SlideShare uma empresa Scribd logo

Обнаружение уязвимостей в механизме авторизации веб-приложении

Andrew Petukhov
Andrew Petukhov

Доклад был сделан на конференции РусКрипто 2010. Подробности здесь: http://www.ruscrypto.ru/sources/conference/rc2010/

Tecnologia
1 de 13
Baixar para ler offline
Обнаружение уязвимостей в механизме авторизации веб-приложений Андрей Петухов, Георгий Носеевич Лаборатория вычислительных комплексов Факультет ВМиК МГУ имени М. В. Ломоносова
Мотивация По данным статистики WASC за 2008 год: • Insufficient authorization: – В автоматическом режиме найдена в 0.13% сайтов – В ручном режиме найдена в 14.82% сайтов – Разница – в 100 раз! • XSS – В автоматическом режиме найдена в 37.66% сайтов – В ручном режиме найдена в 56.41% сайтов • SQLI – В автоматическом режиме найдена в 11.65% сайтов – В ручном режиме найдена в 16.16% сайтов • Коррелирует со статистикой WhiteHat 2
В чем же трудность? • Механизм авторизации выполняет задачу по защите данных и/или функциональности веб-приложения от несанкционированного доступа • В идеале: – понятие несанкционированного доступа определяется явно – описывается в политике разграничения доступа – входит в состав исходных требований к веб-приложению – понятно, как формализовать уязвимость механизма авторизации • В реальности: – политика разграничения доступа отсутствует – механизм авторизации реализуется на основе здравого смысла – как формализовать уязвимость механизма авторизации - вопрос 3
Рабочее предположение • Веб-интерфейс является неявным источником информации о правилах разграничения доступа • Уязвимостью контроля доступа считается ситуация, когда пользователь может успешно произвести HTTP- запрос, не предусмотренный интерфейсом веб- приложения • Аргументы в пользу адекватности предположения: – корректность пользовательского интерфейса проверяется на этапе функционального тестирования и этапе сдачи-приемки – можно ожидать, что все ссылки/формы, которые «не должны быть» в интерфейсе того или иного пользователя, будут убраны 4
Пример уязвимости • Приложение банк-клиент • Имеет страницу «детализация транзакций по счету» • В пользовательском интерфейсе переход на страницу реализован через ссылки вида: /TransactionDetails.aspx?account_no=5204320422040001 • Подменив значение параметра account_no, получаем информацию по счетам других пользователей. Налицо горизонтальная эскалация привилегий • Заметим, что пример удовлетворяет определению, данному ранее: пользователи могут сделать HTTP- запросы, не предусмотренные их интерфейсом 5
Существующий метод Единственный известный метод для проверки механизма авторизации без политики разграничения доступа – «differential analysis» • Пусть даны два пользователя: user1 и user2 • Построим «карту ссылок» веб-приложения, видимых пользователю user1 – Sitemap1, и карту ссылок, видимых пользователю user2 – Sitemap2 • Проверим возможность доступа: - к ресурсам Sitemap1Sitemap2 от имени пользователя user2 - к ресурсам Sitemap2Sitemap1 от имени пользователя user1 • Если доступ успешен, то сообщаем о наличии уязвимости: - горизонтальная эскалация привилегий, если роли одинаковые - вертикальная эскалация привилегий, если роли разные 6
Ограничение существующего метода • «Карта ссылок» – динамическая сущность, которая зависит от состояния веб-приложения, Sitemap(state) • В сложных приложениях не существует такого состояния state, что из интерфейса Sitemap(state) можно было бы выполнить любой сценарий использования • Для обеспечения полноты анализа необходимо: – найти последовательность состояний {statei} и переходов между ними такую, что для любого сценария использования найдется интерфейс Sitemap(statej), из которого он может быть запущен – уметь строить карту ссылок для каждого состояния приложения • После применения «differential analysis» для каждого состояния {statei} анализ будет полным 7
Предлагаемый метод (1 из 2) • Найти последовательность состояний {statei} и переходов между ними такую, что для любого сценария использования найдется интерфейс Sitemap(statej), из которого он может быть запущен • Идея решения: – построить граф зависимостей между сценариями использования – линеаризовать граф в последовательность состояний и переходов между ними – интерфейсные элементы, реализующие переходы между состояниями, должны использоваться только после построения карты ссылок в текущем состоянии 8
Предлагаемый метод (2 из 2) • Построить карту ссылок для заданного состояния приложения • Как автоматически определять во время crawling’а, какие интерфейсные элементы изменяют состояние веб-приложения, а какие – нет? – Статический анализ – Ручная разметка • Мы выбрали ручную разметку 9
Автоматизация метода • Подготовка разметки – Оператор осуществляет навигацию по веб-приложению при помощи браузера FF с установленным расширением – Оператор помечает: ссылки и формы, которые изменяют состояние веб-приложения, формы аутентификации, ссылки logout, формы с анти-автоматизацией (CAPTCHA) – Оператор может разбить работу с приложением на сценарии использования и указать зависимости между ними • Проведение «differential analysis» с использованием полученной разметки – Web-crawler строит карту ссылок для текущего состояния – Анализатор использует полученную карту ссылок для проведения «differential analysis» – Осуществляется переход к очередному состоянию 10
Community • PoC-реализация метода была сделана во время OWASP Summer of Code 2008 – PoC-реализация доступна здесь: http://code.google.com/p/accorute/downloads/list • Следующую версию инструмента планируется представить этим летом на конференции OWASP AppSec Research 2010 в Стокгольме – Обо всех новостях будет сообщаться в рассылке owasp-access-control-rules-tester-project@lists.owasp.org – На рассылку можно подписаться на странице проекта 11
Контактная информация • Андрей Петухов: petand@lvk.cs.msu.su • Георгий Носеевич: ngo@lvk.cs.msu.su • Тел. +7 (495) 939 46 71 • Москва, 119899 Ленинские горы вл. 1/52, факультет ВМК МГУ имени М. В. Ломоносова, к. 764 12
Спасибо за внимание! Вопросы? 13

