SlideShare ist ein Scribd-Unternehmen logo
1 von 59
Downloaden Sie, um offline zu lesen
NOČNÍ MŮRYNOČNÍ MŮRY
WEBOVÉHOWEBOVÉHO
VÝVOJÁŘEVÝVOJÁŘE
Michal ŠpačekMichal Špaček
www.michalspacek.czwww.michalspacek.cz @spazef0rze@spazef0rze
Na fotce je Mike Rogers, šéf americké NSA.
Tato verze slajdů obsahuje navíc poznámky
nejen pro ty, kteří na přednášce nebyli.
POUZE PRO
STUDIJNÍ ÚČELY
NENABÁDÁM
K TRESTNÉ ČINNOSTI
Webová bezpečnost je tak trochu jako matematika nebo sekera nebo
kladivo. Když s těmito znalostmi nebo nástroji uděláte něco nepěkného,
půjdete bručet. Můj anděl strážný mi doporučil vás upozornit.
Trestní zákoník – č. 40/2009 Sb. § 182
Porušení tajemství dopravovaných zpráv
(1) Kdo úmyslně poruší tajemství
a) …
b) datové, textové, hlasové, zvukové či obrazové zprávy posílané
prostřednictvím sítě elektronických komunikací a přiřaditelné k
identifikovanému účastníku nebo uživateli, který zprávu přijímá, nebo
c) neveřejného přenosu počítačových dat do počítačového systému, z něj
nebo v jeho rámci, včetně elektromagnetického vyzařování z
počítačového systému, přenášejícího taková počítačová data,
bude potrestán odnětím svobody až na dvě léta nebo zákazem činnosti.
Trestní zákoník – č. 40/2009 Sb. § 230
Neoprávněný přístup k počítačovému systému
a nosiči informací
(1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k
počítačovému systému nebo k jeho části, bude potrestán odnětím svobody
až na jeden rok, zákazem činnosti nebo propadnutím věci nebo jiné
majetkové hodnoty.
V § 230, odstavci (1), se vůbec nehovoří o úmyslu. Jakákoliv bezpečnostní opatření
na webu ale bohužel často chybí.
Chyby tedy raději hledat nebudeme, jen si o nich budeme povídat. Chyby často hledají
jiní a píšou o nich pak na webu. Když budete nějaký popis hledat, raději použijte Tor.
Uber nechal přístupový klíč k databázi veřejně na GitHubu, někdo ho zneužil a Uber teď
chce po GitHubu IP adresy všech návštěvníků té stránky. Tor funguje takto.
Jedním z webů, kde se občas zveřejňují chyby je český SOOM. Nezáleží na tom, jak
velký máte web nebo kolik máte uživatelů, vždycky jste pro někoho dost dobrý cíl.
SQL INJECTIONSQL INJECTION
Velmi často je zmiňována útok SQL Injection. Ten vypadá
přesně takto. To znáte, ne? Někteří úplně přesně takhle,
že? Fajn, pro ty, kteří jste to nezažili nebo to s radostí
zapomněli, tak opakování: SQL Injection spočívá v
úpravě dotazu odesílaného do databáze.
SELECT jmeno, adresa
FROM vozidla
WHERE rz = '$prectena';
Představte si aplikaci pro kameru, která měří rychlost. Pod kamerou projede
auto, kamera přečte jeho registrační značku a když pojede rychle, tak z
databáze vytáhne adresu a pošle pokutu. Zjednodušeně.
SELECT jmeno, adresa
FROM vozidla
WHERE rz = '1AM 1337';
1AM 1337
Když pod kamerou projede nějaký elitní pražan, tak obslužný software
kamery pošle do databáze tento dotaz, najde se jméno a adresa a už se
tiskne milostný dopis.
' OR 0='0
Když pod kamerou projede třeba tohle auto ze Severní
Karolíny, tak… to nebude fungovat, protože nejspíš nebude
mít značku vpředu. Ale kdyby to fungovalo, tak se stane tohle:
SELECT jmeno, adresa
FROM vozidla
WHERE rz = '' OR 0='0';
' OR 0='0
Do databáze se pošle tento dotaz, to červené a podtržené je přečtená
značka. OR 0='0' je vždy pravda, takže pokuta se pošle všem. HA HA HA.
' OR 1=1; --
Někdy se používá tenhle minitrik s komentářem, protože nevíme, co všechno
na konci dotazu je, tak to prostě zakomentujeme.
SELECT jmeno, adresa
FROM vozidla
WHERE rz = '' OR 1=1; --';
' OR 1=1; --
Dotaz pak bude vypadat třeba takto, všimněte si, že vše za středníkem je
zakomentováno. Středník se dá vynechat a v MySQL by bylo potřeba ještě
doplnit mezeru za pomlčka pomlčka. Výsledek je ale stejný.
Mno, tak když by pod takovou kamerou projel tenhle frajer, tak… Ale tohle by
fungovalo jen v případě, že by šlo najednou poslat více dotazů oddělených
středníkem. Za určitých okolností to lze i v MySQL, třeba při
SQL Injection v emulovaných prepared statements v PDO.
Software kamer na silnici ale není to, s čím se často setkáváme, zvlášť pokud
nemáme řidičák. Pojďme si to ukázat spíš na nějaké webové aplikaci. Tady
jsme chtěli zobrazit produkty značky 30'abc – to je známá čínská značka, něco
jako McDonald's – v obojím je apostrof a to se hodí.
V téhle webové aplikaci došlo k chybě, protože dotaz není syntakticky správně,
ale vývojáři nám k tomu naštěstí vypsali spoustu dalších informací, jako třeba celý
dotaz, takže přesně víme, jak vypadá a co máme dělat. Tohle nikdy nedělejte,
když dojde k chybě, tak tohle uživatele vůbec nezajímá. Zajímá to jen mizery.
"… WHERE znacka = '{$_GET['znacka']}'"
Dotaz, který aplikace odesílala, mohl vypadat třeba nějak takto, parametr je
sice ohraničen do apostrofů, ale bez jakéhokoliv ošetření. Stačí pak
apostrofem z toho ohraničení vyskočit a zbytek dotazu upravit dle přání.
Někdy není apostrof potřeba, protože není z
čeho vyskakovat, to je třeba tento případ.
Aplikace očekává číslo a my pošleme řetězec.
'… WHERE id = ' . $_GET['id']
Kód v tomto případě mohl vypadat takto, parametr
je do dotazu vložen bez ohraničení apostrofy, takže
i kdyby náhodou ochrana spočívala v nějakém
ošetření apostrofů, aby nešlo vyskočit, tak je to
jedno, apostrof zde vůbec není třeba psát.
STOP! DEMO TIME!
SQL Injection si můžete beztrestně vyzkoušet třeba u mě, na adrese
http://exploited.cz/sql/products.php
BLINDBLIND
SQL INJECTIONSQL INJECTION
Při útoku SQL Injection je běžné, že aplikace zobrazuje
nějaké chybové hlášky nebo něco vypisuje do stránky.
Často ale nic takového nevidíte. Blind SQL Injection
spočívá v tom, že jen pozorujete chování stránky.
Prepared statements (PDO)
Řešením mohou být třeba prepared statements, které jsou v PHP v PDO extenzi.
Fungují tak, že si v dotazu pojmenujete zástupné místo (:id) a pak na něj navážete
proměnnou. Někdy se místo těchto pojmenovaných míst mohou použít jen otazníky.
Ale pozor, v PHP tohle neumí třeba vložit pole, takže si musíte spoustu věcí dopsat a
můžete to podělat. Jako třeba Drupal, ten si právě takto zavlekl do kódu SQL Injection.
Je tedy lepší použít něco, co už tyto věci umí, třeba
dibi, nebo aspoň dávejte velký pozor při implementaci,
v tom případě vám přeji hodně štěstí.
$query where(→
'p.product = (%sql)',
'SELECT id FROM products
