Tesi Triennale: Navigazione automatica e rilevazione di errori in applicazioni web

Politecnico di Milano

Navigazione automatica e
rilevazione di errori in
applicazioni web

Relatore: Prof. Stefano Zanero
Fabio Quarti
Federico Villa

A.A. 2006/2007

venerdì 12 marzo 2010

Sommario
• Obiettivo:
• Illustrare la realizzazione di un bot per la navigazione automatica e la
rilevazione di errori in applicazioni web;
• Introduzione:
• L'applicazione e il Sequence Diagram
• SQL-Injection
• Cross-Site scripting XSS

• Architettura:
• Crawling
• Rilevazione SQL-Injection
• MD5
• DataBase Error Check
• Analisi Document Object Model (DOM)‫‏‬
• Rilevazione XSS

• Test
• Conclusioni

Fabio Quarti, Federico Villa 2


L'Applicazione

• Cos’è?:
• È un bot automatico, in grado di navigare autonomamente lungo un percorso di una Applicazione Web
fino ad una pagina Target.
• E' facilmente scriptabile, e riceve input tramite semplici file XML
• Una volta ottenuto il codice della pagina Target, è in grado di individuare se si sono verificate SQL-
Injection o Cross Site Scripting

• Perchè?:
• E' un ausilio per gli sviluppatori di Applicazioni Web
• E' progettata per essere richiamata da tool di analisi statica del codice, che spesso producono un
numero molto elevato di falsi positivi

• Come?:
• Confronta il codice della pagina Target ottenuta con il parametro da validare, con il codice della
medesima pagina ottenuto con un set più o meno vasto di dati validi



Sequence Diagram

• L’applicazione naviga una volta per ogni valore corretto e una volta per il valore potenzialmente
invalido
• Al ternime della navigazione confronta la pagina potenzialmente invalida con le pagine
sicuramente valide, sfruttando le tecniche che vedremo in seguito.



SQL-Injection
• Cos’è?:
• È un errore che consente ad un aggressore di inviare comandi SQL sfruttando un campo di
input di un’applicazione web
• Si verifica quando un campo di input non è correttamente validato e viene sfruttato per
costruire una query
• Esempio:
• Immaginiamo la query:
select * from Users where Login=‘”+stringa_login+“’and Password=‘”+stringa_password+“’”
• Immaginiamo di riuscire ad immettere, tramite un campo di input non controllato, il valore
di stringa_login lupin’; -- otteniamo la seguente query:
select * from Users where Login=‘lupin’; --and Password=‘”+stringa_password+“’”
• A seguito di questa query è possibile ottenere l’autenticazione sul sistema remoto senza
immettere alcuna password ma conoscendo solo il nome utente.
• Prevenzione:
• Parsing dei caratteri “speciali”
• Eliminazione degli errori SQL
• Validazione tutti i dati in ingresso



Cross-Site Scripting XSS
• Cos’è?:
• È un errore che consente ad un aggressore di inserire codice di scripting sfruttando un
campo di input di un’applicazione web
• Consente di effettuare: cookie theft, session hijack e accesso alle informazioni riservate

• Tipi:
• Stored: il codice maligno è permanentemente immagazzinato nel server e viene inviato a
tutti i client che si connettono, che poi lo eseguono ne browser.
• Reflected: il codice viene inviato al client tramite messaggi di errore o esiti di ricerche,
perché considera lo script come proveniente da un sito sicuro
• Esempio:
• Immaginiamo di inserire in un guestbook o in un forum il seguente codice:
<script>location=“http://www.polimi.it/”</script>
Otteniamo il reindirizzamento sul sito del Politecnico.

• Prevenzione:
• Verificare l’input e bandire lo scripting



Architettura: Crawling
• Come funziona:
• La navigazione avviene in modo lineare; il percorso che il bot deve seguire è specificato in
un file xml
• Sfruttiamo la libreria HTTP Unit sviluppata per Java

• Struttura XML:
<?xml version="1.0"?>
<percorso>
<pagina URL='index.html' nomeform='' method=""/>
<pagina URL='/formcp/index.html' nomeform='login'
method="" useName="false" Name="">
<attributo nome='username' valore='tesi' ischeckbox='false'
checkboxstate='false' istest='false' />
<attributo nome='chiave' valore='tesi' ischeckbox='false'
checkboxstate='false' istest='false' />
</pagina>
</percorso>

