сервером – веб-сервер, а протоколом взаимодействия между ними – веб-протокол Базовый состав • Веб-браузер • Веб-сервер / Сервер приложений • СУБД Определение
в самом приложении • Legacy • Third-party Необходимый механизм защиты отсутствует или сложно реализуем • Защита от подбора паролей • Управление доступом • Защита от нежелательной автоматизации Необходимо немедленно устранить обнаруженную уязвимость до ее реального устранения в исходном коде А что если …?
Текущий подход: разрабатывать приложения защищенными, а не полагаться на внешние механизмы защиты Владимир Кочетков. Как разработать защищенное веб-приложение и не сойти при этом с ума Как правильно защищать приложения?
a set of rules to an HTTP conversation • A security solution on the web application level which does not depend on the application itself • A security policy enforcement point positioned between a web application and the client end point. This functionality can be implemented in software or hardware, running in an appliance device, or in a typical server running a common operating system. It may be a stand-alone device or integrated into other network components Что такое WAF? Web Application Firewall Evaluation Criteria
и число заголовков, …) • Обнаружение инъекций Mitigative - ослабление атак, от которых трудно защититься • Проверка на соответствие RFC • Аутентификация сообщений • Шифрование URL или скрытых полей • Маскирование данных • Блокирование IP-адреса или завершение сессии Предотвращение (prevention) – предотвращение использования обнаруженных уязвимостей • Виртуальный патчинг Механизмы защиты
запроса в ответе (Reflected XSS, Open Redirect, HTTP Response Splitting) • обнаружение успешной эксплуатации уязвимости (например, наличие вектора Path Traversal в запросе и содержимого файла /etc/passwd в ответе) • User tracking – ассоциирование запросов и ответов с учетными записями пользователей защищаемого веб-приложения Обработка транзакций
scanning • Account takeover • HTTP slow DoS attacks • L7 DDoS • Fraud Механизмы защиты реализуются на основе машинного обучения или счетчиков (например, max requests per second, max 404 errors per minute и т.д.) Поведенческий анализ
(recognizer) языков атак на веб- приложения Можно распознать эквивалентный или менее мощный язык Теория формальных языков Грамматика Распознаватель Типа 0 Машина Тьюринга Контекстно-зависимая Линейно-ограниченный автомат Недетерминированная контекстно-свободная Недетерминированный автомат с магазинной памятью Детерминированная контекстно-свободная Недетерминированный автомат с магазинной памятью Регулярная Конечный автомат LangSec: Language-theoretic security
помощью регулярного выражения Различимость парсеров (parser differentials) • одни и те же входные данные распознаются парсерами по-разному Входные данные сложнее чем детерминированный контекстно- свободный язык Проблемы M. Patterson, S. Bratus, etc. The Seven Turrets of Babel: A Taxonomy of LangSec Errors and How to Expunge Them
' or '1 ' = '1 Язык инъекций как минимум содержит цепочки (вектора) целевого языка, а значит является КС-языком • select * from foo where id = <injection> • (select ((1))) При этом префикс и постфикс являются контекстно-зависимыми Проблемы
Framework • Event Validation • View State MAC WAF • ModSecurity: HMAC Token Protection • F5 Networks ASM: Dynamic Content Value • Citrix NetScaler: Form Signature • PT AF: Form Signing Механизм защиты
для различных клиентов Наличие в формах опциональных элементов • Checkbox • Option • Radio Идентификация защищаемых форм в HTTP-ответах Идентификация скрытых элементов форм в HTTP-запросах Ввод данных на стороне клиента Сложности на практике
p', h(k, p) Server: h(k, p) = h(k, p') Как использовать этот протокол если значение p формируется в браузере на основе ввода пользователя? Ввод данных на стороне клиента
Проверка наличия токена 4. Для POST-запроса по полученному URL выполняется поиск политики 5. Если политика найдена, то распаковываются данные из токена 6. Проверка опциональных и скрытых полей, если они есть 7. Формирование ABS и его проверка Метод проверки токена
средствами JavaScript • Нельзя защитить формы, отправленные средствами JavaScript • Необходимо различать запросы, отправленные средствами веб-форм от запросов AJAX • Сложно защитить формы, отправляемые на сервер методом GET Ограничения метода
