Теоретические основы Application Security

Заголовок
ptsecurity.com
Теоретические
основы
Application
Security

Заголовок
Предметная область, рассматривающая в качестве
объекта защиты гипотетическую информационную
систему (ИС):
• включающую в себя конкретное приложение
• объединяющую объекты окружения в единую
сущность
• замкнутую относительно информационных
потоков приложения
APPSEC (APPLICATION SECURITY) 1/2

ЗаголовокAPPSEC (APPLICATION SECURITY) 2/2
Входные данные
Конфигурация окружения
Исполняющая среда
Выходные данные
Приложение
Окружение
Граница доверия

Заголовок
• вне области влияния приложения его окружение
защищено
• логика предметной области приложения
корректна
ДОПУЩЕНИЯ APPSEC

Заголовок
Предметная область
Application Security

Заголовок
Множество сущностей, их инвариантов и отношений в рамках
описываемых процессов
ПРЕДМЕТНАЯ ОБЛАСТЬ

Заголовок
Абстракция объекта в некотором контексте, обладающая
следующими характеристиками:
• свойство – значимый атрибут абстрагируемого сущностью объекта;
• состояние– множество текущих значений всех свойств сущности;
• инвариант– множество допустимых состояний сущности.
Отношение – утверждение, определяющее взаимосвязь
изменения состояний сущностей.
СУЩНОСТЬ

Заголовок
Каскадное изменение состояний сущностей в соответствии с их
отношениями вследствие однократного воздействия на одну из
них
ОПЕРАЦИЯ

Заголовок
Допустимая последовательность (поток) операций
ПРОЦЕСС

Заголовок
Неделимая последовательность операций в потоке
ТРАНЗАКЦИЯ

Заголовок
Сущность: точки на карте города
• свойство: координаты – пара значений «широта-долгота»;
• инвариант: координаты принадлежат перекресткам города или
строениям.
Сущность: маршрут
• свойство: путь - упорядоченное множество точек на карте города;
• инвариант: путь непрерывен, проходит по улицам города в соответствии
с ПДД;
• отношение: оптимальность – длина пути минимальна для заданных
начальной и конечной точек.
Сущности: точка загрузки, точка доставки
• свойство: точка на карте города;
• инвариант: координаты принадлежат строениям.
ПРИМЕР: ЛОГИСТИКА

Заголовок
В терминах предметной области логистики:
построить оптимальный маршрут из
точки загрузки, проходящий через все
точки доставки по одному разу и
возвращающийся в точку загрузки.

Заголовок
В терминах предметной области теории
графов:
Найти гамильтонов цикл минимального
веса в полном (дополненном ребрами
бесконечной длины) взвешенном графе.

Заголовок
Позволяют строить абстрактные модели предметных областей.
ОБОБЩЁННЫЕ ПРЕДМЕТНЫЕ ОБЛАСТИ

ЗаголовокПРЕДМЕТНЫЕ ОБЛАСТИ ПРИЛОЖЕНИЙ
Вторичные:
• защищенность;
• отказоустойчивость;
• опыт взаимодействия,
• производительность.
Первичные (основные):
― интернет-торговля;
― онлайн-банкинг;
― бухучет;
― … (тысячи их).
Каждое приложение реализует модели как основной предметной области,
так и множество моделей вторичных предметных областей

Заголовок
Поскольку защищённость – темпоральное свойство, модель
приложения должна отражать процесс его выполнения
ВЫБОР МОДЕЛИ ПРИЛОЖЕНИЯ

Заголовок
Приложение можно представить в виде базовых блоков, между
которыми передаётся управление в процессе выполнения
приложения
ПОТОКИ УПРАВЛЕНИЯ

ЗаголовокПОТОКИ УПРАВЛЕНИЯ (ПРИМЕР 1/15)
var name = Request.Params["name"];
var key1 = Request.Params["key1"];
var parm = Request.Params["parm"];
var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm);
string str1;
if (name + "in" == "admin")
{
if (key1 == "validkey")
{
str1 = Encoding.UTF8.GetString(data);
}
else
{
str1 = "Wrong key!";
}
Response.Write(str1);
}

string str1;
{
{
}
else
{
}
}

Заголовок
Потоки выполнения приложения являются производными от
потоков данных окружения
ПОТОКИ ДАННЫХ

ЗаголовокПОТОКИ ДАННЫХ (ПРИМЕР 1/9)
string str1;
{
{
}
else
{
}
}

string str1;
{
{
}
else
{
}
}

Заголовок
Множество всех возможных значений потока данных в конкретной
точке потока выполнения определяет его состояние
СОСТОЯНИЕ ПОТОКА ДАННЫХ