WHERE code = '' . $code . '''
);
No a nakonec, ani s dibi nesmíte udělat třeba tohle. $code je tam prostě
nalepené, což je špatně, protože i toto je zranitelnost SQL Injection. Do
dotazu raději nic takto nevkládejte, vždy využijte vázání proměnných.
Mark Burnett https://xato.net/passwords/password-stock-photos/
Může se stát a asi se i stane, že někde přece jen uděláte chybu a někdo získá
přístup k databázi. Nebo se dostane k zálohám. V databázi je spousta věcí, údaje o
dodavatelích apod. jsou sice jen vaše, ale hesla uživatelů vaše nejsou. Hesla
uživatelů se pak dají použít na páchání zla přímo těm uživatelům, třeba na přístup k
jejich e-mailovým schránkám. Hodně uživatelů používá jedno heslo na více místech.
Plaintext
MD5(heslo)
SHA-1(heslo)
SHA-2(heslo)
Takto hesla neukládejte. MD5, ani SHA-
1 nebo SHA-2 nepoužívejte. Pokud dva
uživatelé budou mít stejné heslo, budou
mít i stejný hash. Takto zahashovaná
hesla lze najít i v tzv. předpočítaných
tabulkách (rainbow tables). Lidé, co to
myslí vážně s lámáním hesel už
rainbow tables nepoužívají, zabírají moc
místa a dlouho se vytváří.
Jenže Google takových tabulek pár indexuje, takže pro rychlé
vyzkoušení stačí vzít hash a dát ho do Google. Profi práce se ale
takto nedělá. Profíci používají grafické karty a velké slovníky
(které obsahují i sousloví a celé věty, nejenom jednotlivá slova)
pro slovníkové a hybridní útoky.
MD5(heslo + salt)
SHA-1(heslo + salt)
Pro zamezení použití rainbow tables a narozeninových útoků se používá salt. Salt je unikátní a
náhodný pro každý účet, není tajný a je v db uložen v čitelné podobě, neslouží ke zpomalení
lámání hesel. Takže takhle to také nedělejte. Tohle je sice lepší, než jen MD5, ale…
Salt nezpomaluje lámání hesel, takže hrubou silou 8 grafických karet
se pořád dá lámat hodně rychle. Tenhle stroj generuje 80 miliard
MD5 hashů/sec. I můj laptop dělá 30 milionů MD5 hashů/sec a asi
20M SHA-1/sec. Podobné stroje pro profíky staví Jeremi Gosney.
bcrypt!
Blowfish hashing
Takže jak na to? Pro ukládání hesel použijte bcrypt, někdy nazýván
„Blowfish hashing“ (samotný název Blowfish představuje symetrickou
šifru, tedy něco jiného a nevhodného pro ukládání hesel). Bcrypt
podporuje salt a dá se řídit jeho rychlost. Doporučuje se nastavit cost
parametr na 10 (nebo více), což znamená, že se jedno heslo zahashuje
v cyklu 2×1010
. Jedno hashování trvá zhruba 80 ms, uživatel to ani
nepostřehne, ale útočníka to podstatně zpomalí.
crypt() salt=$2y$…
password_hash() password_verify()
Bcrypt je v PHP implementován ve funkci crypt() od 5.3.7. Nastavuje se saltem,
který začíná na $2y$. Salt si musíte vymyslet sami, jenže to je masakr. Saltem to
můžete pokazit, třeba když použijete všude stejný. Jakákoliv funkce, která po vás
chce salt je na nic. Od PHP 5.5 jsou dostupné funkce, kterým jen dáte heslo
a ony ho zahashují nebo ověří, nic víc neřešíte. Pro starší PHP raději použijte
password_compat. Od Nette 2.2 můžete použít NetteSecurityPasswords.
scrypt
PBKDF2
Argon2
Další vhodné algoritmy jsou scrypt a PBKDF2. Scrypt je pro PHP dostupný
pouze jako PECL extenze. PBKDF2 je v PHP od 5.5. V létě 2015 bychom
měli znát výherce Password Hashing Competition, tedy nový a ještě lepší
algoritmus pro ukládání hesel. Snad bude brzy dostupný i v PHP a dalších
jazycích. (Aktualizace: novou hashovací funkcí je Argon2, až bude
dostupná ve vašem oblíbeném jazyce, tak ji používejte.)
Zdroj: http://www.flickr.com/photos/40852961@N04/5439723004/
Neposílejte hesla e-mailem, ani po
registraci. Ne všechna spojení
mezi servery jsou šifrovaná a někdo
tedy e-mail s heslem může
odposlechnout. Navíc když si
uživatel zprávu s heslem stáhne do
počítače, tak to heslo tam může
někdo přečíst. Uživatel si navíc
heslo zaslané e-mailem spíš nikdy
nezmění.
Zdroj: http://www.flickr.com/photos/reidrac/4696900602/
Reset zapomenutého hesla provádějte tak, že uživateli pošlete odkaz, který bude mít
náhodný token, který bude za hodinu expirovat a bude platit jen jednou. Po kliknutí si
bude moci uživatel nastavit heslo. Negenerujte mu nové heslo a neposílejte ho ani e-
mailem. Po změně hesla uživatele informujte, inspirujte se třeba u Facebooku.
Jeden uživatel
=
Jedna databáze
Nebuďte líní a pro každou aplikaci vytvářejte nové databázové uživatele a
nová hesla. Nastavte jim právo pro přístup pouze do jedné databáze.
Jeden uživatel s možností přístupu k databázím více aplikací může být
problém ve chvíli, kdy jedna z těch aplikací bude mít chybu SQL Injection.
Žádný kód v databázi
eval(), HTML
V databází nemějte ani žádný PHP kód, který budete chtít spouštět
pomocí eval(), viz Drupal 7 Remote Code Execution, ani HTML na
formátování, protože to HTML může útočník s přístupem do databáze
upravit a dát tam třeba svoji reklamu. Použijte třeba Texy s vypnutým
HTML, aby nešlo propašovat ani vlastní Javascript.
Cross-Site Scripting
XSS
Další častou chybou je XSS, tedy útok, během kterého útočník vloží nějaký kód
na stránku, JavaScript, obrázek, HTML formulář apod.
XSS vypadá třeba takto, viz parametr zb v URL. Tím se do
stránky propašoval JavaScript, který zobrazil tohle alert okno.
V kódu napadené stránky to vypadá takto. Modře označený text je to, co se
do HTML dostalo z parametru zb v URL.
JavaScript od útočníka může vypadat třeba takto. Tohle konkrétně
krade přihlašovací jméno a heslo z přihlašovacího formuláře po
jeho odeslání. JavaScriptem lze někdy získat i session id z cookies,
pak není třeba krást hesla. Ačkoliv heslo se vždycky hodí.
htmlspecialchars($string, ENT_QUOTES)
Výstupy ošetřujte pomocí htmlspecialchars() s parametrem ENT_QUOTES
aby se převáděly i apostrofy. Ty se standardně nepřevádí. Lepší je ale
použít nějaký šablonovací systém, který toto řeší za vás automaticky. Nikdy
si nezkracujte cestu a automatické ošetřování nevypínejte.
Nepoužívat
strip_tags()
proti XSS
Funkce strip_tags() není ta správná ochrana pro XSS. Odstraňuje
pouze celé značky, ale to útočníkovi nezabrání vložit třeba nový atribut
onclick do existujícího formulářového políčka.
X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
A když náhodou zapomenete něco ošetřit (nebo když vypnete automagické
ošetřování), tak tahle HTTP hlavička může vaše návštěvníky zachránit. Aktivuje XSS
Auditor v prohlížečích a v pokud se na stránku dostane nějaký JavaScript přes adresu
