Tesi Triennale: Navigazione automatica e rilevazione di errori in applicazioni web

Politecnico di Milano

Navigazione automatica e rilevazione di errori in

applicazioni web

Relatore: Prof. Stefano Zanero

Fabio Quarti

Federico Villa

A.A. 2006/2007

venerdì 12 marzo 2010

Fabio Quarti, Federico Villa 2

Sommario

• Obiettivo:• Illustrare la realizzazione di un bot per la navigazione automatica e la

rilevazione di errori in applicazioni web;

• Introduzione:• L'applicazione e il Sequence Diagram• SQL-Injection

• Cross-Site scripting XSS

• Architettura:• Crawling• Rilevazione SQL-Injection

• MD5• DataBase Error Check

• Analisi Document Object Model (DOM)‏• Rilevazione XSS

• Test• Conclusioni



L'Applicazione

• Cos’è?:• È un bot automatico, in grado di navigare autonomamente lungo un percorso di una Applicazione Web

fino ad una pagina Target.

• E' facilmente scriptabile, e riceve input tramite semplici file XML• Una volta ottenuto il codice della pagina Target, è in grado di individuare se si sono verificate SQL-

Injection o Cross Site Scripting

• Perchè?:• E' un ausilio per gli sviluppatori di Applicazioni Web• E' progettata per essere richiamata da tool di analisi statica del codice, che spesso producono un

numero molto elevato di falsi positivi

• Come?:• Confronta il codice della pagina Target ottenuta con il parametro da validare, con il codice della

medesima pagina ottenuto con un set più o meno vasto di dati validi



Sequence Diagram

• L’applicazione naviga una volta per ogni valore corretto e una volta per il valore potenzialmente invalido

• Al ternime della navigazione confronta la pagina potenzialmente invalida con le pagine sicuramente valide, sfruttando le tecniche che vedremo in seguito.



SQL-Injection

• Cos’è?:• È un errore che consente ad un aggressore di inviare comandi SQL sfruttando un campo di

input di un’applicazione web

• Si verifica quando un campo di input non è correttamente validato e viene sfruttato per costruire una query

• Esempio:• Immaginiamo la query:

select * from Users where Login=‘”+stringa_login+“’and Password=‘”+stringa_password+“’” • Immaginiamo di riuscire ad immettere, tramite un campo di input non controllato, il valore

di stringa_login lupin’; -- otteniamo la seguente query:

select * from Users where Login=‘lupin’; --and Password=‘”+stringa_password+“’”• A seguito di questa query è possibile ottenere l’autenticazione sul sistema remoto senza

immettere alcuna password ma conoscendo solo il nome utente.

• Prevenzione:• Parsing dei caratteri “speciali”• Eliminazione degli errori SQL

• Validazione tutti i dati in ingresso



Cross-Site Scripting XSS

• Cos’è?:• È un errore che consente ad un aggressore di inserire codice di scripting sfruttando un

campo di input di un’applicazione web

• Consente di effettuare: cookie theft, session hijack e accesso alle informazioni riservate

• Tipi:• Stored: il codice maligno è permanentemente immagazzinato nel server e viene inviato a

tutti i client che si connettono, che poi lo eseguono ne browser.

• Reflected: il codice viene inviato al client tramite messaggi di errore o esiti di ricerche, perché considera lo script come proveniente da un sito sicuro

• Esempio:• Immaginiamo di inserire in un guestbook o in un forum il seguente codice:

<script>location=“http://www.polimi.it/”</script>Otteniamo il reindirizzamento sul sito del Politecnico.

• Prevenzione:• Verificare l’input e bandire lo scripting



Architettura: Crawling

• Come funziona:• La navigazione avviene in modo lineare; il percorso che il bot deve seguire è specificato in

un file xml

• Sfruttiamo la libreria HTTP Unit sviluppata per Java

• Struttura XML:<?xml version="1.0"?><percorso> <pagina URL='index.html' nomeform='' method=""/> <pagina URL='/formcp/index.html' nomeform='login' method="" useName="false" Name=""> <attributo nome='username' valore='tesi' ischeckbox='false' checkboxstate='false' istest='false' /> <attributo nome='chiave' valore='tesi' ischeckbox='false' checkboxstate='false' istest='false' /> </pagina> </percorso>

• Specifichiamo l’indirizzo della pagina, il nome del form che deve essere riempito, il valore degli attributi, il tipo degli attributi e se il campo è l’input in cui effettuare l’injection



Architettura: Error Detection

• Come funziona:• La rilevazione degli errori avviene confrontando il codice HTML della pagina ottenuta dai

dati invalidi con il codice delle pagine ottenute sfruttando il set di dati validi forniti dal chiamante.

