/7) Точка инъекции a Точка инъекции b

85. Точка инъекции Фрагмент формулы состояния достижимой точки потока вычисления, множество

    значений которого зависит от входных данных: ε ⇒ Response.Write( "<img src='//host/1/" + { Request.Params["a"] != null ⇒ Request.Params["a"] } + "' onclick='f(" + { Request.Params["b"] != null ⇒ Request.Params["b"] } ")'/>" )

86. 86 Атаки инъекции направлены на внедрение в точки инъекции грамматических

    конструкций, не предусмотренных логикой приложения Суть атаки инъекции

87. 87 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); image.jpg Граница окружения Модель атаки (HTML/URL, нет инъекции) < img src = ' // host / 1 / image.jpg ' …

88. 88 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); ../image.jpg Граница окружения Модель атаки (HTML/URL, инъекция URL-пути) < img src = ' // host / 1 / .. / image.jpg ' …

89. 89 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); 'onerror='alert(0) Граница окружения Модель атаки (HTML/URL, инъекция HTML-атрибута) < img src = ' // host / 1 / ' onerror = ' alert ( 0 ) ' …

90. 90 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); '><script>alert(0)</script> Граница окружения Модель атаки (HTML/URL, инъекция HTML-тега) < img src = ' // host / 1 / ' > < script > alert(0) </ script >' …

91. 91 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); Граница окружения Модель атаки (HTML/JavaScript, нет инъекции) … onclick = ' f ( 0 ) ' /> 0

92. 92 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); Граница окружения Модель атаки (HTML/JavaScript, инъекция JavaScript-выражения #1) … onclick = ' f ( alert ( 0 ) ) ' /> alert(0)

93. 93 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); Граница окружения Модель атаки (HTML/JavaScript, инъекция JavaScript-выражения #2) … onclick = ' f ( 0 ) ; alert ( 0 ) ' /> 0); alert(0

94. 94 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); Граница окружения Модель атаки (HTML/JavaScript, инъекция HTML-атрибута) … onclick = ' f ( ' onclick = ' alert ( 0 ) ' /> ' onclick='alert(0

95. 95 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); Граница окружения Модель атаки (HTML/JavaScript, инъекция HTML-тега) … onclick = ' f ( ' > < script > alert ( 0 ) </ script > ) ' /> '><script>alert(0)</script>

96. 96 • Нет атаки — 1 токен в точке инъекции

    • Есть атака — более 1 токена в точке инъекции Посчитаем токены

97. 97 Приложение защищено от атак инъекций тогда, когда в результате

    лексического разбора любого возможного выходного потока данных, на каждую точку инъекции приходится не более одного токена Достаточный критерий защищённости от атак инъекций

98. 98 Что если сама логика приложения подразумевает наличие более одного

    токена в какой-либо точке инъекции? Достаточный критерий не всегда применим

99. 99 01 var a = Request.Params["a"]; 02 03 var b

    = Request.Params["b"]; 04 05 if (a == null) 06 { 07 return; 08 } 09 10 if (b == null) 11 { 12 return; 13 } 14 15 Response.Write($"<img src='//host/1/{a}' onclick='f({b})'/>"); Граница окружения Модель атаки (HTML/JavaScript, нет инъекции) … onclick = ' f ( { "f1" : "val1" , "f2" : "val2" } ) ' /> { "f1": "val1", "f2": "val2" }

100. 100 Приложение защищено от атак инъекций тогда, когда в результате

     лексического разбора любого возможного потока выходных данных, множества токенов, приходящиеся на точки инъекции, являются авторизованными Необходимый критерий защищённости от атак инъекций

101. Runtime Virtual Patching

102. Как скрестить WAF и статанализатор? • Статанализатор строит полную модель

     потока вычисления приложения и передаёт её WAF'у • WAF, при обработке каждого HTTP-запроса, подставляет его параметры в формулы модели, вычисляет значения её состояний и анализирует их по необходимому или достаточному критерию

103. Детектирование атак (1/6) http://host/path?name=adm&key1=validkey&parm=PHNjcmlwdD5hbGVydCgwKTwv c2NyaXB0Pg== Request.Params["name"] + "in" == "admin"

     ⇒ Response.Write({ Request.Params["key1"] == "validkey" ⇒ Encoding.UTF8.GetString({ string.IsNullOrEmpty(Request.Params["parm"]) ⇒ new char[0], !string.IsNullOrEmpty(Request.Params["parm"]) ⇒ Convert.FromBase64String(Request.Params["parm"]) }), Request.Params["key1"] != "validkey" ⇒ "Wrong key!" })

104. Детектирование атак (2/6) http://host/path?name=adm&key1=validkey&parm=PHNjcmlwdD5hbGVydCgwKTwv c2NyaXB0Pg== "adm" + "in" == "admin"

     ⇒ Response.Write({ "validkey" == "validkey" ⇒ Encoding.UTF8.GetString({ string.IsNullOrEmpty("PHNj…") ⇒ new char[0], !string.IsNullOrEmpty("PHNj…") ⇒ Convert.FromBase64String("PHNj…") }), "validkey" != "validkey" ⇒ "Wrong key!" })

105. Детектирование атак (3/6) http://host/path?name=adm&key1=validkey&parm=PHNjcmlwdD5hbGVydCgwKTwv c2NyaXB0Pg== true ⇒ Response.Write({ true ⇒