nebo z formuláře, tak jej nespustí, případně celou stránku vůbec nezobrazí, pokud
použijete mode=block. A to byste měli, protože některé prohlížeče se stránku pokusí
opravit, ale opraví ji tak dobře, že vložený JavaScript se stejně spustí.
default-src 'none'
script-src 'unsafe-inline'
script-src ajax.googleapis.com
Content-Security-Policy
Hlavička X-XSS-Protection neřeší případy, kdy útočník uloží JavaScript do
databáze, například do článku. Dopad takového problému můžete zmírnit třeba
pomocí Content Security Policy (CSP). Tato hlavička explicitně povoluje zdroje,
odkud se mohou načítat skripty, obrázky, styly aj. Hodnota unsafe-inline povoluje
inline JS, tedy JavaScript vložený přímo do HTML kódu. To byste neměli dělat,
veškerý kód byste měli dát do externích souborů a unsafe-inline nepoužívat.
Podle mé zkušenosti s tím ale nefunguje třeba Google Tag Manager, bohužel.
script-src 'strict-dynamic' 'nonce-<random>'
'unsafe-inline' http: https:;
object-src 'none';
report-uri https://….report-uri.io/…
Lepší Content-Security-Policy
Zavést CSP na běžící web není nic jednoduchého, právě třeba kvůli Google Tag Manageru.
Proto je jednodušší použít tuto hlavičku. strict-dynamic je vlastnost z CSP3, která dovolí
skriptům již vloženým do stránky vkládat další skripty, tedy přesně to, co dělá právě např Tag
Manager. HTML značky script pro vkládání JavaScriptu do stránky je nutné označit pomocí
atributu nonce a jeho hodnotu pak přidat do direktivy script-src. Hodnota by měla být
náhodná a měla by se měnit při každém načtení stránky. Zbytek, včetně 'unsafe-inline', je
pak pro starší prohlížeče, které CSP3 neumí. object-src zakáže vložit Flash, který také může
způsobit XSS. Díky direktivě report-uri bude prohlížeč odesílat reporty o porušení nastavení
politiky, posílejte si je na službu report-uri.io. Kvalitu nastavení CSP si můžete zkontrolovat na
csp-evaluator.withgoogle.com, na stejném místě můžete stáhnout i extenzi do Chrome.
session.cookie_httponly: true
session.cookie_secure: true
HTTP-Only cookies
Pomocí XSS se často kradou sessions - JS načte z document.cookie session
cookie a pošle ji útočníkovi, ten si ji vloží do svého browseru a vydává se za
uživatele, který útočníkův kód spustil. Parametr httponly zabrání JS ve čtení dané
cookie, v document.cookie pak není dostupná. Tuhle direktivu si nastavte. HNED.
TEĎ. A pokud máte web pouze na HTTPS, což byste měli mít, tak nastavte
i secure parametr. A tím se pomalu dostáváme k…
HTTPS
=
How To Transfer Private Shit
Nikomu tedy není nic do toho, jaké články si zrovna čtu, jaká odesílám hesla,
co si zrovna prohlížím a nikdo nemá právo modifikovat data, která stahuji.
STOP! DEMO TIME!
Umím donutit vaše zařízení, aby se připojila k mojí Wi-Fi a HTTPS potom docela
oceníte. Ukázku najdete v druhé půlce mojí přednášky z konference PHP live 2014.
TLS
Transport Layer Security
To S v názvu HTTPS neznamená SSL, ale Secure. SSL je protokol z minulého
tisíciletí a už by se neměl dnes používat. Nahradil ho protokol TLS, aktuálně ve
verzi 1.2, v březnu 2015 je aktuálně k dispozici návrh TLS 1.3.
Pro web na HTTPS (celý web, jinak to nemá smysl) vlastní IP adresu potřebovat
NE-BU-DE-TE.
SNI
Server Name Indication
Od roku 2003 existuje rozšíření TLS s názvem SNI, které zajistí, že název serveru pošle
prohlížeč nešifrovaně a server tak bude moci poskytnout prohlížeči správný certifikát.
SNI umí IE od verze 7 na WinVista a pozdějších. Na WinXP to nefunguje v žádném IE,
ve Firefoxu a Chrome ano. Firefox umí SNI od verze 2, Chrome od verze 6 na WinXP
(na WinVista v jakékoliv verzi), Safari od verze 3, Android od 3 dále. Pokud potřebujete
podporovat starší verze, tak budete pořád vlastní IP adresu potřebovat.
HSTS
HTTP Strict Transport Security
Až budete mít celý web na HTTPS, tak přidejte hlavičku Strict-Transport-
Security. HSTS, zajistí, že browser vnitřně přesměruje na HTTPS a nebude
vůbec nebude posílat požadavek po HTTP. Ten by stejně jenom vygeneroval
přesměrování na HTTPS verzi. Požadavek na HTTP tedy nepůjde zachytit a
odstranit to přesměrování a tím efektivně HTTPS odstranit a převést na HTTP.
MIXED CONTENTMIXED CONTENT
Po převodu na HTTPS si dávejte pozor na tzv. mixed content, tedy
abyste do stránek na HTTPS nenačítali HTTP obsah, browser by tento
obsah mohl zablokovat. Typicky se jedná třeba o videa, styly a obrázky.
REFERRER
<meta name="referrer" content="origin">
Pozor na referrer, ten se ze stránek na HTTPS nepředává do stránek na HTTP,
takže je potřeba si správně odkazy z HTTPS nějak označit, jinak nebudete v
Google Analytics vědět, odkud návštěvník přišel. Můžete také použít meta referrer
(tady už správně s dvěma „r“), ten zajistí, že se referrer bude předávat i z HTTPS
na HTTP, pokud použijete hodnotu origin (předá se pouze doména) nebo
unsafe-url (předá se celé URL včetně parametrů), podpora v Chrome od konce
roku 2011, Firefox od verze 36, IE od verze 12/Edge.
HTTPONLY
&
SECURE
HTTP-only cookie jsem zmiňoval jako obranu proti krádeži session pomocí XSS.
Secure parametr jsem také už nakousl. Ten zajistí, že browser nepošle cookie (třeba
se session id) po nešifrovaném spojení, i kdyby ho útočník přesvědčoval, že to má
udělat, takže nepůjde odposlechnout. Bez toho je HTTPS jakoby bez toho S.
Nepotřebný
Nebezpečný
Nepořádek
Nene
Nene… chávejte nepotřebné soubory na webu.
http://www.example.com/app/config.neon
Konfigurace Nette v čitelné podobě. Přibližně jedno procento webů napsaných
v Nette má konfiguraci volně a veřejně přístupnou. Tyhle soubory nesmí být
přístupné pomocí prohlížeče, patří mimo document root nebo k nim musí být
zakázán přístup pomocí souboru .htaccess.
http://www.example.com/.git
git clone http://www.example.com/.git
Pokud pracujete s Gitem, tak si zkontrolujte, jestli na webu nemáte adresář
.git a pokud máte, tak ho smažte a zajistěte, aby se tam zase nedostal.
Pokud se dá do toho adresáře dostat přes browser, tak je možné získat
interní databázi Gitu, ve které je třeba seznam souborů. Často lze také
naklonovat repozitář a získat tak kompletní zdrojové kódy.
Michal ŠpačekMichal Špaček
www.michalspacek.czwww.michalspacek.cz @spazef0rze@spazef0rze
https://www.michalspacek.cz/skoleni
Followujte mě na Twitteru a přijďte na školení bezpečnosti.
Mějte se rádi! V/