• E' realizzata tramite tre controlli in cascata

• Controlli:• MD5

• Rilevazione Errori DataBase• Confronto Alberi Document Object Model (DOM) ‏



Controlli: MD5

• Cos'è MD5:• Message Digest 5 è un algoritmo di crittografia dei dati a senso unico che produce, a partire da una

stringa di lunghezza arbitraria, una stringa chiamata digest, lunga 128bit composta da 32 simboli esadecimali.

• Due stringhe diverse, in teoria, non possono avere lo stesso MD5.• E' stato “rotto” nel 2005.

• Come funziona:• Alcune pagine dinamiche sono configurate per mostrare sempre la stessa pagina in caso di successo,

indipendentemente dai dai dati inseriti• Confrontando gli hash della pagina potenzialmente invalida con quelli delle pagine valide, è possibile

individuare immediatamente parametri sicuramente validi



Controlli: Errori DB

• Come funziona:• Spesso, i tentativi di SQL-Injection possono generare errori nel DBMS. Altrettanto spesso, questi errori

vengono mostrati a video [sempre, se si sta effettuando il debug di una applicazione]

• Il Bot cerca all'interno di una pagina la presenza di messaggi provenienti dal DBMS

• Errori DBMS:• La lista degli errori SQL è un file XML, che contiene le espressioni regolari associate ad ogni messaggiio.• E' facile scrivere un nuovo file contenente errori di un altro DBMS o errori custom• Struttura del file:

<?xml version="1.0"?><dbms_error> <error regex=’Can't create file '[0-9a-zA-Z ]* '(errno: [0-9a-zA-Z ]*)’/> <error regex=’Can't create table '[0-9a-zA-Z ]* '(errno: [0-9a-zA-Z ]*)’/></dbms_error>



Controlli: DOM

• Cos'è Document Object Model:• è una forma di rappresentazione dei documenti strutturati come modello orientato agli oggetti. E' uno

standard del W3C• DOM permette di associare ad una pagina xHTML ben formata un albero che rappresenta la struttura

del documento

• Come funziona:• In una applicazione, pagine simili hanno una struttura simile, ma pagine contenutisticamente molto

differenti possono avere la medesima struttura• Confrontando l'albero DOM della pagina ottenuta dal dato invalido con tutti i DOM degli alberi ritenuti

validi, è possibile verificare se la struttura da verificare rispetti uno o più alberi validi



Controlli: XSS Detection

• Come funziona:• Il dato da testare è uno script. L'applicazione effettua l'injection dello script nella pagina target • Verifica che la stringa sia presente in una pagina specificata, senza che il tag <script> sia stato

modificato, eliminato o convertito nella corrispondente entity.• E'è il controllo più facile da progettare, ma non è semplice da implementare. Infatti, lo script, una volta

inserito, può trovarsi in una posizione differente dalla pagina in cui è stata effettuata l'injection.



Test Effettuati

• Test Didattico: WebGoat• WebGoat è un set di applicazioni volutamente insicure, preparate dall'OWASP - Open Web Application

Security Project, con il fine di istruire gli sviluppatori a prevenire vulnerabilità.

• Il bot è stato in grado di rilevare l'SQL-Injection e il Cross Site Scripting

• Test Reali:• PhpBB2: l'applicazione rileva correttamente un Cross Site Scripting avvenuto a causa del mancato

controllo del campo “autore” nel form di ricerca dei post

• PhpNuke v7.8: l'applicazione rileva correttamente una SQL-Injection avvenuta a causa del mancato controllo dei parametri inviati alla query nel campo principale della ricerca

• Test Reali - Come?:• Sono stati effettuati sfruttando vulnerabilità note e exploit conosciuti.• Sono state scelte applicazioni conosciute, familiari a molti utenti.