     Encoding.UTF8.GetString({ false ⇒ new char[0], true ⇒ Convert.FromBase64String("PHNj…") }), false ⇒ "Wrong key!" })

106. Детектирование атак (4/6) http://host/path?name=adm&key1=validkey&parm=PHNjcmlwdD5hbGVydCgwKTwv c2NyaXB0Pg== Response.Write( Encoding.UTF8.GetString( Convert.FromBase64String("PHNj…") ) )

107. Детектирование атак (5/6) http://host/path?name=adm&key1=validkey&parm=PHNjcmlwdD5hbGVydCgwKTwv c2NyaXB0Pg== Response.Write("<script>alert(0)</script>")

108. Детектирование атак (6/6) http://host/path?name=adm&key1=validkey&parm=PHNjcmlwdD5hbGVydCgwKTwv c2NyaXB0Pg== Response.Write("<script>alert(0)</script>") HTML < script >

     alert ( 0 ) </ script > 10 токенов

109. LibProtection

110. Основная идея LibProtection Что, если построение и вычисление предикатов состояний

     возложить на… разработчика приложения?

111. 111 LibProtection — библиотека с открытым под MIT-лицензией кодом, использующая

     рассмотренную модель и позволяющая разработчикам: • полностью автоматизировать защиту от атак инъекций по достаточному критерию; • реализовывать защиту по необходимому критерию. libprotection.org playground.libprotection.org (ждём байпассов ☺) Что такое LibProtection

112. 112 01 Response.Write( 02 SafeString.Format<Html>( 03 $"<img src='//host/1/{a}' onclick='f({b})'/>" 04

     )); Как это работает (1/9)

113. 113 Как это работает (2/9) <img src='//host/1/{a}' onclick='f("{b}")'/>

114. 114 Как это работает (2/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}' onclick='f("{b}")'/>

115. 115 Как это работает (3/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}' onclick='f("{b}")'/>

     <img src='//host/1/'onerror='alert(0)' onclick='f("");alert(0)//")'/>

116. 116 Как это работает (4/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}' onclick='f("{b}")'/>

     <img src='//host/1/'onerror='alert(0)' onclick='f("");alert(0)//")'/> < img src = ' // host / 1 / ' onerror = ' alert ( 0 ) ' onclick = ' f ( "" ) ; alert ( 0 ) //" ) ' />

117. 117 Как это работает (5/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}' onclick='f("{b}")'/>

     <img src='//host/1/'onerror='alert(0)' onclick='f("");alert(0)//")'/> < img src = ' // host / 1 / ' onerror = ' alert ( 0 ) ' onclick = ' f ( "" ) ; alert ( 0 ) //" ) ' /> UrlEncode JavaScriptStringEncode

118. 118 Как это работает (6/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}' onclick='f("{b}")'/>

     <img src='//host/1/'onerror='alert(0)' onclick='f("");alert(0)//")'/> < img src = ' // host / 1 / ' onerror = ' alert ( 0 ) ' onclick = ' f ( "" ) ; alert ( 0 ) //" ) ' /> UrlEncode JavaScriptStringEncode <img src='//host/1/{a}' onclick='f("{b}")'/>

119. 119 Как это работает (7/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}' onclick='f("{b}")'/>

     <img src='//host/1/'onerror='alert(0)' onclick='f("");alert(0)//")'/> < img src = ' // host / 1 / ' onerror = ' alert ( 0 ) ' onclick = ' f ( "" ) ; alert ( 0 ) //" ) ' /> UrlEncode JavaScriptStringEncode <img src='//host/1/{a}' onclick='f("{b}")'/> <img src='//host/1/%27onerror%3D%27alert%280%29' onclick='f("\&quot;);alert(0)//")'/>

120. 120 Как это работает (8/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}' onclick='f("{b}")'/>

     <img src='//host/1/'onerror='alert(0)' onclick='f("");alert(0)//")'/> < img src = ' // host / 1 / ' onerror = ' alert ( 0 ) ' onclick = ' f ( "" ) ; alert ( 0 ) //" ) ' /> UrlEncode JavaScriptStringEncode <img src='//host/1/{a}' onclick='f("{b}")'/> <img src='//host/1/%27onerror%3D%27alert%280%29' onclick='f("\&quot;);alert(0)//")'/> < img src = ' // host / 1 / %27onerror%3D%27alert%280%29 ' onclick = ' f ( "\&quot;);alert(0)//" ) ' />

121. 121 Как это работает (9/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}' onclick='f("{b}")'/>

     <img src='//host/1/'onerror='alert(0)' onclick='f("");alert(0)//")'/> < img src = ' // host / 1 / ' onerror = ' alert ( 0 ) ' onclick = ' f ( "" ) ; alert ( 0 ) //" ) ' /> UrlEncode JavaScriptStringEncode <img src='//host/1/{a}' onclick='f("{b}")'/> <img src='//host/1/%27onerror%3D%27alert%280%29' onclick='f("\&quot;);alert(0)//")'/> < img src = ' // host / 1 / %27onerror%3D%27alert%280%29 ' onclick = ' f ( "\&quot;);alert(0)//" ) ' />

122. Области применения LibProtection • Быстрый патчинг уязвимого кода, использующего форматные

     и интерполированные строки • Штатная защита кода там, где форматные строки или интерполяция неизбежны Что, если скрестить LibProtection и статанализатор? ;)

123. Спасибо за внимание! ptsecurity.ru