Weitere ähnliche Inhalte

Was ist angesagt?

Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
 
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)Michal Špaček
 
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Michal Špaček
 
Bezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceBezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceMichal Špaček
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníMichal Špaček
 
Kolik webových útoků znáš...
Kolik webových útoků znáš...Kolik webových útoků znáš...
Kolik webových útoků znáš...Michal Špaček
 
WebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostWebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostMichal Špaček
 
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Michal Špaček
 
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Michal Špaček
 
HTTPS (a šifrování) všude
HTTPS (a šifrování) všudeHTTPS (a šifrování) všude
HTTPS (a šifrování) všudeMichal Špaček
 
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchMichal Špaček
 
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Michal Špaček
 
Bezpečnost na webu
Bezpečnost na webuBezpečnost na webu
Bezpečnost na webuMiloš Janda
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)wcsk
 
HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015tomashala
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůVladimír Smitka
 
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...New Media Inspiration
 

Was ist angesagt? (20)

Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
 
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)
 
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
 
Hlava není na hesla
Hlava není na heslaHlava není na hesla
Hlava není na hesla
 
Bezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceBezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikace
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
 
Kolik webových útoků znáš...
Kolik webových útoků znáš...Kolik webových útoků znáš...
Kolik webových útoků znáš...
 
WebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostWebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnost
 
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
 
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)
 
Zapomeňte vaše hesla
Zapomeňte vaše heslaZapomeňte vaše hesla
Zapomeňte vaše hesla
 
HTTPS (a šifrování) všude
HTTPS (a šifrování) všudeHTTPS (a šifrování) všude
HTTPS (a šifrování) všude
 
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeních
 
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
 
Total Cost of Pwnership
Total Cost of PwnershipTotal Cost of Pwnership
Total Cost of Pwnership
 
Bezpečnost na webu
Bezpečnost na webuBezpečnost na webu
Bezpečnost na webu
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)
 
HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webů
 
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
 

Ähnlich wie Noční můry webového vývojáře

node.js: zápisky z fronty (Battle guide to node.js)
node.js: zápisky z fronty (Battle guide to node.js)node.js: zápisky z fronty (Battle guide to node.js)
node.js: zápisky z fronty (Battle guide to node.js)almadcz
 
Závislosti, injekce a vůbec
Závislosti, injekce a vůbecZávislosti, injekce a vůbec
Závislosti, injekce a vůbecDavid Grudl
 
API Obludárium (API 2018, Praha)
API Obludárium (API 2018, Praha)API Obludárium (API 2018, Praha)
API Obludárium (API 2018, Praha)Michal Taborsky
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Kuba Břečka
 
Javascript na steroidech
Javascript na steroidechJavascript na steroidech
Javascript na steroidechseznamVyvojari
 
PoSobota 96 ČB 28.4.2018
PoSobota 96 ČB 28.4.2018PoSobota 96 ČB 28.4.2018
PoSobota 96 ČB 28.4.2018Brilo Team
 
Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyVladimír Smitka
 
Relační databáze efektivně z pohledu vývojáře
Relační databáze efektivně z pohledu vývojářeRelační databáze efektivně z pohledu vývojáře
Relační databáze efektivně z pohledu vývojářeJan Smitka
 
Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceVladimír Smitka
 
Představení Ruby on Rails
Představení Ruby on RailsPředstavení Ruby on Rails
Představení Ruby on Railsigloonet
 
Prezentace - základy bezpečnosti
Prezentace - základy bezpečnostiPrezentace - základy bezpečnosti
Prezentace - základy bezpečnostiBrilo Team
 
Hobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro webHobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro webTomáš Muchka
 
Lámání a ukládání hesel
Lámání a ukládání heselLámání a ukládání hesel
Lámání a ukládání heselMichal Špaček
 
