Secure Authentication and Access Control in Web Applications

(1)

VYSOK ´

E U ˇ

CEN´I TECHNICK ´

E V BRN ˇ

E

BRNO UNIVERSITY OF TECHNOLOGY

FAKULTA INFORMA ˇ

CN´ICH TECHNOLOGI´I

´

USTAV INTELIGENTN´ICH SYST ´

EM ˚

U

FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INTELLIGENT SYSTEMS

BEZPE ˇ

CN ´

A AUTENTIZACE A ˇ

R´IZEN´I P ˇ

R´ISTUPU VE

WEBOV ´

YCH APLIKAC´ICH

SECURE AUTHENTICATION AND ACCESS CONTROL IN WEB APPLICATIONS

BAKAL ´

A ˇ

RSK ´

A PR ´

ACE

BACHELOR’S THESIS

AUTOR PR ´

ACE

MARTIN ˇ

CI ˇ

ZEK

AUTHOR

VEDOUC´I PR ´

ACE

Ing. JAN SAMEK

(2)

(3)

(4)

(5)

Abstrakt

Táto práca sa zaoberá bezpeˇcnost’ou webových aplikáci´ı a riaden´ım pr´ıstupu v nich. Popisuje problematiku bezpeˇcnosti aplikáci´ı v prostred´ı WWW a bezpeˇcnostné prvky, pomocou ktorých môˇzeme tieto systémy zabezpeˇcit’. Venuje sa taktieˇz moˇzným útokom na tieto aplikácie. Podrobnejˇsie sa venuje metódam autentizácie a validácie za pouˇzitia jazyka PHP a popisuje výhody a nevýhody jednotlivých rieˇsen´ı z hl’adiska bezpeˇcnosti a pouˇzitel’nosti.

Kl’´

uˇcov´e slov´

a

PHP, webové aplikácie, bezpeˇcnost’, bezpeˇcnost’ webových aplikáci´ı, autentizácia, autorizácia, riadenie pr´ıstupu

Abstract

This thesis deals with security of web based applications and their access controlling. The work describes security of applications in WWW environment and security elements that help us to secure those systems against possible attacks. Authentication methods used in PHP applications are described in more detailed way with their advantages and disadvan-tages with consideration on security and usability.

Keywords

PHP, web based applications, security, security of web based applications, authentication, authorization, access control

(6)

Bezpeˇcn´

a autentiz´

acia a riadenie pr´ıstupu vo webov´

ych

aplik´

aci´

ach

Prehl´

asenie

Prehlasujem, ˇze som svoju bakalársku prácu vypracoval samostatne pod veden´ım Ing. Jana Samka a pouˇzil som iba podklady vymenované v sekci´ı Literatura.

. . . . Martin ˇCiˇzek 11. m´aja 2007

Pod’akovanie

Rád by som pod’akoval svojmu vedúcemu Janovi Samkovi, ktorý ma usmerˇnoval pri p´ısan´ı tejto práce.

c

Martin ˇCiˇzek, 2007.

Táto práca vznikla ako ˇskolské dielo na Vysokom uˇcen´ı technickom v Brne, Fakulte in-formaˇcných technológi´ı. Práca je chránená autorským zákonom a jej pouˇzitie bez udelenia oprávnenia autorom je nezákonné, s výnimkou zákonom definovaných pr´ıpadov.

(7)

Obsah

1 Uvod´ 3 1.1 Ciel’ práce . . . 3 1.2 Rozvrhnutie kapitol . . . 4 2 Základné pojmy 5 2.1 Subjekt a objekt . . . 5 2.2 Autentizácia. . . 5 2.3 Autorizácia . . . 5

2.4 Webov´a aplik´acia . . . 6

2.5 Webov´y server . . . 6

2.6 Webov´y prehliadaˇc . . . 6

2.7 PHP . . . 6

2.8 Riadenie pr´ıstupu. . . 6

3 Bezpeˇcnost’ webov´ych aplik´aci´ı 8 3.1 Prvky bezpeˇcnosti . . . 9

3.1.1 Komunik´acia . . . 9

3.1.2 Webov´y server . . . 9

3.1.3 Webov´y prehliadaˇc . . . 9

3.1.4 Webov´a aplik´acia . . . 9

4 Utoky´ 10 4.1 Utok na komunik´´ aciu. . . 10

4.1.1 Odpoˇc´uvanie . . . 10

4.1.2 Preruˇsenie komunik´acie . . . 10

4.1.3 Podvrhnutie identity . . . 10

4.1.4 Modifik´acia spr´avy . . . 10

4.2 Zneuˇzitie bezpeˇcnostných chýb aplikácie . . . 11

4.2.1 Nekontrolovanie vstupu od uˇz´ıvatel’a . . . 11

4.2.2 Pouˇz´ıvanie neinicializovan´ych premenn´ych . . . 12

4.2.3 Cross-site skriptovanie . . . 12

4.2.4 SQL injection . . . 13

5 Metódy autentizácie 15 5.1 Jednoduchá autentizácia v JavaScripte . . . 15

(8)

5.5 Autentiz´acia pomocou PHP session . . . 16

5.6 HTTP autentiz´acia . . . 17

5.7 Kombin´acie . . . 17

5.7.1 Kombinácia PHP, databázy a metódy GET . . . 17

5.7.2 Kombin´acia PHP, datab´azy a cookies . . . 18

5.7.3 Autentiz´acia pomocou webov´eho servera a PHP . . . 18

6 Zhrnutie pravidiel bezpeˇcnosti 19 6.1 Autentiz´acia s pouˇzit´ım jazyka PHP . . . 19

7 Autentizaˇcn´a kniˇznica 21 7.1 Implement´acia . . . 21

7.2 Pouˇzitie . . . 22

7.3 Vyuˇzitie . . . 22

8 Z´aver 23

Zoznam pouˇzit´ych zdrojov 24

Zoznam pouˇzit´ych skratiek 25

Zoznam pr´ıloh 26

(9)

Kapitola 1

´

Uvod

Celosvetová siet’ Internet zaˇz´ıva v poslednom desat’roˇc´ı vel’ký rozmach. Bezpochyby na tom má najväˇcˇsiu zásluhu sluˇzba World Wide Web, ktorá je najznámejˇsou a najpouˇz´ıvanejˇsou sluˇzbou Internetu v súˇcasnosti. Oproti poˇciatku, ked’ mali webové stránky iba jednoduchý a zväˇcˇsa iba informat´ıvny charakter, sa v dneˇsnej dobe na

”web“ presúvajú rôzne riadia-ce a informaˇcné systémy, ktoré spracovávajú ˇcoraz väˇcˇsie objemy dát, ktoré majú neraz vel’kú hodnotu pre danú spoloˇcnost’. Z tohoto dôvodu je potrebné venovat’ väˇcˇsiu pozornost’ zabezpeˇceniu týchto systémov proti rôznym ˇskodlivým útokom a aby boli pr´ıstupné iba povoleným prvkom.

Autentizácia sa vyˇzaduje vo vˇsetkých oblastiach, kde by v pr´ıpade neautorizovanému pr´ıstupu vznikla neˇziaduca ˇskoda. Ako pr´ıklad si môˇzeme zobrat’ systém bankomatov, kde karta, ktorú má uˇz´ıvatel’, jednoznaˇcne urˇcuje úˇcet, z ktorého budeme ˇcerpat’ a PIN overuje ˇci má pouˇz´ıvatel’ právo vyberat’ peniaze. ˇDalˇs´ı pr´ıklad môˇzeme vidiet’ v mobilných telefónoch, kde PIN taktieˇz urˇcuje, ˇci má uˇz´ıvatel’ právo pouˇz´ıvat’ danú SIM kartu.

Zabezpeˇcenie v prostred´ı Internetu má zväˇcˇsa rovnakú podobu ako zabezpeˇcenie zari-aden´ı z reálneho sveta a teda napr´ıklad prihlasovac´ı systém vyˇzaduje od uˇz´ıvatel’a jed-noznaˇcnú identifikáciu a overenie, ˇci má právo do systému vstúpit’. Ale tak ako môˇze niekto doslova odniest’ bankomat, tak môˇze útoˇcn´ık z´ıskat’ poˇzadované dáta inou cestou ako je regulárne prihlásenie, a teda zaútoˇcit’ môˇze na rôzne miesta v systéme. Preto je potrebné zabezpeˇcit’ vˇsetky prvky, ktoré by mohli byt’ potencionálne zneuˇzité k útoku. Ako pr´ıklad si môˇzeme zobrat’ e-banking, kde je povolený pr´ıstup iba oprávnenej osobe (pomocou prihlaso-vacieho mena a hesla), komunikácia je ˇsifrovaná (HTTPS), aby útoˇcn´ık nemohol odchytit’ prenáˇsané dáta. Zo strany klienta sa poˇc´ıta so zabezpeˇcen´ım internetového prehliadaˇca a poˇc´ıtaˇca. Zo strany servera je to zasa rôzne zabezpeˇcenie vˇsetkých potrebných prvkov ako je napr´ıklad webový server alebo databáza.

