Drucksache: PHP Magazin 5.16 - Forschungsfeld Webanwendung
Im PHP Magazin 5.2016 ist ein Artikel über einen Teil der auf den Sicherheitskonferenzen vorgestellten Angriffe auf Webserver erschienen.
Auf entwickler.de gibt es eine Leseprobe des Artikels.
Sie denken, im Bereich der Web-Security wurden längst alle möglichen Schwachstellenarten und Angriffe entdeckt, und es gibt nichts neues mehr zu entdecken? Dann haben Sie die Rechnung ohne die Sicherheitsforscher gemacht!
Bisher sieht das, was die Forscher entdeckt haben, noch nicht all zu schlimm aus. Aber das kann sich durchaus noch ändern.
Probleme gibt es zum Beispiel bei den CAPTCHAs zur Unterscheidung von menschlichen Benutzern von unerwünschten Bots. Das Text-CAPTCHAs inzwischen eher die ehrlichen Benutzer als die Cyberkriminellen behindern ist ein seit längeren bekanntes Problem. Dass sich auch Bild-CAPTCHAs automatisiert lösen lassen ist äußerst unschön. Noch schlechter ist es, dass sich die CAPTCHA-Anzeige von reCAPTCHA umgehen lässt. Google hat die entdeckten Schwachstellen aber bereits behoben und wird sicher auch weiter an der Verbesserung von reCAPTCHA arbeiten.
Außerdem wurde eine Remote Code Execution über SQL Injection vorgestellt. Dabei gilt der alte Grundsatz "Wo Rauch ist, ist auch Feuer". Nur dass das in diesem Fall eher die Reste eines alten Buschfeuers sind, das nur in ungünstigen Fällen noch mal aufflackern könnte. Denn insgesamt wurde in dem Vortrag nichts wirklich Neues gezeigt, dafür aber jede Menge altbekannter Schwachstellen bzw. Angriffe in Erinnerung gerufen. So lange eine Webanwendung diese Schwachstellen nicht enthält, besteht keine Gefahr. Aber vielleicht ist die Erinnerung an diese ganzen alten Probleme gar nicht so schlecht. Denn es gibt ja immer noch Webanwendungen, die ungesalzene klassische Hashwerte für die Speicherung der Passwörter verwenden statt der deutlich sicheren, speziell dafür vorgesehenen Funktionen, die zum Beispiel das Passwort-Hashing-API von PHP bereit stellt [8].
Unschön ist nur einer der in diesem Vortrag vorgestellten Angriffe: Social Engineering mit Hilfe von Unix-Wildcards. Dabei wird ausgenutzt, dass Dateinamen in einem Wildcard-Ausdruck als Kommando-Variablen interpretiert werden. Der Angreifer konstruiert über die Upload-Funktion der Webanwendung Dateien mit Namen, die einem Befehl entsprechen. Der Befehl wird ausgeführt, wenn ein Benutzer einen Wildcard-Befehl in einem betroffenen Verzeichnis ausführt. Wozu er dann per Social Engineering verleitet werden muss.
Aber so ein Angriff dürfte über Webanwendungen nur sehr selten durchgeführt werden können, denn welche Webanwendung speichert heraufgeladene Dateien denn unter dem vom Benutzer gelieferten Namen? Anders sieht es vielleicht aus, wenn der Angreifer direkten Zugriff auf das System hat und beliebige Dateien anlegen kann. Aber wenn man so einen bösartigen Benutzer auf seinem Server hat, hat der meist bessere Möglichkeiten Schaden anzurichten, als ausgerechnet über so einen doch ziemlich auf den Zufall angewiesenen Weg.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Ryan Mitchell; DEF CON 23: "Separating Bots from the Humans"
(Material als ZIP-Archiv, Präsentation als PDF, Video auf YouTube, Video mit Untertiteln etc. auf defcon.org) - [2] Melissa; Safe and Savvy Blog by F-Secure: "The Dangers of Public WiFi - And Crazy Things People Do To Use It"
- [3] GitHub: REMitchell/tesseract-trainer: Tools used to generate training files for the Tesseract OCR project
- [4] Iasonas Polakis, Suphannee Sivakorn; Black Hat Asia 2016: "I'm Not a Human: Breaking the Google reCAPTCHA"
- [5] Lance Buttars ("Nemus"); DEF CON 23: "Hacking SQL Injection for Remote Code Execution on a LAMP stack"
(Präsentation als PDF, Video auf YouTube, Video mit Untertiteln etc. auf defcon.org) - [6] Carsten Eilers: "SQL-Injection im Schnelldurchlauf"
- [7] Leon Juranic: "Back To The Future: Unix Wildcards Gone Wild"
- [8] Carsten Eilers: "Passwörter speichern, aber richtig!"; PHP Magazin 6.2013
Trackbacks