ЗаголовокСОСТОЯНИЕ ПОТОКА ДАННЫХ (ПРИМЕР)
string str1;
{
{
}
else
{
}
}
str1 ∈ {
Encoding.UTF8.GetString(data),
"Wrong Key!"
}

Заголовок
Множество состояний всех потоков данных в конкретной точке
потока выполнения определяют состояние приложения
СОСТОЯНИЕ ПРИЛОЖЕНИЯ

ЗаголовокСОСТОЯНИЕ ПРИЛОЖЕНИЯ (ПРИМЕР)
string str1;
{
{
}
else
{
}
}
str1 ∈ {
Encoding.UTF8.GetString(data),
"Wrong Key!"
}
name ∈ { Request.Params["name"] }
key1 ∈ { Request.Params["key1"] }
parm ∈ { Request.Params["parm"] }
data ∈ {
new char[0],
Convert.FromBse64String(parm)
}

Заголовок
Граф переходов между состояниями приложения определяет все
возможные потоки вычисления и является искомой моделью
процесса его выполнения
ГРАФ ПОТОКОВ ВЫЧИСЛЕНИЯ

ЗаголовокГРАФ ПОТОКОВ ВЫЧИСЛЕНИЯ (ПРИМЕР 1/7)

Заголовок
Приводимые далее термины и определения локальны и не
претендуют на признание в качестве общеупотребительных. Тем
не менее, они устраняют существующие разночтения и
противоречия в традиционной терминологии, позволяя перейти от
интуитивных формулировок к формальным.
DISCLAIMER

Заголовок
Театр начинается с вешалки, а
незащищённость ИС – с её недостатков
С ЧЕГО НАЧНЁМ?

Заголовок
Неэффективная реализация процессов вычисления, логики
предметной области или конфигурации окружения ИС
НЕДОСТАТОК

Заголовок
Обусловленная недостатком возможность нарушения свойств
состояния защищенности информационного потока:
• конфиденциальности;
• целостности;
• доступности;
• авторизованности;
• аутентичности.
УГРОЗА

Заголовок
Состояние возможности реализации угрозы
УЯЗВИМОСТЬ

Заголовок
Конкретный способ реализации угрозы (эксплуатации
{состояния} уязвимости)
АТАКА

Заголовок
Состояние невозможности реализации любой угрозы
ЗАЩИЩЁННОСТЬ

Заголовок
Состояние приемлемого риска реализации любой угрозы
БЕЗОПАСНОСТЬ

Заголовок
То, что может сделать атакующий с потоками информации,
называется угрозой (threat)
То, когда и благодаря чему он может это сделать, называется
уязвимостью (vulnerability), обусловленной недостатком
(weakness)
ИНЫМИ СЛОВАМИ

Заголовок
То, как он может это сделать, называется атакой (attack)
То, с какой вероятностью у него это удастся и какие
последствия может повлечь, называется риском (risk)

Заголовок
То, что не позволяет атакующему провести атаку, обеспечивает
защищенность (security)
То, что минимизирует риск, обеспечивает безопасность (safety)

ЗаголовокПричины и следствия
Недостаток
(weakness)
Угроза
(threat)
Уязвимость
(vulnerability)
Атака
(attack)
Риск
(risk)
Незащищенность
(insecurity)
Небезопасность
(unsafety)

Заголовок
Информационная безопасность
Защищённость приложений
Разница между ИБ и AppSec

Заголовок
• Потоки операций являются и информационными потоками, и
сущностями модели основной предметной области приложения
• Потоки вычисления являются и информационными потоками,
и сущностями предметной области защищённости приложения
• Потоки данных окружения являются и информационными
потоками, и сущностями модели окружения
А ТЕПЕРЬ – ВСЁ ВМЕСТЕ

Заголовок
• Недостаток – неэффективная реализация моделей предметных
областей приложения или окружения (контролей инвариантов их
сущностей)
Примеры контролей:
• предварительная обработка потоков данных;
• подтверждение аутентичности потоков операций;
• проверка прав доступа к потокам данных;
• обеспечение целостности потока операций;
• …

Заголовок
• Уязвимость приложения – состояние возможности нарушения
конфиденциальности, целостности, доступности, аутентичности
или авторизованности любого из потоков операций или
вычисления приложения, а также потоков данных окружения
• Состояние защищённости приложения возникает при
невозможности эксплуатации в нём любой уязвимости

Заголовок
• Вычислительный – уязвимости, описываемые в терминах
модели процесса выполнения приложения
• Логический – уязвимости, описываемые в терминах модели
предметной области приложения
• Экзогенный – уязвимости, описываемые в терминах модели
окружения
СУПЕРКЛАССЫ УЯЗВИМОСТЕЙ ПРИЛОЖЕНИЯ

Заголовок
«Не сегодня!»
ЧТО МЫ СКАЖЕМ ЛОГИЧЕСКОМУ И ЭКЗОГЕННОМУ КЛАССАМ?