1.1

Ciel’ pr´

ace

Ciel’om tejto práce je predstavit’ problematiku bezpeˇcnosti aplikáci´ı v prostred´ı WWW, vysvetlit’ rôzne bezpeˇcnostné riziká ako aj moˇznosti zabezpeˇcenia týchto systémov. ˇDalˇsou ´

ulohou je pop´ısat’ rôzne metódy autentizácie a riadenia pr´ıstupu vo webových aplikáciach s pouˇzit´ım jazyka PHP, rozl´ıˇsit’ ich výhody a nevýhody so zameran´ım na bezpeˇcnost’ a pouˇzitel’nost’ týchto metód.

(10)

1.2

Rozvrhnutie kapitol

V nasledujúcej kapitole sú pop´ısané základné pojmy ako subjekt, objekt, autentizácia, au-torizácia, webová aplikácia, PHP a riadenie pr´ıstupu, ktoré nám slúˇzia na lepˇsie pochopenie celého zmyslu tejto práce.

Tretia kapitola sa venuje bezpeˇcnosti vo webových aplikáciách, popisu rôznych bezpeˇ c-nostných prvkov, ktoré sa pouˇz´ıvajú na zabezpeˇcenie webových systémov, ich význam, ako aj rôzne moˇznosti napadnutia týchto systémov.

V ˇstvrtej kapitole popisujem najˇcastejˇsie útoky na samotné webové aplikácie, ako napr´ı-klad útoky na komunikáciu, alebo rôzne nedostatky aplikácie. Takisto sa venuje aj spôsobom bránenia proti týmto útokom.

Piata kapitola sa snaˇz´ı op´ısat’ jednotlivé metódy autentizácie vo webovom prostred´ı za pouˇzitia rôznych technológi´ı spolu s výhodami a nevýhodami týchto metód zameraných predovˇsetkým na bezpeˇcnost’ a pouˇzitel’nost’.

V ˇsiestej kapitole sa nachádza zhrnutie základných pravidiel bezpeˇcnosti, ktorými by sa mali vývojári riadit’ pri navrhovan´ı aplikácie. Následne sa venujem popisu niekol’kých zásad pre vývoj za pomoci jazyka PHP.

(11)

Kapitola 2

Z´

akladn´

e pojmy

Na zaˇciatku si je potrebné ozrejmit’ niektoré základné pojmy, aby bola zadaná problematika lepˇsie pochopitel’ná a dalo sa v nej bez problémovo orientovat’.

2.1

Subjekt a objekt

Pod pojmom subjekt budeme rozumiet’ akýkol’vek prvok v systéme, napr´ıklad osobu, pro-gram alebo zariadenie, ktorý chce vykonat’ urˇcitú akciu nad objektom alebo s pouˇzit´ım objektu.

Objekt je sluˇzba, dáta alebo funkcionalita reprezentujúca prvok ku ktorému pristupujú subjekty s rôznym úˇcelom.

2.2

Autentiz´

acia

Autentizácia je proces overenia identity subjektu, ktorý sa snaˇz´ı pristupovat’ do zabezpeˇ ce-ného systému. Pr´ıklady môˇzeme vidiet’ v reálnom ˇzivote, ako je prihlasovanie do e-bankingu, zabezpeˇcenie virtuálnych obchodov, pr´ıstup do rôznych informaˇcných systémov atp. Takéto aplikácie by mali vediet rozl´ıˇsit’, kto je tento systém oprávnený pouˇz´ıvat’ a kto nie. Pr´ıstup je zvyˇcajne kontrolovaný autentizaˇcnou procedúrou, ktorá vytvára urˇcitý stupeˇn dôvery objektu, teda pridelenie práv pre danú identifikáciu.

Nie je vˇsak moˇzné hovorit’ o urˇcitej autentizáci´ı, pretoˇze ˇziadny poˇc´ıtaˇc, poˇc´ıtaˇcový program alebo pouˇz´ıvatel’ nemôˇze s urˇcitost’ou potvrdit’ identifikáciu druhej strany. Jedinou moˇznost’ou je aplikovat’ urˇcitú sadu testov, ktorú dopredu oznaˇc´ıme za dostatoˇcnú pre uznanie autenticity. Problém vˇsak nastáva pri urˇcovan´ı ktoré z týchto testov sú adekvátne a ktoré nie. Vlastná autentizácia môˇze prebiehat’ na rôznych úrovniach. Viac informáci´ı na [7].

2.3

Autoriz´

acia

Autorizácia je proces rozhodovania o tom, ˇci má subjekt oprávnenie na pr´ıstup k urˇcitému objektu. Väˇcˇsinou sa autorizácia rieˇsi na aplikaˇcnej úrovni. Samotné rozhodnutie závis´ı na vopred urˇcených privilégiách daného prvku, ktoré sú obvykle uloˇzené v nejakej databáze.

(12)

2.4

Webov´

a aplik´

acia

Webové aplikácie sú aplikácie spr´ıstupnené uˇz´ıvatel’ovi pomocou webového prehliadaˇca cez poˇc´ıtaˇcovú siet’, ako napr´ıklad Internet. Popularita týchto aplikáci´ı je umocnená tým, ˇze webový prehliadaˇc, taktieˇz nazývaný ako tenký klient, sa nachádza na drvivej väˇcˇsine poˇc´ıtaˇcov. Hlavnou výhodou je, ˇze proces údrˇzby tohto softwaru nie je zat’aˇzený inˇstalovan´ım updatov, resp. úplnou reinˇstaláciou aplikácie u potenciálne vel’kého mnoˇzstva klientov. [8] Nevýhodou sa stáva prenos informáci´ı cez siet’, ktoré takto môˇzu byt’ odchytené alebo pozmenené, ale aj pouˇzitie prehliadaˇca ako d’alˇsieho prvku obsahujúceho bezpeˇcnostné chyby. Komunikáciu prehliadaˇca a aplikácie zabezpeˇcuje webový server.

2.5

Webov´

y server

Webový server je z pohl’adu hardvéru poˇc´ıtaˇc, ktorý pr´ıjma HTTP poˇziadavky od klientov a vracia im HTTP odpovede spolu s poˇzadovanými dátami, ˇco sú zvyˇcajne samotné webové stránky, ako napr´ıklad HTML dokumenty spolu s d’alˇs´ımi objektmi (rôzne multimédiá, atp.).

Z pohl’adu softvéru je to program, ktorý poskytuje vyˇsˇsie uvedenú funkcionalitu s moˇ z-nost’ou ˇsirokej konfigurovatel’nosti a podporou rôznych modulov.

2.6

Webov´

y prehliadaˇ

c

Prehliadaˇc je softvérová aplikácia, ktorá slúˇzi na zobrazovanie webových stránok zloˇzených z textu, obrázkov a iných multimédi´ı. Zvyˇcajne prebieha komunikácia v zmysle posielania poˇziadavok webovému serveru, ktorý na tieto poˇziadavky odpovedá webovými stránkami, ktoré sú následne zobrazené uˇz´ıvatel’ovi. Prehliadaˇce sú obvykle pouˇz´ıvané na pr´ıstup k WWW, ˇ

castý je vˇsak aj pr´ıstup k webovým serverom v privátnych siet’ach.

2.7

PHP

PHP (PHP: hypertext pre-processor) je programovac´ı jazyk umoˇzˇnujúci procedurálne a ob-jektovo orientované programovanie dynamických webových stránok. Zvyˇcajne beˇz´ı ako modul na webovom serveri, kde zo vstupného zdrojového kódu vytvor´ı webovú stránku ako výstup. Môˇze byt’ pouˇzité takmer na vˇsetkých webových serveroch a operaˇcných systémoch.

2.8

Riadenie pr´ıstupu

Riadenie pr´ıstupu je schopnost’ povolit’ alebo zakázat’ pouˇzitie urˇcitého objektu nejakým subjektom na základe autentizácie a autorizácie.

V súˇcasnosti sa zvyˇcajne pouˇz´ıvajú dva spôsoby riadenia pr´ıstupu. Prvá metóda je zaloˇzená na schopnosti subjektu preukázat’ urˇcitý kl’úˇc, ktorý oprávˇnuje vlastn´ıka k pr´ıstupu do systému. Druhým spôsobom je tzv. ACL (access control list), ˇco je vlastne zoznam subjektov a ich práv k jednotlivým objektom.

Techniky riadenia pr´ıstupu sa delia do dvoch kategóri´ı: povinné a nepovinné.

Nepovinné riadenie pr´ıstupu znamená, ˇze objekt má pr´ıstupové práva urˇcené svoj´ım vlastn´ıkom. Vlastn´ık urˇcuje, kto je oprávnený k pr´ıstupu k objektu a aké má práva.

(13)

Pri povinnom riaden´ı pr´ıstupu urˇcuje pr´ıstupové práva objektu systém a nie vlastn´ık. Táto technika sa pouˇz´ıva v systémoch, kde majú subjekty rôzne úrovne pr´ıstupových práv. [6]

(14)

Kapitola 3

Bezpeˇ

cnost’ webov´

ych aplik´

aci´ı

Vývoj webových aplikáci´ı je vcelku odliˇsný od ostatných prostred´ı. Internetový prehliadaˇc a protokol HTTP nie sú súˇcast’ou beˇzných klient-server aplikáci´ı. Vývojári internetových aplikáci´ı musia vediet’ ako pracuje webový server, ako s n´ım komunikuje internetový prehli-adaˇc a poznat’ vlastnosti internetovej komunikácie a moˇzné útoky na vlastné aplikácie na internete.