же формату и виду, к каким приведет его защищаемое веб-приложение • эквивалентный парсинг T. Ptacek, T.Newsham. Insertaion, Evasion, and Denial of Service: Eluding Network Intrusion Detection. Secure Networks, Inc. 1998 Ivan Ristic. Protocol-Level Evasion of Web Application Firewalls Нормализация
атак Имеется L – регулярный язык атак, заданный регулярными выражениями R Если входное слово принадлежит языку L, т. е. допускается регулярным выражением из R, то входное слово – атака Лексический подход
POST botnet REQUEST_METHOD is POST and REQUEST_URI is /q deny rule 12345679 Anonymous attack REQUEST_METHOD is GET and REQUEST_URI begins /?msg=Nous%20sommes%20Anonymous deny Simple POST Botnet
данный подход был адаптирован для обнаружения XSS Реализован в библиотеке libinjection Основные идеи • Токенизация в соответствии с универсальной грамматикой лексера в 3-х контекстах • Строится свертка токенов • Строка из первых пяти токенов ищется в базе сигнатур • База сигнатур строится по популярным векторам атак Лексико-сигнатурный подход
• "Dr. Who" and coffee • "SWEATER DRESS" AND "CHRISTMAS” Пропуски • Неизвестные токены • Неизвестные контексты Недостатки Ivan Novikov. How to bypass libinjection in many WAF/NGWAF Reto Ischi. An Alternative Approach for Real-life SQLi Detecion
работе Роберта Хансена и Мередит Паттерсон «Guns and Butter: Towards Formal Axioms of Input Validation» для Black Hat 2005 «Сontext-free parse tree validation» • По известным запросам приложения грамматика для SQL преобразуется в грамматику для subSQL • По построенной грамматике генерируется парсер • Парсер subSQL распознает только цепочки подъязыка SQL этого приложения Robert J. Hansen, Meredith L. Patterson. Guns and Butter: Towards Formal Axioms of Input Validation Синтаксический подход
DOMSanitizer Грамматические • libdetection (Wallarm) • libdejection (PT AF, DBFW) • libprotection (PT AI) В идеале необходимо использовать парсеры целевых компьютерных систем, для предотвращения уязвимостей типа «parser differentials» Новые методы
построенном дереве разбора s по грамматике G содержится хотя бы одна опасная инструкция • 11111 • alert(1) Базовая идея – с использованием готового парсера построить дерево разбора; если дерево разбора содержит запрещенные узлы-нетерминалы, то исходная строка является инъекцией Характеристики подхода • Возможность использования готовых парсеров • Универсальность • Эвристичность • Различимость парсеров Ленивый метод
типов узлов Для уменьшения числа ложных срабатываний могут быть использованы дополнительные проверки на основе родительских или дочерних узлов Что делать, когда дерево разбора не может быть построено? ""};alert(1);var f={t:" Поиск вредоносного кода
инъекцией в контексте CTX? 1. Построить tokens – список токенов s в CTX 2. Построить дерево разбора для S в CTX 3. Если в дереве есть запрещенные узлы, то S – инъекция 4. Иначе удалить из S следующий токен 5. Если S – непустая строка, то перейти на шаг 2 Метод поиска с левым приведением
detected = false, tree ; acorn.plugins.detectCallExpression = function(parser) { parser.extend('finishNode', function(nextMethod) { return function(code, node) { if(node === 'CallExpression') { detected = true; } return nextMethod.call(this, code, node); } }) }; tree = acorn.parse(dirty, {plugins: {detectCallExpression: true}}); if (detected) { return 'xss'; } return dirty; } Acorn is designed support allow plugins which, within reasonable bounds, redefine the way the parser works. Plugins can add new token types and new tokenizer contexts (if necessary), and extend methods in the parser object
require('esprima'), detected = false, tree; tree = esprima.parse(dirty, {}, function(node, meta) { if(node.type === 'CallExpression') { detected = true; } }); if (detected) { return 'xss'; } return dirty; } sanitize(';alert(1);var f={t:') // 'xss' A powerful feature available in Esprima since version 3.0 is the ability to invoke a callback function after every syntax node in the abstract syntax tree is created, often referred as the syntax delegate Ariya Hidayat. On-the-fly JavaScript Syntax Node Inspection.
