Upgrade to Pro — share decks privately, control downloads, hide ads and more …

LibProtection: 6 месяцев спустя

Vladimir Kochetkov
May 16, 2018
Programming
0
280

LibProtection: 6 месяцев спустя

Vladimir Kochetkov

May 16, 2018
Tweet

More Decks by Vladimir Kochetkov

See All by Vladimir Kochetkov
JavaScript: анализируем динамику статикой
kochetkov
0
260
Подводные камни параметризации и объектного подхода
kochetkov
0
200
Идеальный статический анализ
kochetkov
0
240
OWASP TOP 10 2017 для .NET
kochetkov
0
230
Формальное моделирование уязвимостей
kochetkov
0
380
LibProtection: побеждая инъекции
kochetkov
0
320
Побеждая инъекции
kochetkov
0
210
Итак, в вашем коде нашли инъекцию... (Ростов)
kochetkov
0
190
Итак, в вашем коде нашли уязвимость к инъекции... (mail.ru)
kochetkov
0
320

Other Decks in Programming

See All in Programming
카카오페이는 어떻게 수천만 결제를 처리할까? 우아한 결제 분산락 노하우
kakao
PRO
0
110
3 Effective Rules for Using Signals in Angular
manfredsteyer
PRO
1
100
LLM生成文章の精度評価自動化とプロンプトチューニングの効率化について
layerx
PRO
2
190
【Kaigi on Rails 2024】YOUTRUST スポンサーLT
krpk1900
1
330
レガシーシステムにどう立ち向かうか 複雑さと理想と現実/vs-legacy
suzukihoge
14
2.2k
ActiveSupport::Notifications supporting instrumentation of Rails apps with OpenTelemetry
ymtdzzz
1
230
Amazon Bedrock Agentsを用いてアプリ開発してみた!
har1101
0
330
色々なIaCツールを実際に触って比較してみる
iriikeita
0
330
AWS IaCの注目アップデート 2024年10月版
konokenj
3
3.3k
距離関数を極める! / SESSIONS 2024
gam0022
0
280
Enabling DevOps and Team Topologies Through Architecture: Architecting for Fast Flow
cer
PRO
0
310
TypeScriptでライブラリとの依存を限定的にする方法
tutinoko
2
660

Featured

See All Featured
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
We Have a Design System, Now What?
morganepeng
50
7.2k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
506
140k
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.5k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Optimising Largest Contentful Paint
csswizardry
33
2.9k

Transcript

  1. Заголовок ptsecurity.com LibProtection – 6 месяцев спустя Positive Technologies Владимир

    Кочетков

  2. Заголовок 2 Мечтать не вредно? (1/2) 01 Response.Write( 02 $"<img

    src='//host/1/{a}' onclick='f({b})'/>" 03 );

  3. Заголовок 3 Мечтать не вредно? (2/2) 01 Response.Write( 02 SafeString.Format<Html>(

    03 $"<img src='//host/1/{a}' onclick='f({b})'/>" 04 ));

  4. Заголовок 4 Что такое LibProtection (1/3) LibProtection — библиотека с

    открытым под MIT-лицензией кодом, позволяющая разработчикам: • полностью автоматизировать защиту от атак инъекций по достаточному критерию; • реализовывать защиту по необходимому критерию. libprotection.org playground.libprotection.org (всё ещё ждём байпассов )

  5. Заголовок 5 Что такое LibProtection (2/3) Для защиты от атак

    в LibProtection реализованы: • автоматическая санитизация данных в точках инъекций там, где это возможно; • автоматическая валидация данных в точках инъекций по достаточному критерию (детектирование атаки) там, где невозможна санитизация; • возможность переопределения функций валидации и санитизации для обеспечения необходимого критерия.

  6. Заголовок 6 Что такое LibProtection (3/3) Поддерживаемые языки: • .NET,

    C++, JVM (Q4 2017 – Q2 2018) • PHP, Python, Ruby (2018) Текущий статус .NET, C++, JVM, JavaScript: пре-релиз. Поддерживаемые грамматики: SQL, HTML, JavaScript, URL, файловые пути

  7. Заголовок 7 LibProtection API: методы (.NET) // Форматирование строки с

    автоматической санитизацией и валидацией string SafeString<T>.Format(FormattableString formattable) string SafeString<T>.Format(string format, params object[] args) // Try-версия Format bool SafeString<T>.TryFormat(FormattableString formattable, out formatted) bool SafeString<T>.TryFormat(string format, out formatted, params object[] args) T { Sql, Html, JavaScript, Url, FilePath }

  8. Заголовок 8 Как это работает (/9) 01 Response.Write( 02 SafeString.Format<Html>(

    03 $"<img src='//host/1/{a}' onclick='f({b})'/>" 04 ));

  9. Заголовок 9 Как это работает (1/9) <img src='//host/1/{a}' onclick='f("{b}")'/>

  10. Заголовок 10 Как это работает (2/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}'

    onclick='f("{b}")'/>

  11. Заголовок 11 Как это работает (3/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}'

    onclick='f("{b}")'/> <img src='//host/1/'onerror='alert(0)' onclick='f("");alert(0)//")'/>

  12. Заголовок 12 Как это работает (4/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}'

    onclick='f("{b}")'/> <img src='//host/1/'onerror='alert(0)' onclick='f("");alert(0)//")'/> < img src = ' // host / 1 / ' onerror = ' alert ( 0 ) ' onclick = ' f ( "" ) ; alert ( 0 ) //" ) ' />