Na zabezpeˇcenie aplikácie nestaˇc´ı bezpeˇcný komunikaˇcný kanál. Aj skúsen´ı softvérov´ı vývojari môˇzu nevedomky vytvorit’ webovú aplikáciu, ktorá umoˇznuje pr´ıstup zo siete k súborom na serveri, z´ıskat’ heslá, informacie o uˇz´ıvatel’och alebo dokonca zmenit’ aplikáciu samotnú, aj napriek tomu, ˇze je server zabezpeˇcený. [3]

Je vˇsak nutné dodat’, ˇze absolútna (100%) bezpeˇcnost’ je iba méta, ku ktorej sa môˇzeme pribl´ıˇzit’, avˇsak nie dosiahnut’. Bezpeˇcnost’ sa nedá jednorázovo zaistit’, ide o kontinuálnu ˇ

cinnost’, ktorá vyˇzaduje urˇcité zdroje, ˇci uˇz finanˇcné, technické alebo l’udské.

Bezpeˇcnost’ je potrebné vn´ımat’ v dvoch rovinách – ako technické a ako organizaˇcné opatrenia. L’udský faktor je vˇzdy jedným z najväˇcˇs´ıch riz´ık, ktoré sa nedá oˇsetrit’ technickým opatren´ım.

Vývoj bezpeˇcnostných technologi´ı neustále napreduje, rovnako tak aj moˇzné hrozby. Preto je prakticky nemoˇzné zaobstarat’ technológiu, ktorá bude bez d’alˇs´ıch zásahov niekol’ko rokov odolná voˇci útokom z internetu. Nepochybne budú ˇcasom zverejnené rôzne opravy, záplaty apod., ktoré bude nutné nainˇstalovat’. Je moˇzné oˇcakávat’ úpravy samotnej we-bovej aplikácie, môˇze sa stat’, ˇze výrobca niektorej pouˇzitej komponenty (WWW server, databázovy server) prestane podporovat’ nami prevádzkovanú verziu atd’. Vˇsetky tieto a podobné skutoˇcnosti budú prakticky neustále znamenat’ dodatoˇcné nároky na zdroje, a to aj v pr´ıpade, ˇze aplikácia nebude rozˇsirovaná v oblasti svojej funkˇcnosti.

V súˇcasnej dobe vˇsak existujú aj útoky, pred ktorými sa prakticky nedá bránit’. DDoS ´

utok (Distributed Denial of Service) spoˇc´ıva v zahlten´ı serveru alebo jednej konkrétnej sluˇzby enormným poˇctom poˇziadaviek aˇz z niekol’ých stoviek uzlov ovládaných útoˇcn´ıkom (práve distribuovanost’ tohto útoku zt’aˇzuje jeho filtrovanie a odhalenie útoˇcn´ıka). Ciel’om takého útoku väˇcˇsinou nie je ovládnutie servera ˇci z´ıskanie dát, vel’mi negat´ıvne následky máva uˇz samotná nedostupnost’ sluˇzieb, ktoré server poskytuje.

(15)

3.1

Prvky bezpeˇ

cnosti

3.1.1 Komunik´acia

Spol’ahlivou metódou ako zabránit’ odpoˇcúvaniu komunikácie vo webových aplikáciach medzi klientom a serverom je pouˇzitie ˇsifrovaného kanálu (HTTP over SSL). Pri tomto zabezpeˇcen´ı ´

utoˇcn´ık pozná zloˇzitost’ ˇsifrovacieho algoritmu a uvedomuje si, ˇze jeho prelomenie by mu mohlo trvat’ aj niekol’ko rokov. Tým pádom nebude útoˇcit’ na samotný algoritmus.

V tomto pr´ıpade je pre útoˇcn´ıka jednoduchˇsie vytvorit’ si svoj vlastný ˇsifrovaný kanál, ˇco ide v pr´ıpade protokolu HTTPS výrazne zt’aˇzit’ pouˇzit´ım tzv. klientských SSL certifikátov. Vel’kou chybou je, ˇze vo väˇcˇsine pr´ıpadov je pouˇzité beˇzné HTTPS spojenie, ktoré môˇze so serverom naviazat’ prakticky ktokol’vek.

3.1.2 Webov´y server

Kaˇzd´y WWW server je

”iba“ softvér (vo väˇcˇsine pr´ıpadov dokonca pomerne dost’ rozsiah-ly) a aj napriek snahe výrobcu je potrebné oˇcakávat’, ˇze obsahuje chyby, ktoré môˇzu mat’ významný dopad na jeho bezpeˇcnost’. O pravdivosti tohoto tvrdenia nás niekol’ko rokov utvrdzuje postupné zverejˇnovanie bezpeˇcnostných chýb prakticky vo vˇsetkých známych WWW serveroch. Pre ilustráciu: chyba v Microsoft IIS, ktorú zneuˇz´ıva v´ırus CodeRed pre svoje ˇs´ırenie, existuje v tomto programe uˇz 5 rokov a pravdepodobnost’, ˇze v danom WWW serveri bude eˇste aspoˇn jedna takáto fatálna chyba, hraniˇc´ı takmer s istotou. Nejedná sa vˇsak iba o problém zmieneného serveru, podobne treba uvaˇzovat aj u iných aplikáci´ı. [2]

Vyˇsˇsie uvedený problém ja v mnohých pr´ıpadoch naviac umocnený nie pr´ıliˇs dobrým návrhom architektúry samotného WWW serveru, ktorý ˇcasto celkom zbytoˇcne beˇz´ı s vyso-kými privilégiami (root, system, administrator), alebo je dokonca integrovaný do samotného operaˇcného systému, ˇco iba násob´ı pr´ıpadné následky zneuˇzitia pr´ıtomnej bezpeˇcnostnej chyby.

3.1.3 Webov´y prehliadaˇc

Prehliadaˇc je klientská aplikácia, ktorá slúˇzi na zobrazovanie webových stránok a odosielanie poˇziadaviek na webový server. Ked’ˇze je web najrozˇs´ırenejˇsou sluˇzbou na internete, je pre-hliadaˇc ˇcastým terˇcom rôznych útokov, pri ktorých môˇze dôjst’ aˇz k výpisu obsahu pamäte ´

utoˇcn´ıkovi a následným z´ıskan´ım skôr neˇziaducich dát.

3.1.4 Webov´a aplik´acia

Bezpeˇcnostné problémy nájdeme najˇcastejˇsie v samotných webových aplikáciách. Pri ne-dostatoˇcnom návrhu a pouˇzit´ı dynamických stránok (ASP, PHP, Perl atd’.), môˇze aj beˇzný uˇz´ıvatel’ s internetovým prehliadaˇcom pri troche experimentovania s parametrami v URL dosiahnut’ neoˇcakávané výsledky, ako napr´ıklad pr´ıstup k cudz´ım dátam. ˇDalˇsou hlavnou bezpeˇcnostnou chybou pri návrhu je nedostatoˇcná kontrola vstupov od uˇz´ıvatel’a z webových formulárov. Ked’ˇze je kaˇzdá takáto aplikácia unikátna pre konkrétneho prevádzkovatel’a, je vel’mi obtiaˇzne tieto slabiny odhal’ovat’. Tu sa rozhodne oplat´ı nepodceˇnovat’ nielen dôkladné testy funkˇcnosti, ale aj zát’aˇzové testy, penetraˇcné testy, alebo nezávislý audit zdrojového kódu.

(16)

Kapitola 4

´

Utoky

Táto kapitola sa venuje popisu moˇzných útokov na rôzne informaˇcné systémy.

4.1

Utok na komunik´

´

aciu

´

Utok na komunikáciu môˇze prebiehat’ na viacerých miestach medzi klientom a serverom, preto je potrebné zabezpeˇcit’ komunikaˇcný protokol. Medzi základné metódy útokov patr´ı odpoˇcúvanie, preruˇsenie komunikácie, podvrhnutie identity a modifikácia správy. [4]

4.1.1 Odpoˇc´uvanie

Odpoˇcúvanie komunikácie patr´ı medzi základné druhy útoku na komunikáciu. Útoˇcn´ık z´ıska nepovolený pr´ıstup ku komunikáci´ı a dátam. K tomuto typu útoku nepatr´ı len snaha z´ıskat’ dáta, ale aj samotné heslo, ktorým sa uˇz´ıvatel’ autorizuje na serveri a ktoré sa zväˇcˇsa posiela ako ˇcistý text.

4.1.2 Preruˇsenie komunik´acie

Tento útok nastáva, ked’ sa útoˇcn´ıkovi podar´ı znemoˇznit’ doruˇcenie správy. Pr´ıkladom môˇze byt’ preruˇsenie komunikaˇcného spoja. Pouˇz´ıva sa zväˇcˇsa vtedy, ak chce útoˇcn´ık znemoˇznit’ komunikáciu so serverom.

4.1.3 Podvrhnutie identity

´

Utoˇcn´ık sa môˇze pokúsit’ vytvorit’ správu s faloˇsnou identitou odosielatel’a. Podvrhnutie identity je podmienené sledovan´ım jednej zo strán, aby bolo moˇzné vierohodne napodobit’ identitu tejto strany. Nevýhodou je zloˇzitost’ oproti modifikácii existujúcej správy.

4.1.4 Modifik´acia spr´avy

Pri tomto type útoku mus´ı útoˇcn´ık správu najprv zachytit’, následne ju pozmenit’ a potom zase odoslat’ k ciel’u. Pr´ıjemca tak dostane správu, ktorú vytvorila a vyslala autorizovaná strana, ale v priebehu prenosu doˇslo k nejakému zásahu do jej obsahu.