• Specifichiamo l’indirizzo della pagina, il nome del form che deve essere riempito, il valore degli
attributi, il tipo degli attributi e se il campo è l’input in cui effettuare l’injection



Architettura: Error Detection
• Come funziona:
• La rilevazione degli errori avviene confrontando il codice HTML della pagina ottenuta dai
dati invalidi con il codice delle pagine ottenute sfruttando il set di dati validi forniti dal
chiamante.
• E' realizzata tramite tre controlli in cascata

• Controlli:
• MD5
• Rilevazione Errori DataBase
• Confronto Alberi Document Object Model (DOM)‫‏‬



Controlli: MD5

• Cos'è MD5:
• Message Digest 5 è un algoritmo di crittografia dei dati a senso unico che produce, a partire da una
stringa di lunghezza arbitraria, una stringa chiamata digest, lunga 128bit composta da 32 simboli
esadecimali.
• Due stringhe diverse, in teoria, non possono avere lo stesso MD5.
• E' stato “rotto” nel 2005.

• Come funziona:
• Alcune pagine dinamiche sono configurate per mostrare sempre la stessa pagina in caso di successo,
indipendentemente dai dai dati inseriti
• Confrontando gli hash della pagina potenzialmente invalida con quelli delle pagine valide, è possibile
individuare immediatamente parametri sicuramente validi



Controlli: Errori DB

• Come funziona:
• Spesso, i tentativi di SQL-Injection possono generare errori nel DBMS. Altrettanto spesso, questi errori
vengono mostrati a video [sempre, se si sta effettuando il debug di una applicazione]
• Il Bot cerca all'interno di una pagina la presenza di messaggi provenienti dal DBMS

• Errori DBMS:
• La lista degli errori SQL è un file XML, che contiene le espressioni regolari associate ad ogni messaggiio.
• E' facile scrivere un nuovo file contenente errori di un altro DBMS o errori custom
• Struttura del file:
<?xml version="1.0"?>
<dbms_error>
<error regex=’Can't create file '[0-9a-zA-Z ]*
'(errno: [0-9a-zA-Z ]*)’/>
<error regex=’Can't create table '[0-9a-zA-Z ]*
'(errno: [0-9a-zA-Z ]*)’/>
</dbms_error>



Controlli: DOM
• Cos'è Document Object Model:
• è una forma di rappresentazione dei documenti strutturati come modello orientato agli oggetti. E' uno
standard del W3C
• DOM permette di associare ad una pagina xHTML ben formata un albero che rappresenta la struttura
del documento
• Come funziona:
• In una applicazione, pagine simili hanno una struttura simile, ma pagine contenutisticamente molto
differenti possono avere la medesima struttura
• Confrontando l'albero DOM della pagina ottenuta dal dato invalido con tutti i DOM degli alberi ritenuti
validi, è possibile verificare se la struttura da verificare rispetti uno o più alberi validi



Controlli: XSS Detection

• Come funziona:
• Il dato da testare è uno script. L'applicazione effettua l'injection dello script nella pagina target
• Verifica che la stringa sia presente in una pagina specificata, senza che il tag <script> sia stato
modificato, eliminato o convertito nella corrispondente entity.
• E'è il controllo più facile da progettare, ma non è semplice da implementare. Infatti, lo script, una volta
inserito, può trovarsi in una posizione differente dalla pagina in cui è stata effettuata l'injection.



Test Effettuati

• Test Didattico: WebGoat
• WebGoat è un set di applicazioni volutamente insicure, preparate dall'OWASP - Open Web Application
Security Project, con il fine di istruire gli sviluppatori a prevenire vulnerabilità.
• Il bot è stato in grado di rilevare l'SQL-Injection e il Cross Site Scripting

• Test Reali - Come?:
• Sono stati effettuati sfruttando vulnerabilità note e exploit conosciuti.
• Sono state scelte applicazioni conosciute, familiari a molti utenti.

• Test Reali:
• PhpBB2: l'applicazione rileva correttamente un Cross Site Scripting avvenuto a causa del mancato
controllo del campo “autore” nel form di ricerca dei post
• PhpNuke v7.8: l'applicazione rileva correttamente una SQL-Injection avvenuta a causa del mancato
controllo dei parametri inviati alla query nel campo principale della ricerca



Conclusione e sviluppi futuri

• Conclusioni:
• Corretto funzionamento applicazione
• Problemi con documenti non formati e Blind SQL-Injection

• Sviluppi futuri:
• Ottimizzazione codice
• Correzione errori di navigazione
• Implementazione di una differente politica di confronto
DOM



Fine Presentazione

Fine Presentazione
That's all, Folks!