Заголовок
Атаки на нарушение целостности потоков данных в результате их
преобразования принято называть инъекциями
Тип инъекции определяется грамматикой атакуемого потока
данных (HTML, XML, SQL, XPath, XQuery, LDAP, LINQ, Path, …)
ВЫЧИСЛИТЕЛЬНЫЙ КЛАСС: ИНЪЕКЦИИ

Заголовок
«Пусть C - граф потоков вычисления приложения.
Пусть pvf(t) - достижимая вершина потока управления на C,
являющаяся вызовом функции прямой или косвенной
интерпретации текста t, соответствующего известной
формальной грамматике G.
Пусть e - поток аргумента входных данных на С.
Пусть De - множество потоков данных на C, порождаемых от e и
достижимых в точке вызова pvf(t), где t принадлежит De»
МОДЕЛИРОВАНИЕ ИНЪЕКЦИЙ (1/3)

Заголовок
«Тогда приложение уязвимо к угрозе нарушения целостности
потоков данных De в точке выполнения pvf(t), если среди них
найдётся хотя бы одна пара таких значений, при которых, в
результате их синтаксического разбора в соответствии с
грамматикой G, получаются не изоморфные друг-другу деревья
разбора»
МОДЕЛИРОВАНИЕ ИНЪЕКЦИЙ (2/3)

ЗаголовокМОДЕЛИРОВАНИЕ ИНЪЕКЦИЙ (3/3)
The Essence of Command Injection Attacks in Web Applications
(http://web.cs.ucdavis.edu/~su/publications/popl06.pdf)

Заголовок
Несогласованная работа с разделяемом ресурсом в
многопоточном окружении приводит к гонкам за ресурс
Окружение любого веб-приложения является многопоточным
ВЫЧИСЛИТЕЛЬНЫЙ КЛАСС: ГОНКА ЗА РЕСУРС

Заголовок
Пусть P – сеть Петри, построенная по C, где переходами сети
являются все промежуточные вершины C, позициями – его
вершины, соответствующие операциям чтения или записи
каждого ресурса окружения, а условиями перехода – условия
достижимости соответствующих вершин C.
Тогда, возможность появления более одной метки в любом
состоянии графа маркировок P укажет на возможность
реализации угрозы нарушения целостности или аутентичности
потока вычисления.
ВЫЧИСЛИТЕЛЬНЫЙ КЛАСС: ГОНКА ЗА РЕСУРС

Заголовок
• Направлены на реализацию угрозы (нарушение одного из
свойств защищённости какого-либо потока вычисления,
операций или данных окружения)
• Могут являться как производными от предыдущих атак, так и
первообразными для последующих. Например:
• HTTP Response Splitting →
Header Spoofing →
Session Fixation
Unvalidated Redirection
Body spoofing →
Content Spoofing
Session Fixation
Unvalidated Redirection
Cross-Site Scripting
…
СВОЙСТВА АТАК

ЗаголовокКЛАССИФИКАЦИЯ
Классификация, объединяющая уязвимости всех классов,
опирается на признаки:
• предметная область;
• недостаток;
• атакуемый поток;
• угроза.

ЗаголовокКЛАССИФИКАЦИЯ: ИНЪЕКЦИИ
Признак Значение
Предметная область Защищённость приложения
Недостаток Неэффективная обработка потоков
данных
Информационный поток Поток данных, интерпретируемый
окружением
Угроза Нарушение целостности

ЗаголовокКЛАССИФИКАЦИЯ: СПУФИНГ ПОТОКА ОПЕРАЦИЙ
Недостаток Неэффективное подтверждение
аутентичности идентификатора
потока операций
Информационный поток Поток операций
Угроза Нарушение аутентичности

ЗаголовокКЛАССИФИКАЦИЯ: ПЕРЕПОЛНЕНИЕ БУФЕРА
Недостаток Неэффективный контроль записи
производных потоков окружения в
память
Информационный поток Метаданные на стеке или в куче
Угроза Нарушение целостности

ЗаголовокКЛАССИФИКАЦИЯ: ОБХОД БИЗНЕС-ЛОГИКИ (ЧАСТНЫЙ СЛУЧАЙ)
Предметная область Онлайн-торговля
Недостаток Неэффективный контроль
использования купонов на скидку
Информационный поток Поток операций транзакции оплаты
заказа
Угроза Нарушение авторизованности

Заголовок
ptsecurity.com
Спасибо!
Спасибо!

Теоретические основы Application Security

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (18)

Semelhante a Теоретические основы Application Security

Semelhante a Теоретические основы Application Security (15)

Mais de Positive Hack Days

Mais de Positive Hack Days (20)

Теоретические основы Application Security