Recomendados

Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
Kamskaya
 
абс спо (2)
абс спо (2)абс спо (2)
абс спо (2)
glg2001
 
CSRF Basics
CSRF BasicsCSRF Basics
CSRF Basics
n|u - The Open Security Community
 
Introduction to CSRF Attacks & Defense
Introduction to CSRF Attacks & DefenseIntroduction to CSRF Attacks & Defense
Introduction to CSRF Attacks & Defense
Surya Subhash
 
Cross Site Request Forgery
Cross Site Request ForgeryCross Site Request Forgery
Cross Site Request Forgery
Tony Bibbs
 
Understanding Cross-site Request Forgery
Understanding Cross-site Request ForgeryUnderstanding Cross-site Request Forgery
Understanding Cross-site Request Forgery
Daniel Miessler
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
Andrew Petukhov
 
A8 cross site request forgery (csrf) it 6873 presentation
A8 cross site request forgery (csrf) it 6873 presentationA8 cross site request forgery (csrf) it 6873 presentation
A8 cross site request forgery (csrf) it 6873 presentation
Albena Asenova-Belal
 

Recomendados

Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
Ссылочная пессимизация в Google. Penguin и ручные санкции (исследование)
Kamskaya
 
абс спо (2)
абс спо (2)абс спо (2)
абс спо (2)
glg2001
 
CSRF Basics
CSRF BasicsCSRF Basics
CSRF Basics
n|u - The Open Security Community
 
Introduction to CSRF Attacks & Defense
Introduction to CSRF Attacks & DefenseIntroduction to CSRF Attacks & Defense
Introduction to CSRF Attacks & Defense
Surya Subhash
 