Politecnico di Milano

Navigazione automatica e
rilevazione di errori in
applicazioni web:
Test in Dettaglio

Relatore: Prof. Stefano Zanero
Fabio Quarti
Federico Villa

A.A. 2006/2007


Sommario
• Obiettivo:
• Illustrare la casistica e il software con cui è stata testata l'applicazione
sviluppata.
• Test Didattici:
• WebGoat
• SQL-Injection
• Cross-Site scripting XSS

• Test Reali:
• PhpBB2 e XSS in PhpBB2
• PhpNuke v7.8 e SQL-Injection in PhpNuke v7.8

• Conclusioni



WebGoat

• Cos'è WebGoat
• WebGoat è un set di applicazioni volutamente insicure, preparate dall'OWASP - Open Web Application
Security Project, con il fine di istruire gli sviluppatori a prevenire vulnerabilità.
• Mette a disposizione dell'utente un finto portale bancario su cui effettuare le injection SQL e un finto
guestbook su cui effettuare il Cross-Site Scripting

• Cos'è OWASP
• The Open Web Application Security Project (OWASP) is dedicated to finding and fighting the causes of
insecure software. Everything here is free and open source. The OWASP Foundation is a 501c3 not-for-
profit charitable organization that ensures the ongoing availability and support for our work.
Participation in OWASP is free and open to all.



SQL-Injection in Webgoat 1

• Come
• E' possibile effettuare l'injection in un campo adibito all'autenticazione di un utente che vuole
vedere i suoi numeri di carta di credito
• Con una banale injection è possibile forzare il sistema a mostrare tutti i numeri di carta di credito
di tutti gli uenti
• E' sufficiente inserire, invece del nome utente di prova “Smith”, la stringa ’ OR
(LENGTH(last_name)<100)‫‏‬



Cross-Site Scripting in WG 1
• Come
• E' possibile effettuare l'injection in un campo adibito all'inserimento di messaggi in un guestbook
• Il messaggio viene immediatamente mostrato, senza essere controllato
• La stringa utilizzata per l'Injection è <script>JavaScript:alert("XSS
Avvenuto con successo!")</script>



Cross-Site Scripting in PhpBB2 1
• Cosa è:
• Php Bulletin Board V2 è una tra i più popolari sistemi Open Source per la gestione di forum scritti
mediante il linguaggio di programmazione PHP.

• Come
• E' possibile effettuare l'injection in un campo adibito all'inserimento della query di ricerca per autore
• Il messaggio viene immediatamente mostrato, senza essere controllato
• La stringa utilizzata per l'Injection è <script>JavaScript:alert
("XSS Eseguito!")</script>



SQL-Injection in PhpNuke 7.8 1

• Cosa è:
• PhpNuke, definito dall’autore come il futuro del Web, è una piattaforma scritta in php che
permette ad un amministratore di creare un portale per una comunità di utenti, consentendo a
ciascun utente di pubblicare, modificare e commentare articoli e news.
• E' altamente modulare

• Come
• E' possibile effettuare l'injection in un campo adibito alla ricerca all'interno di PhpNuke
• Con una banale injection è possibile forzare il sistema a mostrare tutti gli hash delle password degli
amministratori
• E' sufficiente inserire nel campo di ricerca la stringa s%’)
UNION SELECT 0,user_id,username,user_password,0,0,0,0,0,0 FROM nuke_users



Conclusione

• Conclusioni:
• Buoni risultati in fase di testing
• Problemi con documenti non formati e Blind SQL-Injection
• Problemi con l'esecuzione di codice JavaScript



Fine Presentazione

Fine Presentazione
E l'ultimo chiuda la porta



Tesi Triennale: Navigazione automatica e rilevazione di errori in applicazioni web

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Tesi Triennale: Navigazione automatica e rilevazione di errori in applicazioni web

Semelhante a Tesi Triennale: Navigazione automatica e rilevazione di errori in applicazioni web (20)

Último

Último (9)

Tesi Triennale: Navigazione automatica e rilevazione di errori in applicazioni web