Conclusione e sviluppi futuri

•Conclusioni:• Corretto funzionamento applicazione

• Problemi con documenti non formati e Blind SQL-Injection

• Sviluppi futuri:• Ottimizzazione codice

• Correzione errori di navigazione

• Implementazione di una differente politica di confronto DOM



Fine Presentazione

Fine PresentazioneThat's all, Folks!


Politecnico di Milano

Navigazione automatica e rilevazione di errori in

applicazioni web:Test in Dettaglio

Relatore: Prof. Stefano Zanero

Fabio Quarti

Federico Villa

A.A. 2006/2007



Sommario

• Obiettivo:• Illustrare la casistica e il software con cui è stata testata l'applicazione

sviluppata.

• Test Didattici:• WebGoat• SQL-Injection

• Cross-Site scripting XSS

• Test Reali:• PhpBB2 e XSS in PhpBB2• PhpNuke v7.8 e SQL-Injection in PhpNuke v7.8

• Conclusioni



WebGoat

• Cos'è WebGoat• WebGoat è un set di applicazioni volutamente insicure, preparate dall'OWASP - Open Web Application

Security Project, con il fine di istruire gli sviluppatori a prevenire vulnerabilità.

• Mette a disposizione dell'utente un finto portale bancario su cui effettuare le injection SQL e un finto guestbook su cui effettuare il Cross-Site Scripting

• Cos'è OWASP• The Open Web Application Security Project (OWASP) is dedicated to finding and fighting the causes of

insecure software. Everything here is free and open source. The OWASP Foundation is a 501c3 not-for-profit charitable organization that ensures the ongoing availability and support for our work. Participation in OWASP is free and open to all.



SQL-Injection in Webgoat 1

• Come• E' possibile effettuare l'injection in un campo adibito all'autenticazione di un utente che vuole

vedere i suoi numeri di carta di credito

• Con una banale injection è possibile forzare il sistema a mostrare tutti i numeri di carta di credito di tutti gli uenti

• E' sufficiente inserire, invece del nome utente di prova “Smith”, la stringa ’ OR (LENGTH(last_name)<100) ‏



Cross-Site Scripting in WG 1

• Come• E' possibile effettuare l'injection in un campo adibito all'inserimento di messaggi in un guestbook• Il messaggio viene immediatamente mostrato, senza essere controllato• La stringa utilizzata per l'Injection è <script>JavaScript:alert("XSS

Avvenuto con successo!")</script>



Cross-Site Scripting in PhpBB2 1

• Cosa è:• Php Bulletin Board V2 è una tra i più popolari sistemi Open Source per la gestione di forum scritti

mediante il linguaggio di programmazione PHP.

• Come• E' possibile effettuare l'injection in un campo adibito all'inserimento della query di ricerca per autore• Il messaggio viene immediatamente mostrato, senza essere controllato• La stringa utilizzata per l'Injection è <script>JavaScript:alert

("XSS Eseguito!")</script>



SQL-Injection in PhpNuke 7.8 1

• Cosa è:• PhpNuke, definito dall’autore come il futuro del Web, è una piattaforma scritta in php che

permette ad un amministratore di creare un portale per una comunità di utenti, consentendo a ciascun utente di pubblicare, modificare e commentare articoli e news.

• E' altamente modulare

• Come• E' possibile effettuare l'injection in un campo adibito alla ricerca all'interno di PhpNuke• Con una banale injection è possibile forzare il sistema a mostrare tutti gli hash delle password degli

amministratori• E' sufficiente inserire nel campo di ricerca la stringa s%’)

UNION SELECT 0,user_id,username,user_password,0,0,0,0,0,0 FROM nuke_users



Conclusione

•Conclusioni:• Buoni risultati in fase di testing

• Problemi con documenti non formati e Blind SQL-Injection

• Problemi con l'esecuzione di codice JavaScript



Fine Presentazione

Fine PresentazioneE l'ultimo chiuda la porta


Tesi Triennale: Navigazione automatica e rilevazione di errori in applicazioni web

Technology

Transcript of Tesi Triennale: Navigazione automatica e rilevazione di errori in applicazioni web