(17)

4.2

Zneuˇ

zitie bezpeˇ

cnostn´

ych ch´

yb aplik´

acie

Vývojári webových aplikáci´ı musia dávat’ vel’ký pozor na bezpeˇcnostné chyby, pretoˇze tieto aplikácie sú náchylnejˇsie na útok oproti aplikáciam normálnym. Zneuˇzitie týchto chýb patr´ı medzi najpouˇz´ıvanejˇsie útoky na webové aplikácie. Medzi najˇcastejˇsie zneuˇz´ıvané chyby patr´ı nekontrolovanie vstupu uˇz´ıvatel’a, pouˇz´ıvanie neinicializovaných premenných, cross-site skriptovanie alebo ochrana session.

4.2.1 Nekontrolovanie vstupu od uˇz´ıvatel’a

Vˇsetky dáta z´ıskané od uˇz´ıvatel’a by mali byt’ pred pouˇz´ıt´ım skontrolované. Aplikácia mus´ı byt’ pripravená ˇcelit’ chybným vstupným dátam spôsobených bud’ náhodou chybou uˇz´ıvatel’a, alebo zámernou chybou útoˇcn´ıkom, ktorý sa snaˇz´ı preniknút’ do aplikácie. Spôsoby, ktorými sa do aplikácie dostávajú dáta od uˇz´ıvatel’a (dáta, ktoré môˇze menit’):

• obsah webov´eho formul´ara • URL adresa poˇziadavky • cookies

• HTTP hlaviˇcky

Pr´ıklad 1 Z´ıskanie l’ubol’n´eho s´uboru zo servera

Predpokladajme, ˇze máme skript, ktorý generuje webové stránky na základe vstupných ´

udajov od uˇz´ıvatel’a. Obsah stránky naˇc´ıta zo súboru urˇceného pomocou premennej stranka, ktorú z´ıska z URL adresy. K obsahu stránky sa dopln´ı záhlavie a zápätie. Jednotlivé stránky sa tak volajú pomocou adresyhttp://www.test.sk/index.php?stranka=uvod.inc.

... z´ahlavie str´anky v~HTML ... <?

include $_GET[’stranka’]; ?>

... zápätie stránky v HTML ...

Ak vˇsak útoˇcn´ık zadá URL http://www.test.sk/index.php?stranka=/etc/passwd, dostane sa tak k neˇziaducim dátam. Rieˇsen´ım je kontrola vstupných dát, t.j. v tomto pr´ıpade kontrola premennej stranka na povolené hodnoty, ktorými sú stránky, ktoré chceme zobra-zovat’ naˇs´ım skriptom.

ˇ

Dalˇsie pr´ıpady nedokonalej kontroly vstupných dát, ktoré povol’ujú napr´ıklad XSS alebo SQL injection, sú pop´ısané v samostatných podˇcastiach.

(18)

4.2.2 Pouˇz´ıvanie neinicializovan´ych premenn´ych

Niektoré jazyky, ktoré sa pouˇz´ıvajú na tvorbu webových aplikáci´ı, automaticky naˇc´ıtavajú dáta z poˇziadavky do premenných, ktoré pouˇz´ıvame v aplikáci´ı (napr´ıklad starˇsie verzie PHP). To znamená, ˇze dáta zvonku môˇzu menit’ obsah neinicializovanej premennej v ap-likácii.

Pr´ıklad 2 Blokovanie obsahu pre neautorizovan´ych uˇz´ıvatel’ov

<?

if (autorizovany()) $prihlaseny = true; if ($prihlaseny)

{

//vykonaj verejne nepr´ıstupn´e oper´acie }

?>

V tomto pr´ıpade, ak za URL pridáme ?prihlaseny=1, PHP automaticky naˇc´ıta pre-mennú prihlaseny a útoˇcn´ık sa dostane do verejne nepr´ıstupnej oblasti. Rieˇsen´ım je poˇ cia-toˇcná inicializácia premennej (prihlaseny = false;). Pre zn´ıˇzenie rizika podobných chýb sa v nových verziách PHP dáta nenaˇc´ıtajú automaticky do premenných, ale do ˇspeciálnych pol´ı (napr.$ GET,$ POST,$ COOKIE), ktoré sú spr´ıstupnené v aplikáci´ı.

4.2.3 Cross-site skriptovanie

Cross-site skriptovanie (XSS) je typické pre webové aplikácie, ktoré nedostatoˇcne kontrolujú uˇz´ıvatel’ské vstupy, a tak dovolia vloˇzit’ na stránku ˇskodlivý kód, ktorý sa spust´ı pri prezeran´ı stránky iným uˇz´ıvatel’om. V pr´ıkladoch sú pop´ısané dva spôsoby, ako sa týmto spôsobom dá z´ıskat’ session-id urˇcitej stránky.

Pr´ıklad 3 Z´ıskanie session-id pren´aˇsan´eho v URL

Na serveri, kde sú prihlásen´ı uˇz´ıvatelia, je urˇcitá ˇcast’, kam môˇzu uˇz´ıvatelia prispievat’ a ˇc´ıtat’ pr´ıspevky iných l’ud´ı (diskusné fórum). Útoˇcn´ık môˇze do tohto fóra vloˇzit’ odkaz na svoju stránku. Po kliknut´ı na odkaz sa k útoˇcn´ıkovej stránke dostane HTTP hlaviˇcka Referer, ktorá obsahuje celú URL predchádzajúcej stránky a teda aj samotné session-id. Po z´ıskan´ı session-id môˇze útoˇcn´ık vystupovat’ ako jeho obet’ (obet’ mohla mat’ vyˇsˇsie práva a pod.).

Ochranou pred týmto útokom môˇze byt’ odkazovanie na externé odkazy z rozdielnej URL, ktorá uˇz session-id neobsahuje, dodatoˇcná kontrola session-id napr´ıklad kontrolou IP adresy, alebo vypnutie posielania HTTP hlaviˇckyReferer.

(19)

Pr´ıklad 4 Z´ıskanie session-id pren´aˇsan´eho pomocou cookies

Uvaˇzujme s podobnými podmienkami ako v predchádzajúcom pr´ıpade, avˇsak tu útoˇcn´ık vloˇz´ı do stránky jednoduchý kód.

+’">’)</script>

Tento kód vloˇz´ı na stránku faloˇsný obrázok a pri dotazovan´ı sa prehliadaˇca na tento obrázok odoˇsle prehliadaˇc cookies, ktoré môˇze útoˇcn´ık zneuˇzit’.

Takémuto zneuˇzitiu sa dá pred´ıst’ podobne ako v predchádzajúcom pr´ıpade a to do-datoˇcnou kontrolou IP adresy, alebo striktnejˇsia kontrola vstupných dát ktorá nedovol´ı vkladat’ na stránku HTML a JavaScript kód.

4.2.4 SQL injection

Aplikácie ˇcasto vytvárajú SQL dotazy, ktoré sa dynamicky menia na základe vstupných ´

udajov od uˇz´ıvatel’a. Z tohto dôvodu mus´ıme vstupné dáta, ktoré slúˇzia na vytvorenie dotazu, patriˇcne skontrolovat’, aby útoˇcn´ık nemohol vykonávat’ rôzne operácie nad databázou.

Pr´ıklad 5 Pr´ıklad SQL injection 1

<? ...

$login = $_POST[’login’];

$vysledok = MYSQL_query("SELECT * FROM uzivatelia WHERE login = ’$login’");

... ?>

Skript vyhodnocuje podmienku v SQL dotaze a oˇcakáva správnu hodnotu v premennej login, kde sa má nachádzat’ meno prihlasujúceho sa uˇz´ıvatel’a. Ak vˇsak útoˇcn´ık vloˇz´ı do premennej hodnotu "abc’ OR ’1’=’1", vznikne nám SQL dotaz, ktorý s´ıce nevyhovuje podmienke o rovnosti prihlasovacieho mena, ale vyhovie podmienke’1’=’1’a vráti vˇsetky poloˇzky v databáze.

(20)

Rovnaký skript môˇzeme napadnút’ iným spôsobom a snaˇzit’ sa z´ıskat’ informácie o názve tabuliek, napr´ıklad vloˇzen´ım do formulára hodnotu"abc’ AND 1=(SELECT COUNT(*) FROM meno-tabulky); --". Pri úspeˇsnom odhade názvu tabul’ky sa nám podar´ı splnit’ pod-mienku v dotaze a zist´ıme tak názov urˇcitej tabul’ky v databáze, ktorú potom môˇzeme napr´ıklad celkom zruˇsit, ako je zobrazené v pr´ıklade7.

Znova, s pouˇzit´ım rovnakého skriptu ako v predchádzajúcich pr´ıkladoch, môˇzeme do pre-mennej loginvloˇzit’ kód, ktorý by urˇcitým spôsobom poˇskodil databázu. Pr´ıkladom môˇze byt’ hodnota "x’; DROP TABLE uzivatelia; --", kde pôvodný dotaz s´ıce nespln´ı pod-mienku, ale za n´ım sa nachádza dotaz, ktorý vymaˇze tabul’ku uzivatelia. Podobných pr´ıpadov na zneuˇzitie SQL injection je niekol’ko desiatok – od

”neˇskodného“ výpisu celej tabul’ky, cez úpravu dát v tabul’ke, aˇz po kompletné vymazanie tabul’ky.