Cross Site Request Forgery
Cross Site Request ForgeryCross Site Request Forgery
Cross Site Request Forgery
Tony Bibbs
 
Understanding Cross-site Request Forgery
Understanding Cross-site Request ForgeryUnderstanding Cross-site Request Forgery
Understanding Cross-site Request Forgery
Daniel Miessler
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
Andrew Petukhov
 
A8 cross site request forgery (csrf) it 6873 presentation
A8 cross site request forgery (csrf) it 6873 presentationA8 cross site request forgery (csrf) it 6873 presentation
A8 cross site request forgery (csrf) it 6873 presentation
Albena Asenova-Belal
 
Защищенная веб-аналитика для ОГВ и ОМСУ
Защищенная веб-аналитика для ОГВ и ОМСУЗащищенная веб-аналитика для ОГВ и ОМСУ
Защищенная веб-аналитика для ОГВ и ОМСУ
Andrew Fadeev
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
OWASP Russia
 
Автоматизированная система управления бюджетными средствами Федеральной служб...
Автоматизированная система управления бюджетными средствами Федеральной служб...Автоматизированная система управления бюджетными средствами Федеральной служб...
Автоматизированная система управления бюджетными средствами Федеральной служб...
КРОК
 
C# Web. Занятие 01.
C# Web. Занятие 01.C# Web. Занятие 01.
C# Web. Занятие 01.
Igor Shkulipa
 
презентация РАБИС технологии 2014
презентация РАБИС технологии 2014презентация РАБИС технологии 2014
презентация РАБИС технологии 2014
Vyacheslav Benedichuk
 
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
WDDay
 
Как настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийКак настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложений
Нетология
 
Svyatoslav Login "How to test authentication and authorization for security"
Svyatoslav Login "How to test authentication and authorization for security"Svyatoslav Login "How to test authentication and authorization for security"
Svyatoslav Login "How to test authentication and authorization for security"
Fwdays
 
автоматизация тестирования веб приложений павел липский
автоматизация тестирования веб приложений павел липскийавтоматизация тестирования веб приложений павел липский
автоматизация тестирования веб приложений павел липский
Media Gorod
 
Разработка мобильного и веб интерфейса для Caché
Разработка мобильного и веб интерфейса для CachéРазработка мобильного и веб интерфейса для Caché
Разработка мобильного и веб интерфейса для Caché
InterSystems CEE
 
Trpo 3 создание_по2
Trpo 3 создание_по2Trpo 3 создание_по2
Trpo 3 создание_по2
pogromskaya
 
Аналитика мобильных приложений
Аналитика мобильных приложенийАналитика мобильных приложений
Аналитика мобильных приложений
Anatoly Sharifulin
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)
Alexei Lupan
 
Чек-лист аудита сайтов государственных органов и подведомственных учреждений
Чек-лист аудита сайтов государственных органов и подведомственных учрежденийЧек-лист аудита сайтов государственных органов и подведомственных учреждений
Чек-лист аудита сайтов государственных органов и подведомственных учреждений
DPR
 
6бойченко
6бойченко6бойченко
6бойченко
Ekaterina Morozova
 
Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.
Cisco Russia
 
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tips
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tipsКостянтин Чаус — Monitoring of huge Drupal site. Tools and tips
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tips
LEDC 2016
 
SCIPorgua, CompetitiveCamp-2010, ИАС-Семантический-архив
SCIPorgua, CompetitiveCamp-2010, ИАС-Семантический-архивSCIPorgua, CompetitiveCamp-2010, ИАС-Семантический-архив
SCIPorgua, CompetitiveCamp-2010, ИАС-Семантический-архив
«ОБЩЕСТВО АНАЛИТИКОВ И ПРОФЕССИОНАЛОВ КОНКУРЕНТНОЙ РАЗВЕДКИ»
 
Hl2008 Spy Log Architechture 169
Hl2008 Spy Log Architechture 169Hl2008 Spy Log Architechture 169
Hl2008 Spy Log Architechture 169
Media Gorod
 