  13. Заголовок 13 Как это работает (5/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}'

    onclick='f("{b}")'/> <img src='//host/1/'onerror='alert(0)' onclick='f("");alert(0)//")'/> < img src = ' // host / 1 / ' onerror = ' alert ( 0 ) ' onclick = ' f ( "" ) ; alert ( 0 ) //" ) ' /> UrlEncode JavaScriptStringEncode

  14. Заголовок 14 Как это работает (6/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}'

    onclick='f("{b}")'/> <img src='//host/1/'onerror='alert(0)' onclick='f("");alert(0)//")'/> < img src = ' // host / 1 / ' onerror = ' alert ( 0 ) ' onclick = ' f ( "" ) ; alert ( 0 ) //" ) ' /> UrlEncode JavaScriptStringEncode <img src='//host/1/{a}' onclick='f("{b}")'/>

  15. Заголовок 15 Как это работает (7/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}'

    onclick='f("{b}")'/> <img src='//host/1/'onerror='alert(0)' onclick='f("");alert(0)//")'/> < img src = ' // host / 1 / ' onerror = ' alert ( 0 ) ' onclick = ' f ( "" ) ; alert ( 0 ) //" ) ' /> UrlEncode JavaScriptStringEncode <img src='//host/1/{a}' onclick='f("{b}")'/> <img src='//host/1/%27onerror%3D%27alert%280%29' onclick='f("\&quot;);alert(0)//")'/>

  16. Заголовок 16 Как это работает (8/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}'

    onclick='f("{b}")'/> <img src='//host/1/'onerror='alert(0)' onclick='f("");alert(0)//")'/> < img src = ' // host / 1 / ' onerror = ' alert ( 0 ) ' onclick = ' f ( "" ) ; alert ( 0 ) //" ) ' /> UrlEncode JavaScriptStringEncode <img src='//host/1/{a}' onclick='f("{b}")'/> <img src='//host/1/%27onerror%3D%27alert%280%29' onclick='f("\&quot;);alert(0)//")'/> < img src = ' // host / 1 / %27onerror%3D%27alert%280%29 ' onclick = ' f ( "\&quot;);alert(0)//" ) ' />

  17. Заголовок 17 Как это работает (9/9) 'onerror='alert(0) ");alert(0) <img src='//host/1/{a}'

    onclick='f("{b}")'/> <img src='//host/1/'onerror='alert(0)' onclick='f("");alert(0)//")'/> < img src = ' // host / 1 / ' onerror = ' alert ( 0 ) ' onclick = ' f ( "" ) ; alert ( 0 ) //" ) ' /> UrlEncode JavaScriptStringEncode <img src='//host/1/{a}' onclick='f("{b}")'/> <img src='//host/1/%27onerror%3D%27alert%280%29' onclick='f("\&quot;);alert(0)//")'/> < img src = ' // host / 1 / %27onerror%3D%27alert%280%29 ' onclick = ' f ( "\&quot;);alert(0)//" ) ' />

  18. Заголовок 18 LibProtection API: форматные модификаторы // Отключение валидации и

    санитизации :safe // Переопределение валидатора :validate(method-name) method-name Func<string,bool> // Переопределение санитизатора :sanitize(method-name) method-name Func<string, string> // Переключение режима валидации :weak, :normal, :strong

  19. Заголовок 19 Режимы валидации • ValidationMode.Weak • Подсчёт токенов •

    Проверка категорий токенов • ValidationMode.Normal • Подсчёт токенов • Проверка категорий токенов • Контроль запрещённых токенов • ValidationMode.Strong (по умолчанию) • Контроль запрещённых токенов • Подсчёт токенов • Проверка категорий токенов

  20. Заголовок 20 Области применения LibProtection • Быстрый патчинг уязвимого кода,

    использующего форматные и интерполированные строки • Штатная защита кода там, где форматные строки или интерполяция неизбежны Что, если скрестить LibProtection и технологии SAST или DAST? ;)

  21. Заголовок 21 Влияние на производительность Незначительно замедляется обработка запросов, непосредственно

    приводящих приложение в точку выполнения потенциально опасной операции: Штатный трафик Атаки +1..3% +3..5%

  22. Заголовок 22 Neex (https://github.com/LibProtection/libprotection-dotnet/issues/45, false negative): SELECT * FROM myTable

    WHERE id = {0} AND myColumn = '{1}' /* legit comment */ 1 /* h<censored>a Байпасы и баги? Их есть у нас! (1/4)

  23. Заголовок 23 Frydaykg (https://github.com/LibProtection/libprotection- dotnet/issues/35, false positive): SELECT * FROM

    myTable WHERE '{0}' = 'any' and 1={1} \ 1 Байпасы и баги? Их есть у нас! (2/4)

  24. Заголовок 24 Frydaykg (https://github.com/LibProtection/libprotection- dotnet/issues/41, not a bug): {0}/{1} jsFile.js

    ?a jsFile.js a? Байпасы и баги? Их есть у нас! (3/4)

  25. Заголовок 25 Tank1st99 (https://github.com/LibProtection/libprotection- dotnet/issues/35, false positive & negative): <a

    href="#" onclick="alert(&quot;{0}&quot;);">test</a> False Positive <a href='#' onclick='alert(&quot;"{0}"&quot;);'>XSS</a> +alert(2)+ <a href="#" onclick='alert("Tom&{0}");'>XSS?</a> quot;);alert(2);// Байпасы и баги? Их есть у нас! (4/4)

  26. Заголовок ptsecurity.com Спасибо! Спасибо!