(21)

Kapitola 5

Met´

ody autentiz´

acie

V prostred´ı webu je pouˇz´ıvaných viacero metód pre overenie autenticity uˇz´ıvatel’a, ako napr´ıklad pomocou hardvérových tokenov, certifikátov alebo jednoduchá autentizácia po-mocou mena a hesla. Práve posledná spom´ınaná metóda autentizácie (pomocou mena a hesla) je v oblasti informaˇcných systémov najpouˇz´ıvanejˇsia a práve jej sa budem ven-ovat’. Túto metódu vˇsak môˇzeme implementovat’ do webovej aplikácie na rôznych vrstvách za pouˇzitia rôznych technológi´ı, ako napr´ıklad JavaScript, PHP apod.

5.1

Jednoduch´

a autentiz´

acia v JavaScripte

Ked’ˇze JavaScript je spracovaný iba zo strany klienta, autentizácia bude prebiehat’ u neho a toho môˇzeme dosiahnut’ dvoma spôsobmi. Prvým sposobom je po zadan´ı správneho pr´ıstupového mena a hesla presmerovat’ stránku do inej lokácie, kde môˇze uˇz´ıvatel’ pokraˇcovat’ v práci. Druhým spôsobom je naˇc´ıtat’ celú stránku a JavaScriptom zablokovat’ zobrazenie, aˇz kým uˇz´ıvatel’ nezadá správne meno a heslo.

Oba pr´ıstupy majú svoje výhody, ako napr´ıklad vel’mi jednoduchú implementáciu alebo nepotrebnost’ serverovej podpory d’alˇsieho softvéru na vytvorenie takejto autentizácie, ako napr´ıklad PHP alebo ASP.

Aby toto rieˇsenie fungovalo, je nutné pouˇz´ıvat’ prehliadaˇc s podporou JavaScriptu. Najväˇcˇsou nevýhodou je vˇsak minimálna bezpeˇcnost’, pretoˇze v oboch pr´ıpadoch môˇze ´

utoˇcn´ık jednoducho preniknút’ do zabezpeˇceného systému a to ˇci uˇz zobrazen´ım zdrojového kódu a zisten´ım, kam stránka odkazuje po úspeˇsnej autentizácii, alebo jeho úpravou a teda odstránen´ım samotnej autentizaˇcnej procedúry. Vd’aka bezstavovému charakteru komu-nikácie medzi serverom a klientom je d’alˇsou nevýhodou neschopnost’ aplikácie overit’ si, ˇci uˇz´ıvat’el’ preˇsiel autentizáciou alebo nie.

5.2

Autentiz´

acia pomocou PHP

Najjednoduchˇs´ım moˇzným spôsobom autentizácie v PHP je vytvorit’ formulár, po jeho odoslan´ı skontrolovat’ správnost’ údajov a v pr´ıpade splnenia vstupných podmienok povolit’ pr´ıstup k aplikáci´ı. Pri tomto spôsobe uvaˇzujme, ˇze správne vstupné údaje sú zahrnuté v zdrojovom kóde aplikácie.

Výhodou tohto rieˇsenia je rýchla a jednoduchá implementácia, ako aj vyˇsˇsia bezpeˇcnost’, narozdiel od hore uvedeného spôsobu pomocou JavaScriptu.

(22)

Medzi nevýhody patr´ı nezabezpeˇcená komunikácia medzi klientom a aplikáciou, takˇze ´

utoˇcn´ık je schopný z´ıskat’ prihlasovacie meno a heslo jednoduchým odpoˇcúvan´ım komu-nikácie. Medzi d’alˇsie nevýhody patr´ı takmer nemoˇzná správa uˇz´ıvatel’ov a neschopnost’ aplikácie overit’, ˇci uˇz´ıvatel’ preˇsiel autentizaˇcnou procedúrou.

5.3

Autentiz´

acia so zabezpeˇ

cenou komunik´

aciou

V tomto pr´ıpade ide o podobné rieˇsenie ako v predchádzajúcej metóde, avˇsak komunikácia bude zabezpeˇcená ˇsifrovan´ım. Toho môˇzeme dosiahnut’ pouˇzit´ım HTTPS a teda zabezpeˇcit’ celý komunikaˇcný kanál vrstvou SSL.

Výhodou je samozrejme nemoˇznost’ odpoˇcúvania skutoˇcnej komunikácie medzi klien-tom a serverom, nevýhodou je naopak nutná podpora HTTPS na oboch komunikujúcich stranách.

5.4

Autentiz´

acia s pouˇ

zit´ım datab´

azy

Vd’aka databáze nám odpadá nutnost’ ukladat’ prihlasovacie údaje do zdrojového kódu ap-likácie. Ked’ˇze sú potrebné údaje uloˇzené v databáze, je jednoduchˇsie doplnit’ naˇsu aplikáciu o správu uˇz´ıvatel’ov. Heslá sa z bezpeˇcnostných dôvodov ukladajú do databázy zakódované vybraným hash algoritmom, napr´ıklad MD5 alebo SHA-1.

Výhodou je uˇz spom´ınaná jednoduchá správa uˇz´ıvatel’ov a teda rôzne úpravy v databáze nijak neovplyvˇnujú samotnú aplikáciu.

Nevýhodou je nutnost’ pr´ıstupu k niektorej z databáz, ˇci uˇz MySQL, MSSQL, Oracle alebo inej, ako aj pouˇzitie programovacieho jazyka (napr´ıklad PHP) pre prácu s touto databázou. Nedostupnost’ databázy sa dá vyrieˇsit’ napr´ıklad ukladan´ım dát do súboru, ale práca s dátami bude menej flexibilná neˇz v pr´ıpade pouˇzitia databázy.

5.5

Autentiz´

acia pomocou PHP session

Vˇsetky predchádzajúce metódy mali spoloˇcnú nevýhodu v tom, ˇze aplikácia nebola schopná overit’ si poˇcas práce, ˇci uˇz´ıvatel’ preˇsiel autentizaˇcnou procedúrou. Na vyrieˇsenie tohto problému sa v PHP vyuˇz´ıvajú tzv. sessions, ktoré slúˇzia na ukladanie rôznych premenných na strane serveru, ktoré sa pomocou jednoznaˇcného identifikátoru dajú priradit’ k jed-notlivým uˇz´ıvatel’om. Tým pádom môˇzeme jednoducho monitorovat’, ˇci uˇz´ıvatel’ preˇsiel aut-entizáciou alebo nie. Spomenutý jednoznaˇcný identifikátor sa kvôli bezstavovému protokolu mus´ı prenáˇsat’ medzi stránkami, ˇci uˇz uloˇzen´ım do cookies, alebo metódou GET, ˇco je vlastne pripojenie danej premennej a jej hodnoty na koniec URL. Tento identifikátor má platnost’ iba urˇcitý ˇcas, aby nemohlo dôjst’ k neskorˇsiemu zneuˇzitiu.

Pri pouˇzit´ı cookies je nevýhodou nutnost’ pouˇz´ıvat’ prehliadaˇc s ich podporou a naopak pri pouˇzit´ı metódy GET je aplikácie ohrozená moˇznost’ou z´ıskat’ spom´ınaný identifikátor z URL, ˇc´ım je aplikácia jednoduchˇsie napadnutel’ná.

Výhodou je samozrejme moˇznost’ kontrolovat’ pr´ıstup poˇcas práce uˇz´ıvatel’a nielen pri autentizácii a ukladanie rôznych uˇz´ıvatel’ských dát na serveri.

(23)

5.6

HTTP autentiz´

acia

Tento druh autentizácie sa zabezpeˇcuje na strane servera potrebným nastaven´ım kon-figuraˇcných súborov. Pri pr´ıstupe k zabezpeˇcenej stránke si server vyˇziada autentizáciu od uˇz´ıvatel’a. Tieto vstupné údaje si prehliadaˇc ukladá a odosiela ich pri kaˇzdej poˇziadavke, ˇ

c´ım sa vyvaˇzuje bezstavovost’ protkolu HTTP. Takéto pripojenie trvá aˇz do zatvorenia webového prehliadaˇca alebo odhlásenia (odhlásenie je vyrieˇsené zadan´ım nesprávnych prih-lasovac´ıch údajov).

Rýchla implementácia je jednoznaˇcnou výhodou oproti zloˇzitejˇs´ım metódam a vd’aka tomu, ˇze si prehliadaˇc zapamätá vstupné údaje, sa programátor nemus´ı zaoberat’ kontrolou uˇz´ıvatel’a poˇcas práce s aplikáciou.

Medzi nevýhody patr´ı nutnost’ podpory na strane klienta a servera, ako aj nevhodný spôsob odosielania prihlasovac´ıch údajov, ktoré sa v pr´ıpade protokolu HTTP odosielajú ˇsifrované pomocou base-64 znakov. Existujú aplikácie, ktoré dokáˇzu túto ˇsifru deˇsifrovat’ v reálnom ˇcase a tak nie je problém odpoˇcúvan´ım komunikácie z´ıskat prenáˇsané údaje a následne ich deˇsifrovat’. Táto nevýhoda sa dá odstránit’ pomocou pouˇzitia protokolu HTTPS.