NoSQL databáze, MongoDB
NoSQL databáze, MongoDBNoSQL databáze, MongoDB
NoSQL databáze, MongoDBLukáš Korous
 
Čtvrtkon #71 - Marian Benčat - Angular a NativeScript
Čtvrtkon #71 - Marian Benčat - Angular a NativeScriptČtvrtkon #71 - Marian Benčat - Angular a NativeScript
Čtvrtkon #71 - Marian Benčat - Angular a NativeScriptCtvrtkoncz
 
#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)
#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)
#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)Jakub Kulhan
 

Ähnlich wie Noční můry webového vývojáře (16)

node.js: zápisky z fronty (Battle guide to node.js)
node.js: zápisky z fronty (Battle guide to node.js)node.js: zápisky z fronty (Battle guide to node.js)
node.js: zápisky z fronty (Battle guide to node.js)
 
Závislosti, injekce a vůbec
Závislosti, injekce a vůbecZávislosti, injekce a vůbec
Závislosti, injekce a vůbec
 
API Obludárium (API 2018, Praha)
API Obludárium (API 2018, Praha)API Obludárium (API 2018, Praha)
API Obludárium (API 2018, Praha)
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]
 
Javascript na steroidech
Javascript na steroidechJavascript na steroidech
Javascript na steroidech
 
PoSobota 96 ČB 28.4.2018
PoSobota 96 ČB 28.4.2018PoSobota 96 ČB 28.4.2018
PoSobota 96 ČB 28.4.2018
 
Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránky
 
Relační databáze efektivně z pohledu vývojáře
Relační databáze efektivně z pohledu vývojářeRelační databáze efektivně z pohledu vývojáře
Relační databáze efektivně z pohledu vývojáře
 
Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konference
 
Představení Ruby on Rails
Představení Ruby on RailsPředstavení Ruby on Rails
Představení Ruby on Rails
 
Prezentace - základy bezpečnosti
Prezentace - základy bezpečnostiPrezentace - základy bezpečnosti
Prezentace - základy bezpečnosti
 
Hobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro webHobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro web
 
Lámání a ukládání hesel
Lámání a ukládání heselLámání a ukládání hesel
Lámání a ukládání hesel
 
NoSQL databáze, MongoDB
NoSQL databáze, MongoDBNoSQL databáze, MongoDB
NoSQL databáze, MongoDB
 
Čtvrtkon #71 - Marian Benčat - Angular a NativeScript
Čtvrtkon #71 - Marian Benčat - Angular a NativeScriptČtvrtkon #71 - Marian Benčat - Angular a NativeScript
Čtvrtkon #71 - Marian Benčat - Angular a NativeScript
 
#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)
#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)
#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)
 

Mehr von Michal Špaček

Fantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v OpeřeFantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v OpeřeMichal Špaček
 
Quality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of DefenseQuality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of DefenseMichal Špaček
 
Disclosing password hashing policies
Disclosing password hashing policiesDisclosing password hashing policies
Disclosing password hashing policiesMichal Špaček
 
Operations security (OPSEC) in IT
Operations security (OPSEC) in ITOperations security (OPSEC) in IT
Operations security (OPSEC) in ITMichal Špaček
 
HTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English versionHTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English versionMichal Špaček
 
I forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and whyI forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and whyMichal Špaček
 
The problem with the real world
The problem with the real worldThe problem with the real world
The problem with the real worldMichal Špaček
 
Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013Michal Špaček
 
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013Michal Špaček
 

Mehr von Michal Špaček (10)

Fantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v OpeřeFantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v Opeře
 
Quality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of DefenseQuality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of Defense
 
Disclosing password hashing policies
Disclosing password hashing policiesDisclosing password hashing policies
Disclosing password hashing policies
 
Operations security (OPSEC) in IT
Operations security (OPSEC) in ITOperations security (OPSEC) in IT
Operations security (OPSEC) in IT
 
HTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English versionHTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English version
 
I forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and whyI forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and why
 
HTTP/2
HTTP/2HTTP/2
HTTP/2
 
The problem with the real world
The problem with the real worldThe problem with the real world
The problem with the real world
 
Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013
 
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
 

Noční můry webového vývojáře

  • 1. NOČNÍ MŮRYNOČNÍ MŮRY WEBOVÉHOWEBOVÉHO VÝVOJÁŘEVÝVOJÁŘE Michal ŠpačekMichal Špaček www.michalspacek.czwww.michalspacek.cz @spazef0rze@spazef0rze Na fotce je Mike Rogers, šéf americké NSA. Tato verze slajdů obsahuje navíc poznámky nejen pro ty, kteří na přednášce nebyli.
  • 2. POUZE PRO STUDIJNÍ ÚČELY NENABÁDÁM K TRESTNÉ ČINNOSTI Webová bezpečnost je tak trochu jako matematika nebo sekera nebo kladivo. Když s těmito znalostmi nebo nástroji uděláte něco nepěkného, půjdete bručet. Můj anděl strážný mi doporučil vás upozornit.
  • 3. Trestní zákoník – č. 40/2009 Sb. § 182 Porušení tajemství dopravovaných zpráv (1) Kdo úmyslně poruší tajemství a) … b) datové, textové, hlasové, zvukové či obrazové zprávy posílané prostřednictvím sítě elektronických komunikací a přiřaditelné k identifikovanému účastníku nebo uživateli, který zprávu přijímá, nebo c) neveřejného přenosu počítačových dat do počítačového systému, z něj nebo v jeho rámci, včetně elektromagnetického vyzařování z počítačového systému, přenášejícího taková počítačová data, bude potrestán odnětím svobody až na dvě léta nebo zákazem činnosti.
  • 4. Trestní zákoník – č. 40/2009 Sb. § 230 Neoprávněný přístup k počítačovému systému a nosiči informací (1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na jeden rok, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty. V § 230, odstavci (1), se vůbec nehovoří o úmyslu. Jakákoliv bezpečnostní opatření na webu ale bohužel často chybí.
  • 5. Chyby tedy raději hledat nebudeme, jen si o nich budeme povídat. Chyby často hledají jiní a píšou o nich pak na webu. Když budete nějaký popis hledat, raději použijte Tor. Uber nechal přístupový klíč k databázi veřejně na GitHubu, někdo ho zneužil a Uber teď chce po GitHubu IP adresy všech návštěvníků té stránky. Tor funguje takto.
  • 6. Jedním z webů, kde se občas zveřejňují chyby je český SOOM. Nezáleží na tom, jak velký máte web nebo kolik máte uživatelů, vždycky jste pro někoho dost dobrý cíl.
  • 7. SQL INJECTIONSQL INJECTION Velmi často je zmiňována útok SQL Injection. Ten vypadá přesně takto. To znáte, ne? Někteří úplně přesně takhle, že? Fajn, pro ty, kteří jste to nezažili nebo to s radostí zapomněli, tak opakování: SQL Injection spočívá v úpravě dotazu odesílaného do databáze.
  • 8. SELECT jmeno, adresa FROM vozidla WHERE rz = '$prectena'; Představte si aplikaci pro kameru, která měří rychlost. Pod kamerou projede auto, kamera přečte jeho registrační značku a když pojede rychle, tak z databáze vytáhne adresu a pošle pokutu. Zjednodušeně.
  • 9. SELECT jmeno, adresa FROM vozidla WHERE rz = '1AM 1337'; 1AM 1337 Když pod kamerou projede nějaký elitní pražan, tak obslužný software kamery pošle do databáze tento dotaz, najde se jméno a adresa a už se tiskne milostný dopis.
  • 10. ' OR 0='0 Když pod kamerou projede třeba tohle auto ze Severní Karolíny, tak… to nebude fungovat, protože nejspíš nebude mít značku vpředu. Ale kdyby to fungovalo, tak se stane tohle:
  • 11. SELECT jmeno, adresa FROM vozidla WHERE rz = '' OR 0='0'; ' OR 0='0 Do databáze se pošle tento dotaz, to červené a podtržené je přečtená značka. OR 0='0' je vždy pravda, takže pokuta se pošle všem. HA HA HA.
  • 12. ' OR 1=1; -- Někdy se používá tenhle minitrik s komentářem, protože nevíme, co všechno na konci dotazu je, tak to prostě zakomentujeme.
  • 13. SELECT jmeno, adresa FROM vozidla WHERE rz = '' OR 1=1; --'; ' OR 1=1; -- Dotaz pak bude vypadat třeba takto, všimněte si, že vše za středníkem je zakomentováno. Středník se dá vynechat a v MySQL by bylo potřeba ještě doplnit mezeru za pomlčka pomlčka. Výsledek je ale stejný.
  • 14. Mno, tak když by pod takovou kamerou projel tenhle frajer, tak… Ale tohle by fungovalo jen v případě, že by šlo najednou poslat více dotazů oddělených středníkem. Za určitých okolností to lze i v MySQL, třeba při SQL Injection v emulovaných prepared statements v PDO.
  • 15. Software kamer na silnici ale není to, s čím se často setkáváme, zvlášť pokud nemáme řidičák. Pojďme si to ukázat spíš na nějaké webové aplikaci. Tady jsme chtěli zobrazit produkty značky 30'abc – to je známá čínská značka, něco jako McDonald's – v obojím je apostrof a to se hodí.
  • 16. V téhle webové aplikaci došlo k chybě, protože dotaz není syntakticky správně, ale vývojáři nám k tomu naštěstí vypsali spoustu dalších informací, jako třeba celý dotaz, takže přesně víme, jak vypadá a co máme dělat. Tohle nikdy nedělejte, když dojde k chybě, tak tohle uživatele vůbec nezajímá. Zajímá to jen mizery.
  • 17. "… WHERE znacka = '{$_GET['znacka']}'" Dotaz, který aplikace odesílala, mohl vypadat třeba nějak takto, parametr je sice ohraničen do apostrofů, ale bez jakéhokoliv ošetření. Stačí pak apostrofem z toho ohraničení vyskočit a zbytek dotazu upravit dle přání.
  • 18. Někdy není apostrof potřeba, protože není z čeho vyskakovat, to je třeba tento případ. Aplikace očekává číslo a my pošleme řetězec.
  • 19. '… WHERE id = ' . $_GET['id'] Kód v tomto případě mohl vypadat takto, parametr je do dotazu vložen bez ohraničení apostrofy, takže i kdyby náhodou ochrana spočívala v nějakém ošetření apostrofů, aby nešlo vyskočit, tak je to jedno, apostrof zde vůbec není třeba psát.
  • 20. STOP! DEMO TIME! SQL Injection si můžete beztrestně vyzkoušet třeba u mě, na adrese http://exploited.cz/sql/products.php
  • 21. BLINDBLIND SQL INJECTIONSQL INJECTION Při útoku SQL Injection je běžné, že aplikace zobrazuje nějaké chybové hlášky nebo něco vypisuje do stránky. Často ale nic takového nevidíte. Blind SQL Injection spočívá v tom, že jen pozorujete chování stránky.
  • 22. Prepared statements (PDO) Řešením mohou být třeba prepared statements, které jsou v PHP v PDO extenzi. Fungují tak, že si v dotazu pojmenujete zástupné místo (:id) a pak na něj navážete proměnnou. Někdy se místo těchto pojmenovaných míst mohou použít jen otazníky. Ale pozor, v PHP tohle neumí třeba vložit pole, takže si musíte spoustu věcí dopsat a můžete to podělat. Jako třeba Drupal, ten si právě takto zavlekl do kódu SQL Injection.
  • 23. Je tedy lepší použít něco, co už tyto věci umí, třeba dibi, nebo aspoň dávejte velký pozor při implementaci, v tom případě vám přeji hodně štěstí.