Web and mobile development for intersystems caché, Eduard Lebedyuk
Web and mobile development for intersystems caché, Eduard LebedyukWeb and mobile development for intersystems caché, Eduard Lebedyuk
Web and mobile development for intersystems caché, Eduard Lebedyuk
InterSystems
 
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникацииАрмия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Andrew Petukhov
 
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
Andrew Petukhov
 

Mais conteúdo relacionado

Semelhante a Обнаружение уязвимостей в механизме авторизации веб-приложении

[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
OWASP Russia
 
автоматизация тестирования веб приложений павел липский
автоматизация тестирования веб приложений павел липскийавтоматизация тестирования веб приложений павел липский
автоматизация тестирования веб приложений павел липский
Media Gorod
 
Hl2008 Spy Log Architechture 169
Hl2008 Spy Log Architechture 169Hl2008 Spy Log Architechture 169
Hl2008 Spy Log Architechture 169
Media Gorod
 

Semelhante a Обнаружение уязвимостей в механизме авторизации веб-приложении (20)

Защищенная веб-аналитика для ОГВ и ОМСУ
Защищенная веб-аналитика для ОГВ и ОМСУЗащищенная веб-аналитика для ОГВ и ОМСУ
Защищенная веб-аналитика для ОГВ и ОМСУ
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
 
Автоматизированная система управления бюджетными средствами Федеральной служб...
Автоматизированная система управления бюджетными средствами Федеральной служб...Автоматизированная система управления бюджетными средствами Федеральной служб...
Автоматизированная система управления бюджетными средствами Федеральной служб...
 
C# Web. Занятие 01.
C# Web. Занятие 01.C# Web. Занятие 01.
C# Web. Занятие 01.
 
презентация РАБИС технологии 2014
презентация РАБИС технологии 2014презентация РАБИС технологии 2014
презентация РАБИС технологии 2014
 
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
 
Как настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийКак настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложений
 
Svyatoslav Login "How to test authentication and authorization for security"
Svyatoslav Login "How to test authentication and authorization for security"Svyatoslav Login "How to test authentication and authorization for security"
Svyatoslav Login "How to test authentication and authorization for security"
 
автоматизация тестирования веб приложений павел липский
автоматизация тестирования веб приложений павел липскийавтоматизация тестирования веб приложений павел липский
автоматизация тестирования веб приложений павел липский
 
Разработка мобильного и веб интерфейса для Caché
Разработка мобильного и веб интерфейса для CachéРазработка мобильного и веб интерфейса для Caché
Разработка мобильного и веб интерфейса для Caché
 
Trpo 3 создание_по2
Trpo 3 создание_по2Trpo 3 создание_по2
Trpo 3 создание_по2
 
Аналитика мобильных приложений
Аналитика мобильных приложенийАналитика мобильных приложений
Аналитика мобильных приложений
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)
 
Чек-лист аудита сайтов государственных органов и подведомственных учреждений
Чек-лист аудита сайтов государственных органов и подведомственных учрежденийЧек-лист аудита сайтов государственных органов и подведомственных учреждений
Чек-лист аудита сайтов государственных органов и подведомственных учреждений
 
6бойченко
6бойченко6бойченко
6бойченко
 
Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.
 