5.7

Kombin´

acie

Vˇsetky vyˇsˇsie uvedené metódy nám sami o sebe nezaruˇcia dobrú pouˇzitel’nost’ a bezpeˇcnost’ aplikácie, z toho dôvodu sa v praxi vyuˇz´ıvajú rôzne kombinácie týchto metód. Pri vˇsetkých uvedených metódach uvaˇzujme so zabezpeˇcen´ım komunikácie pomocou SSL, aby sme prediˇsli ´

utokom na komunik´aciu.

5.7.1 Kombinácia PHP, databázy a metódy GET

Spojen´ım databázy a PHP vznikne metóda, pomocou ktorej môˇzeme jednoducho spravovat’ a overovat’ uˇz´ıvatel’ov. Dáta sú uloˇzené v databáze, ku ktorej pristupujeme pomocou PHP. Správa a autentizácia je takisto riadená skriptom v PHP. Na udrˇzanie stavovaj komunikácie sa vyuˇz´ıva PHP session a metóda GET.

Jednoduchá správa a autentizácia uˇz´ıvatel’ov patr´ı medzi najväˇcˇsie výhody tejto kom-binácie. Vd’aka pouˇzitiu metódy GET odpadá nutnost’ pouˇz´ıvat’ u klienta prehliadaˇc s pod-porou cookies. PHP session zabezpeˇcuje, ˇze sa rôzne dáta od uˇz´ıvatel’a neukladajú u klienta, ale na serveri a tým sa zvýˇsi zabezpeˇcenie aplikácie.

Pouˇzitie PHP session s metódou GET vˇsak prináˇsa jednoznaˇcnú nevýhodu, ktorou je ukladanie identifikátoru do URL stránky, ˇco je dôvodom jednoduchˇsej napadnutel’nosti aplikácie. Táto nevýhoda sa vˇsak dá odstránit’ kontrolou d’alˇs´ıch dát od uˇz´ıvatel’a (napr´ıklad IP poˇc´ıtaˇca, verzia webového prehliadaˇca, atd’...) – v tomto pr´ıpade odcudzen´ım session id nevznikne ˇziadna ˇskoda. ˇDalˇs´ımi nevýhodami je nutnost’ pr´ıstupu k databáze a podpora webového serveru pre skriptovac´ı jazyk PHP.

Ak nie je zn´ıˇzená bezpeˇcnost’, ktorá vzniká pouˇzit´ım metódy GET, prekáˇzkou, je táto metóda vhodným typom pre autentizáciu uˇz´ıvatel’ov. Pouˇz´ıva sa vˇsade tam, kde nie je moˇznost’ pouˇz´ıvat’ cookies.

Preruˇsenie komunikácie je útok, ktorému sa prakticky nedá bránit’, preto je aj tento spôsob autentizácie náchylný na takýto útok. Vel’kú pozornost’ je potrebné venovat’ návrhu samotnej aplikácie, pretoˇze útoˇcn´ık môˇze jednoducho zneuˇzit’ pouˇz´ıvanie neinicializovaných

(24)

vstupných dát. Odcudzenie session id je v tomto pr´ıpade zjednoduˇsené jeho zobrazen´ım v URL stránky.

5.7.2 Kombin´acia PHP, datab´azy a cookies

Táto metóda je podobná predoˇslej. Správa uˇz´ıvatel’ov je rieˇsená pomocou databázy, aut-entizácia a autorizácia pomocou jazyka PHP a stavová komunikácia sa udrˇzuje pomocou protokolu HTTP a cookies.

Oproti predchádzajúcemu rieˇseniu má táto metóda výhodu v tom, ˇze nie je pouˇzité zobrazovanie session id v URL stránky a teda identita sa nedá odcudzit’ jednoduchým zobrazen´ım URL stránky. Je vˇsak vhodné kontrolovat’ d’alˇsie dáta od uˇz´ıvatel’a, aby ani pri odcudzen´ı cookies nevznikla ˇskoda.

Nevýhodou je nutnost’ podpory cookies u klienta a tým pádom sa aplikácia stáva náchylnou na cross-site skriptovanie, ktorým sa dajú jednoducho odcudzit’ samotné cookies.

ˇ

Dalˇsou nevýhodou je uˇz spomenutá nutnost’ mat’ pr´ıstup k databáze a nutná podpora we-bového serveru pre PHP.

Kvôli zvýˇsenej bezpeˇcnosti je pouˇzitie tejto metódy výhodné tam, kde sú u klienta pov-olené cookies. Vd’aka bezpeˇcnosti je to najpouˇz´ıvanejˇsia metóda autentizácie a autorizácie vo webových aplikáciách. Táto kombinácia je zväˇcˇsa pouˇz´ıvaná v aplikáciách ako je inter-netbanking, alebo iných, kde je potrebné zabezpeˇcené prihlasovanie.

Rovnako ako v predoˇslej metóde, aj tu je moˇzný útok preruˇsen´ım komunikácie a zne-uˇz´ıvanie chýb samotnej aplikácie, kde nekontrolovan´ım vstupov od uˇz´ıvatel’a môˇze útoˇcn´ık pouˇzit’ cross-site skriptovanie, SQL injection, alebo zneuˇzit’ pouˇz´ıvanie neinicializovaných premenných.

5.7.3 Autentiz´acia pomocou webov´eho servera a PHP

Pri tejto kombinácii má správu uˇz´ıvatel’ov a samotnú autentizáciu na starosti webový server. Autorizáciu riadi webová aplikácia a stavová komunikácia sa udrˇziava pomocou protokolu HTTP, kde sa prihlasovacie údaje posielajú pri kaˇzdom vyˇziadan´ı webovej stránky od servera.

Jasnou výhodou je nepotrebnost’ programovania samotnej autentizaˇcnej procedúry, ktorá uˇz je implementovaná vo webovom serveri. ˇDalˇsou znaˇcnou výhodou je vypustenie cookies alebo metódy GET na udrˇzanie stavu, ktoré boli jednoduchˇsie napadnutel’né neˇz ˇsifrovaná HTTP hlaviˇcka, ktorá obsahuje prihlasovacie údaje. Túto metódu podporuje drvivá väˇcˇsina najrozˇs´ırenejˇs´ıch webových prehliadaˇcov.

Hlavnou nevýhodou je zloˇzitá správa uˇz´ıvatel’ov, pretoˇze prihlasovacie dáta sú uloˇzené v konfiguraˇcných súboroch a tým pádom je pr´ıstup k nim zloˇzitejˇs´ı oproti databáze. ˇDalˇsou nevýhodou tejto metódy je, ˇze prihlasovacie dáta sa v HTTP hlaviˇcke odosielajú ˇsifrované vel’mi jednoduchou ˇsifrou, ktorú je moˇzné prekonat’ v reálnom ˇcase a tak nie je problém odchytit’ paket, zistit’ z neho poˇzadované dáta a deˇsifrovat’ ich. Tento problém rieˇsi pouˇzitie protokolu HTTPS, je vˇsak nutné vlastnit’ certifikát, ktorým sa overuje identita servera.

Táto metóda je pouˇzitel’ná vˇsade tam, kde nie je nutná flexibilná správa uˇz´ıvatel’ov a je vyˇzadovaná vysoká bezpeˇcnost’. Je nutné mat’ podporu urˇcitého programovacieho jazyka, ktorý sa stará o autorizáciu. Táto kombinácia s pouˇzit´ım ˇsifrovania je, okrem preruˇsenia komunikácie, imúnna voˇci vˇsetkým útokom na komunikáciu. Vd’aka autentizácii pomocou webového servera odpadá moˇznost’ pouˇzitia cross-site skriptovania, pretoˇze u klienta sa neukladajú ˇziadne dáta a SQL injection, pretoˇze dáta nie sú v databáze, ale v konfiguraˇcnom

(25)

Kapitola 6

Zhrnutie pravidiel bezpeˇ

cnosti

Vývojári aj uˇz´ıvatelia by sa mali riadit’ urˇcitými pravidlami pri dodrˇziavan´ı bezpeˇcnosti. Pri tvorbe aplikácie mus´ı byt’ návrh vytvorený s ohl’adom na niekol’ko vˇseobecných bodov bezpeˇcnosti. [5]

• Ziadny syst´ˇ em nepovaˇzovat’ za absolútne zabezpeˇcený. Útokom a rôznym ohrozeniam sa nedá vyhnút’.

• Rozdelit’ systém/aplikáciu na viacero ˇcast´ı za úˇcelom zn´ıˇzenia ˇskôd pri útoku. • Robit’ záznamy zo vˇsetkých akci´ı nad aplikáciou.

• Nikdy neverit’ uˇz´ıvatel’sk´emu vstupu.

6.1

Autentiz´

acia s pouˇ

zit´ım jazyka PHP

Pri vytváran´ı autentizaˇcného procesu by sa mal návrhár riadit’ niekol’kými bezpeˇcnostnými zásadami.

• Uˇz´ıvatel’skémeno a hesloby mali byt’ aspoˇn 6 znakov dlhé a obsahovat’ alfanumerické a rôzne d’alˇsie znaky.

• Pri neúspeˇsnom prihlásen´ı by sa mala aplikácia správat’ zdrˇzanlivo. Namiesto hlásen´ı

”nesprávne heslo“ alebo ”zadané meno sa nenachádza v databáze“ je vhod-nejˇsie nap´ısat’

”Prihlásenie neúspeˇsné“ a tak ostat’ neutrálny voˇci nesprávne zadaným ´

udajom.