  • 24. $query where(→ 'p.product = (%sql)', 'SELECT id FROM products WHERE code = '' . $code . ''' ); No a nakonec, ani s dibi nesmíte udělat třeba tohle. $code je tam prostě nalepené, což je špatně, protože i toto je zranitelnost SQL Injection. Do dotazu raději nic takto nevkládejte, vždy využijte vázání proměnných.
  • 25. Mark Burnett https://xato.net/passwords/password-stock-photos/ Může se stát a asi se i stane, že někde přece jen uděláte chybu a někdo získá přístup k databázi. Nebo se dostane k zálohám. V databázi je spousta věcí, údaje o dodavatelích apod. jsou sice jen vaše, ale hesla uživatelů vaše nejsou. Hesla uživatelů se pak dají použít na páchání zla přímo těm uživatelům, třeba na přístup k jejich e-mailovým schránkám. Hodně uživatelů používá jedno heslo na více místech.
  • 26. Plaintext MD5(heslo) SHA-1(heslo) SHA-2(heslo) Takto hesla neukládejte. MD5, ani SHA- 1 nebo SHA-2 nepoužívejte. Pokud dva uživatelé budou mít stejné heslo, budou mít i stejný hash. Takto zahashovaná hesla lze najít i v tzv. předpočítaných tabulkách (rainbow tables). Lidé, co to myslí vážně s lámáním hesel už rainbow tables nepoužívají, zabírají moc místa a dlouho se vytváří.
  • 27. Jenže Google takových tabulek pár indexuje, takže pro rychlé vyzkoušení stačí vzít hash a dát ho do Google. Profi práce se ale takto nedělá. Profíci používají grafické karty a velké slovníky (které obsahují i sousloví a celé věty, nejenom jednotlivá slova) pro slovníkové a hybridní útoky.
  • 28. MD5(heslo + salt) SHA-1(heslo + salt) Pro zamezení použití rainbow tables a narozeninových útoků se používá salt. Salt je unikátní a náhodný pro každý účet, není tajný a je v db uložen v čitelné podobě, neslouží ke zpomalení lámání hesel. Takže takhle to také nedělejte. Tohle je sice lepší, než jen MD5, ale…
  • 29. Salt nezpomaluje lámání hesel, takže hrubou silou 8 grafických karet se pořád dá lámat hodně rychle. Tenhle stroj generuje 80 miliard MD5 hashů/sec. I můj laptop dělá 30 milionů MD5 hashů/sec a asi 20M SHA-1/sec. Podobné stroje pro profíky staví Jeremi Gosney.
  • 30. bcrypt! Blowfish hashing Takže jak na to? Pro ukládání hesel použijte bcrypt, někdy nazýván „Blowfish hashing“ (samotný název Blowfish představuje symetrickou šifru, tedy něco jiného a nevhodného pro ukládání hesel). Bcrypt podporuje salt a dá se řídit jeho rychlost. Doporučuje se nastavit cost parametr na 10 (nebo více), což znamená, že se jedno heslo zahashuje v cyklu 2×1010 . Jedno hashování trvá zhruba 80 ms, uživatel to ani nepostřehne, ale útočníka to podstatně zpomalí.
  • 31. crypt() salt=$2y$… password_hash() password_verify() Bcrypt je v PHP implementován ve funkci crypt() od 5.3.7. Nastavuje se saltem, který začíná na $2y$. Salt si musíte vymyslet sami, jenže to je masakr. Saltem to můžete pokazit, třeba když použijete všude stejný. Jakákoliv funkce, která po vás chce salt je na nic. Od PHP 5.5 jsou dostupné funkce, kterým jen dáte heslo a ony ho zahashují nebo ověří, nic víc neřešíte. Pro starší PHP raději použijte password_compat. Od Nette 2.2 můžete použít NetteSecurityPasswords.
  • 32. scrypt PBKDF2 Argon2 Další vhodné algoritmy jsou scrypt a PBKDF2. Scrypt je pro PHP dostupný pouze jako PECL extenze. PBKDF2 je v PHP od 5.5. V létě 2015 bychom měli znát výherce Password Hashing Competition, tedy nový a ještě lepší algoritmus pro ukládání hesel. Snad bude brzy dostupný i v PHP a dalších jazycích. (Aktualizace: novou hashovací funkcí je Argon2, až bude dostupná ve vašem oblíbeném jazyce, tak ji používejte.)
  • 33. Zdroj: http://www.flickr.com/photos/40852961@N04/5439723004/ Neposílejte hesla e-mailem, ani po registraci. Ne všechna spojení mezi servery jsou šifrovaná a někdo tedy e-mail s heslem může odposlechnout. Navíc když si uživatel zprávu s heslem stáhne do počítače, tak to heslo tam může někdo přečíst. Uživatel si navíc heslo zaslané e-mailem spíš nikdy nezmění.
  • 34. Zdroj: http://www.flickr.com/photos/reidrac/4696900602/ Reset zapomenutého hesla provádějte tak, že uživateli pošlete odkaz, který bude mít náhodný token, který bude za hodinu expirovat a bude platit jen jednou. Po kliknutí si bude moci uživatel nastavit heslo. Negenerujte mu nové heslo a neposílejte ho ani e- mailem. Po změně hesla uživatele informujte, inspirujte se třeba u Facebooku.
  • 35. Jeden uživatel = Jedna databáze Nebuďte líní a pro každou aplikaci vytvářejte nové databázové uživatele a nová hesla. Nastavte jim právo pro přístup pouze do jedné databáze. Jeden uživatel s možností přístupu k databázím více aplikací může být problém ve chvíli, kdy jedna z těch aplikací bude mít chybu SQL Injection.
  • 36. Žádný kód v databázi eval(), HTML V databází nemějte ani žádný PHP kód, který budete chtít spouštět pomocí eval(), viz Drupal 7 Remote Code Execution, ani HTML na formátování, protože to HTML může útočník s přístupem do databáze upravit a dát tam třeba svoji reklamu. Použijte třeba Texy s vypnutým HTML, aby nešlo propašovat ani vlastní Javascript.
  • 37. Cross-Site Scripting XSS Další častou chybou je XSS, tedy útok, během kterého útočník vloží nějaký kód na stránku, JavaScript, obrázek, HTML formulář apod.
  • 38. XSS vypadá třeba takto, viz parametr zb v URL. Tím se do stránky propašoval JavaScript, který zobrazil tohle alert okno.
  • 39. V kódu napadené stránky to vypadá takto. Modře označený text je to, co se do HTML dostalo z parametru zb v URL.
  • 40. JavaScript od útočníka může vypadat třeba takto. Tohle konkrétně krade přihlašovací jméno a heslo z přihlašovacího formuláře po jeho odeslání. JavaScriptem lze někdy získat i session id z cookies, pak není třeba krást hesla. Ačkoliv heslo se vždycky hodí.
  • 41. htmlspecialchars($string, ENT_QUOTES) Výstupy ošetřujte pomocí htmlspecialchars() s parametrem ENT_QUOTES aby se převáděly i apostrofy. Ty se standardně nepřevádí. Lepší je ale použít nějaký šablonovací systém, který toto řeší za vás automaticky. Nikdy si nezkracujte cestu a automatické ošetřování nevypínejte.
  • 42. Nepoužívat strip_tags() proti XSS Funkce strip_tags() není ta správná ochrana pro XSS. Odstraňuje pouze celé značky, ale to útočníkovi nezabrání vložit třeba nový atribut onclick do existujícího formulářového políčka.
