Este documento describe varios ataques de lado cliente como XSS, CSRF, robo de sesiones y HTTP Response Splitting. Explica cómo XSS permite ejecutar código en el contexto del usuario y robar sesiones. También cubre cómo prevenir estos ataques mediante el filtrado de entrada, el uso de bibliotecas de codificación y configuraciones como HTTPOnly y X-FRAME-OPTIONS.

1. Client-Side attacks in Web applications Alejandro Martín amartin@informatica64.com

2. Agenda Introducción Ataques XSS (Cross Site Scripting) CSRF (Cross SiteRequestForgey) SessiónHijacking SessionFixation SessionSidejacking Cookie Hijacking Clicjacking HTTP Response Splitting

3. OWASP Top 10 2010

4. Definición Vulnerabilidad presente en una gran cantidad de páginas, hasta convertirse en la número 1 del TOP 10 del 2007 y número 2 en 2010 Muy peligrosa pese a que, por desgracia, se le suele dar poca importancia

5. Tipos de XSS XSS Permanente Datos enviados desde el cliente para su almacenamiento en el Servidor Datos que van a ser visualizados por otros clientes/usuarios Al devolver los datos el Servidor al navegador cliente se produce la manipulación de la página en el navegador cliente

6. Tipos de XSS XSS no permanente El atacante monta un enlace aprovechando un parámetro vulnerable a XSS donde realiza la manipulación Envía el enlace de alguna manera a la victima (e-mal, foros, Twitter, etc.) que al hacer clic obtiene la página web “manipulada”

7. Riesgos Ejecución de código en contexto el usuario que visualiza los datos Navegación dirigida Phising Spyware Robo de credenciales Ejecución de acciones automáticas Defacement

8. Robo de Sesiones (XSS) Mediante esta técnica se puede robar sesiones de una manera bastante sencilla Bastaría con realizar un script que llamase a una página alojada en nuestro servidor pasándole la cookie Este Script se colaría en el servidor de la victima aprovechando un punto vulnerable a XSS Cuando un usuario este logueado en el servidor y ejecute el script se enviara a nuestro servidor el contenido de la cookie Una vez que la página obtiene la cookie (almacenándola por ejemplo en un fichero) mediante programas como Burpsuite se puede hacer una llamada al servidor pasándole la cookie original

9. Robo de Sesiones (XSS) Por supuesto esta cookie es válida para robar la sesión solo mientras el usuario no cierre la sesión

10. Robo de sesiones (SessionFixation) Consiste en proporcionar un enlace (GET/POST), junto con el identificador de sesión, a la victima. Si esta inicia sesión con ese identificador el atacante puede utilizarlo para suplantar su sesión

11. Robo de sesiones (SessionFixation) Si el servidor no admite identificadores de Sesión por GET/POST sería posible utilizar XSS para sobrescribir el valor del identificador

12. Impedir acceso a la cookie mediante javascript Para evitar el robo de la sesión, mediante ataques XSS se utiliza el flagHTTPOnly, que impide el acceso a la cookie desde el navegador, siempre y cuando este lo soporte. Test HTTPOnly: http://greebo.net/owasp/httponly.php

13. Robo de sesión (Sessionsidejacking) Otra técnica para robar sesiones consiste en esnifar la red a la espera de cookies conocidas, utilizadas par mantener la sesión. Valido para aquellos sitio web que realizan inicio de sesión bajo SSL, pero acto seguido trabajan bajo HTTP. Firesheep Facebook Twitter Tuenti …

14. Robo de sesión (Sessionsidejacking)

17. Red cableada, wifi, Dan Kaminsky's DNS hijack attack, ...

18. Haremos que la victima haga peticiones GET a imagenes de los portales a los que la victima accede

20. HTTP Response Splitting Conseguir introducir en la respuesta del servidor el retorno de carro (CR 0x0D) y cambio de línea (LF 0x0Q) para: Establecer encabezados Modificar el cuerpo de la respuesta Dividir la respuesta en partes Todo ello con el objetivo de realizar: Ataques XSS Defacement Cache poisoning …

21. HTTP Response Splitting Ejemplo: http://192.168.2.100:8080/UEM/registro.jsp?page=registro.html Resultado <% response.sendRedirect(request.getParameter("page")); %>

22. HTTP Response Splitting Ejemplo: http://192.168.2.100:8080/UEM/registro.jsp?page=registro.html%0D%0ALocation: javascript:%0D%0A%0D%0A<script>alert(document.cookie)</script> Resultado HTTP/1.1 302 Moved Temporarily Server: Apache-Coyote/1.1 X-Powered-By: Servlet 2.5; JBoss-5.0/JBossWeb-2.1 Location=http://192.168.2.100:8080/UEM/registro.html Location: javascript: <script>alert(document.cookie)</script> Content-Type=text/html;charset=ISO-8859-1 ..

24. Iframe donde se carga una página que requiere de autenticación (el usuario debe haberse validado antes) y se autorizan las acciones mediante clics (la diferencia con CSRF).

25. A lo largo del año 2009, sitios como Twitter o Facebook han adolecido de estas vulnerabilidades.

27. Cross Domain Request Inconveniente para los programadores: No es posible realizar peticiones AJAX a recursos que se encuentren en otros dominios. Soluciones W3C: Extiendo el objeto XMLHttpRequest Microsoft: XDomainRequest en IE8 Seguridad: Access-Control-Allow-Origin: Permite definir los dominios que pueden llamar a la página mediante AJAX (se permite el comodín *) Access-Control-Allow-Credentials: Es necesario utilizar XDomainRequest con el atributo “withCredentials” de modo que se mantiene una sesión con cookies, pudiendo el servidor realizar validaciones

28. ¿Qué hago como desarrollador? ASP.NET XSS habilitado por defecto en todas las páginas Para deshabilitarlo: <%@ Page… validateRequest=“false” … %> Microsoft Anti-Cross Site Scripting Library 1.5 Aglutina una serie de métodos para codificar la salida: HtmlEncode, HtmlAttributeEncode, JavaScriptEncode, UrlEncode, VisualBasicScriptEncode, XmlEncode, XmlAttributeEncode http://www.microsoft.com/downloads/details.aspx?FamilyId=EFB9C819-53FF-4F82-BFAF-E11625130C25&displaylang=en

29. Filtrar la entrada Listas negras vs listas blancas Palabras/Caracteres prohibidos Script, <, >, ‘, ‘’, … Caracteres/Construcciones permitidas Uso intensivo de expresiones regulares [A-Za-z0-9.,_]{0,10} [A-Z0-9._%-]+@[A-Z0-9.-]+[A-Z]{2,4} ¿Qué hago como desarrollador? ¿Qué técnica uso?

30. ¿Qué hago como desarrollador? Java Trabajando con Struts utilizar para salida mecanismos como: <bean: write …> Trabajando con JSLT (JavaServerPages Standard Tag Library) utilizar por defecto la opción: escapeXML = “true” No usar nunca: <%= …%> <jsp:getProperty property=“…" name=“…"/> ${bean.property}

31. ¿Qué hago como desarrollador? PHP Utilizar htmlentities() o htmlspecialchars() OWASP PHP AntiXSS Library SafeHTML v.1.3.7 Anti-XSS HTML Parser http://pixel-apes.com/safehtml/?page=safehtml