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tips
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tipsКостянтин Чаус — Monitoring of huge Drupal site. Tools and tips
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tips
 
SCIPorgua, CompetitiveCamp-2010, ИАС-Семантический-архив
SCIPorgua, CompetitiveCamp-2010, ИАС-Семантический-архивSCIPorgua, CompetitiveCamp-2010, ИАС-Семантический-архив
SCIPorgua, CompetitiveCamp-2010, ИАС-Семантический-архив
 
Hl2008 Spy Log Architechture 169
Hl2008 Spy Log Architechture 169Hl2008 Spy Log Architechture 169
Hl2008 Spy Log Architechture 169
 
Web and mobile development for intersystems caché, Eduard Lebedyuk
Web and mobile development for intersystems caché, Eduard LebedyukWeb and mobile development for intersystems caché, Eduard Lebedyuk
Web and mobile development for intersystems caché, Eduard Lebedyuk
 

Mais de Andrew Petukhov

You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
Andrew Petukhov
 
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Andrew Petukhov
 
Обеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахОбеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системах
Andrew Petukhov
 
Detecting Insufficient Access Control in Web Applications
Detecting Insufficient Access Control in Web ApplicationsDetecting Insufficient Access Control in Web Applications
Detecting Insufficient Access Control in Web Applications
Andrew Petukhov
 

Mais de Andrew Petukhov (9)

Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникацииАрмия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
 
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
 
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
 
No locked doors, no windows barred: hacking OpenAM infrastructure
No locked doors, no windows barred: hacking OpenAM infrastructureNo locked doors, no windows barred: hacking OpenAM infrastructure
No locked doors, no windows barred: hacking OpenAM infrastructure
 
Обеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахОбеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системах
 
Detecting Insufficient Access Control in Web Applications
Detecting Insufficient Access Control in Web ApplicationsDetecting Insufficient Access Control in Web Applications
Detecting Insufficient Access Control in Web Applications
 
Benchmark сканеров SQL injection
Benchmark сканеров SQL injectionBenchmark сканеров SQL injection
Benchmark сканеров SQL injection
 
Access Control Rules Tester
Access Control Rules TesterAccess Control Rules Tester
Access Control Rules Tester
 
Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...
Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...
Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...
 

Último

СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Хроники кибер-безопасника
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Ирония безопасности
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Хроники кибер-безопасника
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Хроники кибер-безопасника
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Хроники кибер-безопасника
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
Хроники кибер-безопасника
 

Último (9)

СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 

Обнаружение уязвимостей в механизме авторизации веб-приложении

  • 1. Обнаружение уязвимостей в механизме авторизации веб-приложений Андрей Петухов, Георгий Носеевич Лаборатория вычислительных комплексов Факультет ВМиК МГУ имени М. В. Ломоносова
  • 2. Мотивация По данным статистики WASC за 2008 год: • Insufficient authorization: – В автоматическом режиме найдена в 0.13% сайтов – В ручном режиме найдена в 14.82% сайтов – Разница – в 100 раз! • XSS – В автоматическом режиме найдена в 37.66% сайтов – В ручном режиме найдена в 56.41% сайтов • SQLI – В автоматическом режиме найдена в 11.65% сайтов – В ручном режиме найдена в 16.16% сайтов • Коррелирует со статистикой WhiteHat 2
  • 3. В чем же трудность? • Механизм авторизации выполняет задачу по защите данных и/или функциональности веб-приложения от несанкционированного доступа • В идеале: – понятие несанкционированного доступа определяется явно – описывается в политике разграничения доступа – входит в состав исходных требований к веб-приложению – понятно, как формализовать уязвимость механизма авторизации • В реальности: – политика разграничения доступа отсутствует – механизм авторизации реализуется на основе здравого смысла – как формализовать уязвимость механизма авторизации - вопрос 3
  • 4. Рабочее предположение • Веб-интерфейс является неявным источником информации о правилах разграничения доступа • Уязвимостью контроля доступа считается ситуация, когда пользователь может успешно произвести HTTP- запрос, не предусмотренный интерфейсом веб- приложения • Аргументы в пользу адекватности предположения: – корректность пользовательского интерфейса проверяется на этапе функционального тестирования и этапе сдачи-приемки – можно ожидать, что все ссылки/формы, которые «не должны быть» в интерфейсе того или иного пользователя, будут убраны 4
  • 5. Пример уязвимости • Приложение банк-клиент • Имеет страницу «детализация транзакций по счету» • В пользовательском интерфейсе переход на страницу реализован через ссылки вида: /TransactionDetails.aspx?account_no=5204320422040001 • Подменив значение параметра account_no, получаем информацию по счетам других пользователей. Налицо горизонтальная эскалация привилегий • Заметим, что пример удовлетворяет определению, данному ранее: пользователи могут сделать HTTP- запросы, не предусмотренные их интерфейсом 5
  • 6. Существующий метод Единственный известный метод для проверки механизма авторизации без политики разграничения доступа – «differential analysis» • Пусть даны два пользователя: user1 и user2 • Построим «карту ссылок» веб-приложения, видимых пользователю user1 – Sitemap1, и карту ссылок, видимых пользователю user2 – Sitemap2 • Проверим возможность доступа: - к ресурсам Sitemap1Sitemap2 от имени пользователя user2 - к ресурсам Sitemap2Sitemap1 от имени пользователя user1 • Если доступ успешен, то сообщаем о наличии уязвимости: - горизонтальная эскалация привилегий, если роли одинаковые - вертикальная эскалация привилегий, если роли разные 6
  • 7. Ограничение существующего метода • «Карта ссылок» – динамическая сущность, которая зависит от состояния веб-приложения, Sitemap(state) • В сложных приложениях не существует такого состояния state, что из интерфейса Sitemap(state) можно было бы выполнить любой сценарий использования • Для обеспечения полноты анализа необходимо: – найти последовательность состояний {statei} и переходов между ними такую, что для любого сценария использования найдется интерфейс Sitemap(statej), из которого он может быть запущен – уметь строить карту ссылок для каждого состояния приложения • После применения «differential analysis» для каждого состояния {statei} анализ будет полным 7
  • 8. Предлагаемый метод (1 из 2) • Найти последовательность состояний {statei} и переходов между ними такую, что для любого сценария использования найдется интерфейс Sitemap(statej), из которого он может быть запущен • Идея решения: – построить граф зависимостей между сценариями использования – линеаризовать граф в последовательность состояний и переходов между ними – интерфейсные элементы, реализующие переходы между состояниями, должны использоваться только после построения карты ссылок в текущем состоянии 8
  • 9. Предлагаемый метод (2 из 2) • Построить карту ссылок для заданного состояния приложения • Как автоматически определять во время crawling’а, какие интерфейсные элементы изменяют состояние веб-приложения, а какие – нет? – Статический анализ – Ручная разметка • Мы выбрали ручную разметку 9
  • 10. Автоматизация метода • Подготовка разметки – Оператор осуществляет навигацию по веб-приложению при помощи браузера FF с установленным расширением – Оператор помечает: ссылки и формы, которые изменяют состояние веб-приложения, формы аутентификации, ссылки logout, формы с анти-автоматизацией (CAPTCHA) – Оператор может разбить работу с приложением на сценарии использования и указать зависимости между ними • Проведение «differential analysis» с использованием полученной разметки – Web-crawler строит карту ссылок для текущего состояния – Анализатор использует полученную карту ссылок для проведения «differential analysis» – Осуществляется переход к очередному состоянию 10
  • 11. Community • PoC-реализация метода была сделана во время OWASP Summer of Code 2008 – PoC-реализация доступна здесь: http://code.google.com/p/accorute/downloads/list • Следующую версию инструмента планируется представить этим летом на конференции OWASP AppSec Research 2010 в Стокгольме – Обо всех новостях будет сообщаться в рассылке owasp-access-control-rules-tester-project@lists.owasp.org – На рассылку можно подписаться на странице проекта 11
  • 12. Контактная информация • Андрей Петухов: petand@lvk.cs.msu.su • Георгий Носеевич: ngo@lvk.cs.msu.su • Тел. +7 (495) 939 46 71 • Москва, 119899 Ленинские горы вл. 1/52, факультет ВМК МГУ имени М. В. Ломоносова, к. 764 12