• Správnezaobchádzat’ s chybami. Pred väˇcˇsinu funkci´ı volaných v PHP vloˇzit’ znak @. Ak funkcia zlyhá, PHP tak nebude zobrazovat’ chybovú hláˇsku. Najlepˇsie uplatne-nie je pri práci s databázami, kde sa môˇze stat’, ˇze SQL dotaz vráti chybu a pr´ıpadný výpis chybovej správy by len pomohol útoˇcn´ıkovi pri identifikáci´ı rôznych prvkov v databáze. U obyˇcajných uˇz´ıvatel’ov takáto chyba poukazuje na neprofesionalitu ap-likácie.

• Heslá v databáze sa nesmú nikdy ukladat’ ako ˇcistý text, ale haˇsované pomocou rôznych metód (napr´ıklad SHA-1 alebo MD5). Ak by sa útoˇcn´ık náhodou dostal

(26)

ret’azec znakov, priˇcom vytvorenie tohto ret’azca trvá zlomok sekundy, ale spätné dekódovanie je takmer nemoˇzné. Aplikácia pri prihlasovan´ı rovnakým spôsobom zahaˇsuje vstupné heslo a výsledok porovnáva s uloˇzeným ret’azcom v databáze.

• Nepouˇz´ıvat’ slov´a

”admin“ alebo ”root“ ako prihlasovacie men´a administr´atora.

Pouˇzitie iba usmerˇnuje útoˇcn´ıka, na ktorého uˇz´ıvatel’a sa má sústredit’ pri snahe o z´ıskanie plných práv nad aplikáciou.

• Zaznamenávat’ poˇcet prihlásen´ıpre kaˇzdého uˇz´ıvatel’a, ako aj dátum a ˇcas posledn´ e-ho prihlásenia a IP adresu poˇc´ıtaˇca, z ktorého bol uˇz´ıvatel’ prihlásený. Takéto záznamy nám pomôˇzu pri odhal’ovan´ı vstupu neoprávnenej osoby.

• Zaznamenávat’ poˇcet neúspeˇsných prihlásen´ı pre kaˇzdého uˇz´ıvatel’a a zabránit’ moˇznosti d’alˇsieho prihlasovania pri prekroˇcen´ı urˇcitého limitu. Týmto zabezpeˇc´ıme aplikáciu proti útokom hrubou silou, kde útoˇcn´ık náhodne skúˇsa mená a heslá. • Odstránit’ spätné lom´ıtka, HTML znaˇcky, SQL a PHP pr´ıkazy alebo rôzne

ˇspeciálne znaky pouˇz´ıvané v urˇcitých pr´ıpadoch (napr´ıklad -- v SQL zmanená ig-norovanie do konca riadku) zo vˇsetkých uˇz´ıvatel’ových vstupov. Ak takýto vstup neoˇcakávame, útoˇcn´ık môˇze jednoducho napadnút’ naˇsu aplikáciu. V PHP sa na odstránenie pouˇz´ıvajú funkcie strip tags()astripslashes()

• Pouˇz´ıvat’ LIMIT 1 v SQL dotazoch. Toto obmedz´ı výpis z databázy len na jeden záznam a pr´ıpadný útoˇcn´ık môˇze z´ıskat’ alebo poˇskodit’ iba takto limitované dáta a nie celú tabul’ku.

• Orezávat’ vstupné dáta.Ak neoˇcakávame prekroˇcenie urˇcitej d´lˇzky vstupných dát, mali by sme uˇz´ıvatel’ovi zamedzit’ zadanie väˇcˇsieho poˇctu dát, ˇc´ım môˇzeme pred´ıst’ rôznym chybám. Nestaˇc´ı vˇsak pouˇzitie atribútu maxlenght v HTML formulároch, pretoˇze útoˇcn´ık nemus´ı dáta odosielat’ z formulára. Pred pouˇzit´ım premennej ju môˇzeme

”orezat’“ pomocou funkciesubstr().

• Kontrola hlaviˇcky. Aplikácia by mala kontrolovat’ HTTP REFERER a zistit’ odkial’ priˇsiel dotaz. Ak nepriˇsiel zo stránky s formulárom, aplikácia by mala dotaz ig-norovat’. HTTP REFERER sa vˇsak dá jednoducho sfalˇsovat’ a zastav´ı iba spam-botov a neskúsených útoˇcn´ıkov.

• Pouˇz´ıvat’ $ POST namiesto $ REQUEST pri z´ıskavan´ı dát. Pri pouˇz´ıt´ı$ REQUEST by mohol útoˇcn´ık dostat’ do aplikácie dáta pomocou metódy $ GET.

• Vyuˇz´ıvat’ SSL ˇsifrovanie. Pre zabezpeˇcenie dát prenáˇsaných cez siet’ je vhodné pouˇz´ıvat’ SSL ˇsifrovanie. Pre takéto zabezpeˇcenie potrebujeme SSL certifikát, ktorým sa overuje ciel’ový server.

• Vˇseobecne limitovat’ uˇz´ıvatel’ské právomoci. Navrhnút’ aplikáciu s ohl’adom na viacero úrovn´ı uˇz´ıvatel’ských oprávnen´ı, pretoˇze nie vˇsetci uˇz´ıvatelia zvyˇcajne potre-bujú rovnaké právomoci.

(27)

Kapitola 7

Autentizaˇ

cn´

a kniˇ

znica

Pre implementáciu som z dôvodu jednoduchosti správy uˇz´ıvatel’ov a vysokej bezpeˇcnosti vybral metódu, ktorá zabezpeˇcuje autentizáciu pomocou spôsobov pop´ısaných v ˇcastiach

5.7.1 a 5.7.2. Z toho dôvodu, ˇze obe metódy majú svoje výhody a nevýhody (nutnost’ podpory cookies, prenáˇsanie session ID pomocou URL), rozhodol som sa implementovat’ obe, aby sa pri finálnom pouˇzit´ı mohol vývojár sám rozhodnút’, ktorá z týchto metód je pre jeho aplikáciu vhodnejˇsia.

7.1

Implement´

acia

Implementovaná metóda je navrhnutá objektovo a podl’a zadania naprogramovaná v jazyku PHP. Pouˇzil som PHP vo verzii 5.2.2, MySQL 4.0.27, webový server Apache vo verzii 1.3.31 a testovanie prebiehalo na OS FreeBSD 6.2. Ked’ˇze je jazyk PHP platformovo nezávislý, ˇ

ciˇze nie je problém pouˇz´ıvat’ túto kniˇznicu na rôznych operaˇcných systémoch.

Na prihlásenie uˇz´ıvatel’a slúˇzi jednoduchý formulár so vstupom pre prihlasovacie meno a heslo. Po odoslan´ı poˇziadavky pre prihlásenie sú údaje o uˇz´ıvatel’ovi dostupné v objekte user, kde sa dá zistit’, ˇci je uˇz´ıvatel’ úspeˇsne prihlásený, jeho IP adresa, ˇcas poslednej aktivity a ˇci je jeho prihlásenie stále v platnosti. Prihlasovacie údaje uˇz´ıvatel’a sú skontrolované metódami checkInput() a checkAuth() v triede user, kde prvá metóda skontroluje pri-hlasovacie meno na neˇziaduce znaky a druhá metóta porovná prihlasovacie údaje s údajmi z databázy. Zadané heslo je od poˇciatku kódované metódou SHA-1, takˇze jeho kontrola na neˇziaduce znaky nie je potrebná. Ak je ˇziadost’ o prihlásenie vyhodnotená úspeˇsne, nastavia sa pr´ıznaky úspeˇsného prihlásenia, s ktorými potom môˇze pracovat’ webová aplikácia.

Ak uˇz´ıvatel’ prekroˇc´ı stanovenú maximálnu dobu neˇcinnosti, nastav´ı sa vlastnost’expired a záleˇz´ı na aplikácii, ako bude postupovat’ v tomto pr´ıpade – ˇci uˇz ponúkne uˇz´ıvatel’ovi znova zadat’ prihlasovacie údaje a tým pred´lˇzit dobu prihlásenia, alebo uˇz´ıvatel’a kompletne odhlási.

Pri odhlásen´ı uˇz´ıvatel’a je zruˇsená celá session a ˇziadne z predoˇslých informáci´ı uˇz nie sú dostupné.

Ak je pri pr´ıstupe na stránku zistená iná IP adresa, ako tá, ktorá sa na zaˇciatku relácie priradila danému uˇz´ıvatel’ovi, znamená to, ˇze sa urˇcitým spôsobom dostalo session ID na iný poˇc´ıtaˇc, ako je ten, z ktorého sa prihlásil právoplatný uˇz´ıvatel’, a session sa zruˇs´ı.

Udrˇzovanie stavu je zabezpeˇcené pomocou PHP session a metódy GET alebo cookies. Implicitný spôsob je pomocou cookies, ak je vˇsak zistené, ˇze klient nemá povolené pouˇzitie

(28)

aj napriek tomu, ˇze ju klient nemus´ı podporovat’. Je nutné, aby pri pouˇzit´ı metódy GET obsahovali vˇsetky URL adresy v rámci aplikácie session ID. Na pridanie tohoto ID slúˇzi funkcia makeUrl(), ktorá automatický vloˇz´ı session ID na koniec zadanej URL.