function escape(input) { // You know the rules and so do I input = input.replace(/"/g, ''); return '<body onload="think.out.of.the.box(' + input + ')">'; } return '<body onload="think.out.of.the.box()},{0:prompt(1)">'; "… the solution might work for some older versions of Chrome, while for others, a different vector would be needed…"
приводит к неизбежному росту числа ложных срабатываний • CallExpression: 123(1+1) Ограничиваются правила толерантности парсера Толерантность к ошибкам А. Перцев, Д. Колегов. Эвристический метод обнаружения DOM-based XSS с использованием толерантных синтаксических анализаторов
HTML, MathML and SVG" Адрес проекта https://github.com/cure53/DOMPurify Особенности • Точный механизм • Инструмент для разработчиков • Удаление вредоносного и запрещенного кода из HTML / MathML / SVG • Поддерживает механизм хуков DOMPurify
к атаке • SAST • DAST Особенности • Использование механизма правил, а не сигнатур • Возможно использование сложных алгоритмов защиты (CSRF, IDOR) Виртуальный патчинг Ryan Barnett. WAF Virtual Patching Challenge
наличия уязвимости Знать как есть: доказать наличие этих условий в анализируемом коде защищаемого приложения Устранить хотя бы одно из необходимых условий путем изменения исходного кода защищаемого приложения Как сгенерировать патч В. Кочетков. Автоматическая генерация патчей для уязвимого исходного кода
наличия уязвимости Знать как есть: доказать наличие этих условий в защищаемом приложении Сделать невозможным выполнение хотя бы одного из необходимых условий путем изменения запросов к защищаемому приложению Как сгенерировать виртуальный патч
По найденным уязвимостям создается отчет • Отчет содержит перечень найденных уязвимостей и автоматически сгенерированные эксплойты • По полученным эксплойтам генерируются сигнатуры и итоговые правила виртуальных патчей Метод защиты
нет возможности сообщить WAF информацию о том, какие значения должны принимать оба параметра запроса для атаки • Более того, из-за неизвестного преобразования не сработают и все другие подходы Метод защиты
разработать защищенное веб-приложение и не сойти с ума? Д. Колегов, А. Реутов. Waf.js: как защитить веб-приложение с помощью JavaScript. А. Петухов. Обзор ограничений современных технологий в области ИБ. I. Markovic. HTTP Parameter Contamination. I. Ristic. Protocol-Level Evasaion of Web Application Firewalls. Z. Su, G. Wassermann. The Essence of Command Injection Attacks in Web Applications. D. Kolegov, O. Broslavsky, N. Oleksov. White-Box HMAC S. Bratus, M. Patterson, etc. Security Applications of Formal Language Theory S. Bratus, M. Patterson, etc. A Taxonomy of LangSec Errors and How to Expunge Them
dnkolegov
maruto
goyoki
righttouch
harunatsujita
azuki
javiergs
oheyadam
tkikuc
rkaga
happymana
izumin5210
cer
paulrobertlloyd
palkan
ddemaree
jmmastey
tammyeverts
eitanlees
sachag
holman
sergeychernyshev
62gerente
eileencodes
danielanewman
![Заголовок Лексический подход (?:\/[^\?\/]+\.(?:bat|cmd|ps1|wsf|sh|wsh|hta|vbs|vbe)(?:\;[^\?\/]*)?\?)|\?.+\=.*(?:(?:ActiveXObject|CreateObject|Exec)\((?:"|')|\((?:'| ")WScript\.Shell) LDAP Search Filter Injection (?:\((?:\W*?(?:objectc(?:ategory|lass)|homedirectory|[gu]idnumber|cn)\b\W*?=|[^\w\x80-\xFF]*?[\!\&\|][^\w\x80-](https://files.speakerdeck.com/presentations/185dd85905134e0bbb30267430e45908/slide_91.jpg){kind=link}
![Заголовок Пример 1: эксплойт // page.php <?php $name = $_GET["name"];](https://files.speakerdeck.com/presentations/185dd85905134e0bbb30267430e45908/slide_157.jpg){kind=link}