  • 43. X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block A když náhodou zapomenete něco ošetřit (nebo když vypnete automagické ošetřování), tak tahle HTTP hlavička může vaše návštěvníky zachránit. Aktivuje XSS Auditor v prohlížečích a v pokud se na stránku dostane nějaký JavaScript přes adresu nebo z formuláře, tak jej nespustí, případně celou stránku vůbec nezobrazí, pokud použijete mode=block. A to byste měli, protože některé prohlížeče se stránku pokusí opravit, ale opraví ji tak dobře, že vložený JavaScript se stejně spustí.
  • 44. default-src 'none' script-src 'unsafe-inline' script-src ajax.googleapis.com Content-Security-Policy Hlavička X-XSS-Protection neřeší případy, kdy útočník uloží JavaScript do databáze, například do článku. Dopad takového problému můžete zmírnit třeba pomocí Content Security Policy (CSP). Tato hlavička explicitně povoluje zdroje, odkud se mohou načítat skripty, obrázky, styly aj. Hodnota unsafe-inline povoluje inline JS, tedy JavaScript vložený přímo do HTML kódu. To byste neměli dělat, veškerý kód byste měli dát do externích souborů a unsafe-inline nepoužívat. Podle mé zkušenosti s tím ale nefunguje třeba Google Tag Manager, bohužel.
  • 45. script-src 'strict-dynamic' 'nonce-<random>' 'unsafe-inline' http: https:; object-src 'none'; report-uri https://….report-uri.io/… Lepší Content-Security-Policy Zavést CSP na běžící web není nic jednoduchého, právě třeba kvůli Google Tag Manageru. Proto je jednodušší použít tuto hlavičku. strict-dynamic je vlastnost z CSP3, která dovolí skriptům již vloženým do stránky vkládat další skripty, tedy přesně to, co dělá právě např Tag Manager. HTML značky script pro vkládání JavaScriptu do stránky je nutné označit pomocí atributu nonce a jeho hodnotu pak přidat do direktivy script-src. Hodnota by měla být náhodná a měla by se měnit při každém načtení stránky. Zbytek, včetně 'unsafe-inline', je pak pro starší prohlížeče, které CSP3 neumí. object-src zakáže vložit Flash, který také může způsobit XSS. Díky direktivě report-uri bude prohlížeč odesílat reporty o porušení nastavení politiky, posílejte si je na službu report-uri.io. Kvalitu nastavení CSP si můžete zkontrolovat na csp-evaluator.withgoogle.com, na stejném místě můžete stáhnout i extenzi do Chrome.
  • 46. session.cookie_httponly: true session.cookie_secure: true HTTP-Only cookies Pomocí XSS se často kradou sessions - JS načte z document.cookie session cookie a pošle ji útočníkovi, ten si ji vloží do svého browseru a vydává se za uživatele, který útočníkův kód spustil. Parametr httponly zabrání JS ve čtení dané cookie, v document.cookie pak není dostupná. Tuhle direktivu si nastavte. HNED. TEĎ. A pokud máte web pouze na HTTPS, což byste měli mít, tak nastavte i secure parametr. A tím se pomalu dostáváme k…
  • 47. HTTPS = How To Transfer Private Shit Nikomu tedy není nic do toho, jaké články si zrovna čtu, jaká odesílám hesla, co si zrovna prohlížím a nikdo nemá právo modifikovat data, která stahuji.
  • 48. STOP! DEMO TIME! Umím donutit vaše zařízení, aby se připojila k mojí Wi-Fi a HTTPS potom docela oceníte. Ukázku najdete v druhé půlce mojí přednášky z konference PHP live 2014.
  • 49. TLS Transport Layer Security To S v názvu HTTPS neznamená SSL, ale Secure. SSL je protokol z minulého tisíciletí a už by se neměl dnes používat. Nahradil ho protokol TLS, aktuálně ve verzi 1.2, v březnu 2015 je aktuálně k dispozici návrh TLS 1.3.
  • 50. Pro web na HTTPS (celý web, jinak to nemá smysl) vlastní IP adresu potřebovat NE-BU-DE-TE.
  • 51. SNI Server Name Indication Od roku 2003 existuje rozšíření TLS s názvem SNI, které zajistí, že název serveru pošle prohlížeč nešifrovaně a server tak bude moci poskytnout prohlížeči správný certifikát. SNI umí IE od verze 7 na WinVista a pozdějších. Na WinXP to nefunguje v žádném IE, ve Firefoxu a Chrome ano. Firefox umí SNI od verze 2, Chrome od verze 6 na WinXP (na WinVista v jakékoliv verzi), Safari od verze 3, Android od 3 dále. Pokud potřebujete podporovat starší verze, tak budete pořád vlastní IP adresu potřebovat.
  • 52. HSTS HTTP Strict Transport Security Až budete mít celý web na HTTPS, tak přidejte hlavičku Strict-Transport- Security. HSTS, zajistí, že browser vnitřně přesměruje na HTTPS a nebude vůbec nebude posílat požadavek po HTTP. Ten by stejně jenom vygeneroval přesměrování na HTTPS verzi. Požadavek na HTTP tedy nepůjde zachytit a odstranit to přesměrování a tím efektivně HTTPS odstranit a převést na HTTP.
  • 53. MIXED CONTENTMIXED CONTENT Po převodu na HTTPS si dávejte pozor na tzv. mixed content, tedy abyste do stránek na HTTPS nenačítali HTTP obsah, browser by tento obsah mohl zablokovat. Typicky se jedná třeba o videa, styly a obrázky.
  • 54. REFERRER <meta name="referrer" content="origin"> Pozor na referrer, ten se ze stránek na HTTPS nepředává do stránek na HTTP, takže je potřeba si správně odkazy z HTTPS nějak označit, jinak nebudete v Google Analytics vědět, odkud návštěvník přišel. Můžete také použít meta referrer (tady už správně s dvěma „r“), ten zajistí, že se referrer bude předávat i z HTTPS na HTTP, pokud použijete hodnotu origin (předá se pouze doména) nebo unsafe-url (předá se celé URL včetně parametrů), podpora v Chrome od konce roku 2011, Firefox od verze 36, IE od verze 12/Edge.
  • 55. HTTPONLY & SECURE HTTP-only cookie jsem zmiňoval jako obranu proti krádeži session pomocí XSS. Secure parametr jsem také už nakousl. Ten zajistí, že browser nepošle cookie (třeba se session id) po nešifrovaném spojení, i kdyby ho útočník přesvědčoval, že to má udělat, takže nepůjde odposlechnout. Bez toho je HTTPS jakoby bez toho S.
  • 57. http://www.example.com/app/config.neon Konfigurace Nette v čitelné podobě. Přibližně jedno procento webů napsaných v Nette má konfiguraci volně a veřejně přístupnou. Tyhle soubory nesmí být přístupné pomocí prohlížeče, patří mimo document root nebo k nim musí být zakázán přístup pomocí souboru .htaccess.
  • 58. http://www.example.com/.git git clone http://www.example.com/.git Pokud pracujete s Gitem, tak si zkontrolujte, jestli na webu nemáte adresář .git a pokud máte, tak ho smažte a zajistěte, aby se tam zase nedostal. Pokud se dá do toho adresáře dostat přes browser, tak je možné získat interní databázi Gitu, ve které je třeba seznam souborů. Často lze také naklonovat repozitář a získat tak kompletní zdrojové kódy.
  • 59. Michal ŠpačekMichal Špaček www.michalspacek.czwww.michalspacek.cz @spazef0rze@spazef0rze https://www.michalspacek.cz/skoleni Followujte mě na Twitteru a přijďte na školení bezpečnosti. Mějte se rádi! V/