O samotné pripojenie k databáze sa stará trieda auth, ktorá sa dá nakonfigurovat’ aj pre odliˇsný databázový server, neˇz je ten, ktorý vyuˇz´ıva webová aplikácia a je potrebné nastavit’ názov tabul’ky a názvy st´lpcov, kde sa nachádzajú dáta o uˇz´ıvatel’och. Taktieˇz sa tam nastavuje, ktorá z metód sa má pouˇzit’ pre udrˇzovanie informácie o cookies. ˇDalˇsou moˇznost’ou nastavenia je maximálna d´lˇzka doby neˇcinnosti uˇz´ıvatel’a, po ktorej sa zruˇs´ı platnost’ prihlásenia.

7.2

Pouˇ

zitie

Kniˇznicu je nutné vloˇzit’ na zaˇciatok kaˇzdej stránky, ktorá vyˇzaduje autorizovaného uˇz´ıvatel’a, pomocou require once(’inc/auth.inc’);. Skript v auth.inc sa sám stará o samotnú autentizáciu a nastavenie pr´ıznakov o aktuálnom uˇz´ıvatel’ovi. V súbore auth config.inc sa nachádza rôzne nastavenie, ako napr´ıklad maximálna d´lˇzka neˇcinnosti, názvy st´lpcov v tabul’ke, názov tabul’ky, adresa MySQL serveru, údaje potrebné pre pripojenie k databáze a metóda, ktorá sa má pouˇzit’ pre udrˇzovanie stavu. Taktieˇz sa tam nachádza samotné MySQL pripojenie a odpojenie od databázy. V súboreauth form.incsa nachádza formulár pre prihlásenie uˇz´ıvatel’a. Súborauth func.incobsahuje samotnú funkciu, ktorá sa pouˇz´ıva na úpravu URL pri pouˇzit´ı metódy GET. Trieda obsahujúca metódy a vlastnoti slúˇziace k overovaniu a udrˇzovaniu informáci´ı o uˇz´ıvatel’ovi sa nachádza v súbore auth user.inc.

7.3

Vyuˇ

zitie

Táto autentizaˇcná kniˇznica má vyuˇzitie vˇsade tam, kde je nutná autentizácia uˇz´ıvatel’a pred vstupom do urˇcitej ˇcasti aplikácie, ktorú chceme oddelit’ od verejnej ˇcasti stránky. Pr´ıkladom môˇzu byt’ rôzne diskusné fóra, privátne fotogalérie alebo osobné stránky. Táto metóda vˇsak stále obsahuje chyby, ako napr´ıklad spôsob, akým ukladá PHP premenné na strane serveru.

(29)

Kapitola 8

Z´

aver

Pri vypracovávan´ı tejto práce som sa zoznámil s problematikou bezpeˇcnosti webových ap-likáci´ı a rôznych metód, ktoré sa pouˇz´ıvajú pre autentizáciu v prostred´ı WWW s pouˇzit´ım programovacieho jazyka PHP. Jednotlivé metódy a ich kombinácie sú detailne pop´ısané s ich výhodami a nevýhodami, so zameran´ım na pouˇzitel’nost’ a bezpeˇcnost’ týchto metód. S vyuˇzit´ım týchto znalost´ı som nakoniec implementoval kniˇznicu funkci´ı pre zvolenú metódu autentizácie.

Pri analýze bezpeˇcnosti aplikáci´ı v prostred´ı webu som narazil na rôzne bezpeˇcnostné problémy, ktoré sa priamo alebo nepriamo týkajú samotnej aplikácie a na ktoré si návrhári musia dávat’ pozor pri navrhovan´ı aplikácie. Ide napr´ıklad o rieˇsenie vzájomnej komunikácie medzi klientom a serverom, pouˇzitie webového serveru alebo výberu skriptovacieho jazyka, v ktorom bude naprogramovaná daná aplikácia.

Pri popisovan´ı rôznych útokov som sa zameral hlavne na útoky na komunikáciu – odpoˇcúvanie komunikácie, preruˇsenie komunikácie, podvrhnutie identity, alebo modifikáciu správy – a rôzne chyby, ktoré môˇze obsahovat’ webová aplikácia, ako napr´ıklad nekontrolo-vanie vstupu uˇz´ıvatel’a, neúmyselné povolenie cross-site skriptovania alebo SQL injection. Zameral som sa aj na rôzne pr´ıklady niektorých útokov.

Následne som sa venoval rôznym metódam autentizácie za pomoci JavaScriptu, PHP, session alebo HTTP autentizáci´ı. Jednotlivé metódy sú pop´ısané so svojimi výhodami, nevýhodami a rôznymi poˇziadavkami na server a klienta. Rovnako opisuje bezpeˇcnost’ vˇsetkých metód a ich pouˇzitel’nost’ v praxi. Na záver kapitoly sú zhrnuté rôzne kombinácie autentizaˇcných metód, s ktorými sa v praxi najˇcastejˇsie stretávame.

Nakoniec som sa venoval popisu implementácie zvolenej metódy – ako si udrˇzuje stav poˇcas relácie, kde z´ıskava prihlasovacie dáta objektov a ako tento modul pracuje.

Touto prácou som chcel op´ısat’ základné bezpeˇcnostné aspekty vo webových aplikáciách a zvýraznit’ závaˇznost’ niektorých chýb, ktoré sa v nich ˇcasto vyskytujú. Názornou ukáˇzkou niekol’kých útokov by som rád poukázal na jednoduchost’ zneuˇzitia rôznych chýb, ktorých sa vývojári a návrhári dopúˇst’ajú a ver´ım, ˇze im táto práca pomôˇze pri vytváran´ı bezpeˇcnejˇs´ıch aplikáci´ı.

V budúcej práci by som sa rád podrobnejˇsie zameral na analýzu bezpeˇcnosti zo strany serveru vzhl’adom k poskytovaným aplikáciám, ako napr´ıklad Apache, PHP alebo MySQL.

(30)

Zoznam pouˇ

zit´

ych zdrojov

[1] Friedl, S.: SQL Injection Attacks by Example. January 2005,

[Online; accessed 27-April-2007].

URLhttp://www.unixwiz.net/techtips/sql-injection.html [2] Inc., A. C.: Writing Secure Web Applications. Marec 2004,

[Online; accessed 12-December-2006].

URLhttp://advosys.ca/papers/web-security.html

[3] Miko, K.; Zaj´ıˇcek, M.: Bezpeˇcnost WWW aplikac´ı ve svˇetle praktick´ych poznatk´u. 2002.

[4] Oˇcenáˇsek, P.:Verifikace bezpeˇcnostn´ıch protokol˚u. Diplomová práca, FIT VUT v Brnˇe, 2003.

[5] Skrysak, J.: Secure Website Login Programming with PHP & MySQL. August 2004, [Online; accessed 25-April-2007].

URLhttp://www.skrysak.com/articles/securephp1.php

[6] Wikipedia: Access control — Wikipedia, The Free Encyclopedia. 2007, [Online; accessed 19-April-2007].

URL

http://en.wikipedia.org/w/index.php?title=Access_control&oldid=123488110 [7] Wikipedia: Authentication — Wikipedia, The Free Encyclopedia. 2007,

[Online; accessed 8-May-2007]. URL

http://en.wikipedia.org/w/index.php?title=Authentication&oldid=126713314 [8] Wikipedia: Web application — Wikipedia, The Free Encyclopedia. 2007,

[Online; accessed 19-April-2007]. URLhttp:

(31)

Zoznam pouˇ

zit´

ych skratiek

ACL – Access Control List

ASP – Active Server Pages

DDoS – Distributed Denial-of-Service

IIS – Internet Information Server

IP – Internet Protocol

HTML – Hyper Text Mark-Up Language

HTTP – Hyper Text Transfer Protocol

HTTPS – Hypertext Transfer Protocol over Secure Socket Layer

MD5 – Message Digest 5

PERL – Practical Extraction and Reporting Language

PHP – PHP: Hypertext Preprocessor

PIN – Personal Identification Number

SHA-1 – Secure Hash Algorithm 1

SIM – Subscriber Identity Module

SQL – Structured Query Language

SSL – Secure Socket Layer

URL – Uniform Resource Locator

WWW – World Wide Web

(32)

Zoznam pr´ıloh

A Obsah DVD

(33)

Pr´ıloha A

Obsah DVD

• \doc

– xcizek07-bp.pdf – táto bakalárska práca vo formáte PDF • \src

– \inc

∗ auth.inc – kniˇznica ktorá vykonáva samotnú autentizáciu ∗ auth config.inc– configuraˇcný súbor kniˇznice

∗ auth form.inc – súbor obsahujúci webový formulár pre prihlásenie ∗ auth func.inc – funkcia pre pridávanie PHPSESSID na koniec URL ∗ auth user.inc – trieda USER, spolu s metódami, ktoré nad ˇnou pracujú ∗ users form.inc – formulár pre testovaciu aplikáciu

– index.php – testovacia aplik´acia

– auth users.php – testovacia aplik´acia

http://www.unixwiz.net/techtips/sql-injection.html

http://advosys.ca/papers/web-security.html

http://www.skrysak.com/articles/securephp1.php

http://en.wikipedia.org/w/index.php?title=Access_control&oldid=123488110

http://en.wikipedia.org/w/index.php?title=Authentication&oldid=126713314

http://en.wikipedia.org/w/index.php?title=Web_application&oldid=120785904