Schwachstellenforschung Faßbender

Werbung
Schwachstellenanalyse 2013
Sicherheitslücken und Schwachstellen in Onlineshops
Andre C. Faßbender
Schwachstellenforschung Faßbender
09.01.2014
Andre Faßbender
Waldstr. 7
85293 Reichertshausen
Steuernummer: 154/216/20498
Ust-ID: DE279908846
[email protected]
http://www.schwachstellenforschung.de
Bankverbindung: VR Bank Bayern Mitte eG
Kto.-Nr. 2744040, BLZ 72160818
IBAN: DE95 7216 0818 0002 7440 40
Inhaltsverzeichnis
1. Abstract............................................................................................................................................................................................ 3 2. Konfiguration der getesteten Systeme ...................................................................................................................................... 4 3. 2.1. Betriebssysteme .................................................................................................................................................................. 4 2.2. Blogsoftware ......................................................................................................................................................................... 4 2.3. Webserver Konfiguration ..................................................................................................................................................... 5 2.4. Zusätzliche Informationen .................................................................................................................................................. 6 Umgang mit Kundendaten ............................................................................................................................................................ 6 3.1. Passwörter und Verschlüsselung ...................................................................................................................................... 6 3.2. Session und Datenhandling ................................................................................................................................................ 6 4. Erfolgreiche Angriffe ...................................................................................................................................................................... 6 5. Ergebnis ........................................................................................................................................................................................... 7 Andre Faßbender
Waldstr. 7
85293 Reichertshausen
Steuernummer: 154/216/20498
Ust-ID: DE279908846
[email protected]
http://www.schwachstellenforschung.de
Bankverbindung: VR Bank Bayern Mitte eG
Kto.-Nr. 2744040, BLZ 72160818
IBAN: DE95 7216 0818 0002 7440 40
1. Abstract
Im Jahr 2013 wurden bei 41 Kunden externe Penetrationstests durchgeführt. Pro Kunde wurde mindestens ein System
überprüft. Die Ergebnisse werden in diesem Dokument anonym ausgewertet.
Andre Faßbender
Waldstr. 7
85293 Reichertshausen
Steuernummer: 154/216/20498
Ust-ID: DE279908846
[email protected]
http://www.schwachstellenforschung.de
Bankverbindung: VR Bank Bayern Mitte eG
Kto.-Nr. 2744040, BLZ 72160818
IBAN: DE95 7216 0818 0002 7440 40
2. Konfiguration der getesteten Systeme
2.1. Betriebssysteme
Von allen getesteten Systemen wurden 24% (2012 12%)mit Microsoft Windows betrieben, der Rest der Systeme, 75%
(2012 88%) wurde mit Linux betrieben (Abb.1). Bei Linux überwog die Verwendung von Debian Linux und dem Derivat
Ubuntu.
Linux Windows Abb. 1
7% (2012 22%) der installierten Systeme wurde mit obsoleter Betriebssystem Software betrieben für die es keine
Sicherheitsupdates mehr gibt.
2.2. Blogsoftware
39% (2012 33%) aller Kunden haben zusätzlich Blogsoftware im Einsatz. 12% (2012 18%) der installierten Blogs sind
veraltet und wurden nicht gepflegt. 12% (2012 12%) der Blogs werden auf demselben Server wie das Webangebot
betrieben (Abb.2).
Blogso0ware veraltet Blogso0ware auf dem selben Server wie die Anwendung Blogso0ware im Einsatz 1 Abb. 2
Andre Faßbender
Waldstr. 7
85293 Reichertshausen
Steuernummer: 154/216/20498
Ust-ID: DE279908846
[email protected]
http://www.schwachstellenforschung.de
Bankverbindung: VR Bank Bayern Mitte eG
Kto.-Nr. 2744040, BLZ 72160818
IBAN: DE95 7216 0818 0002 7440 40
2.3. Webserver Konfiguration
Bei 17% (2012 39%) der getesteten Systeme war mindestens 1 Ordner mit Directory Listing aktiv.
5% (2012 32%) alle Systeme lieferten detaillierte Informationen da PHP Info und Credits aktiv waren.
24% (2012 29%) aller Systeme haben detaillierte Fehlermeldungen (Debug) zum Anwender hin aktiv.
29% (2012 43%) aller Systeme liefern sensible, nicht-personenbezogene Informationen (Pfade, IP Adressen,
Versionsinformationen, Datenbanken...) über Fehlkonfigurationen, Testdateien und Quelltextkommentaren.
39% (2012 29%) der Webserver haben die ServerSignature sowie X-Powered-By Header aktiv und liefern so genaue
Details über eingesetzte Software und Versionen.
Bei 31% (2012 45%) der Systeme ist die Systemverwaltung/CMS direkt auf dem Webserver selbst installiert.
14% (2012 6%) der Systeme haben ein zugehöriges, sicherheitskritisches System in der IP Range (Abb. 3).
8% (2012 16%) der Systeme haben mehr als nur die benötigten Netzwerk Ports offen.
Server Signatur akDv Admin Zugriff auf der Webseite Preisgabe von nicht personenbezogenen Betriebsdaten Server Fehlermeldungen zum Benutzer akDv 1 Directory LisDng akDv Unsicheres System in IP Bereich UnnöDge NeRwerkports akDv und ungeschützt 0.00% 10.00% 20.00% 30.00% 40.00% PHP Credits / Info akDv Abb. 3
Andre Faßbender
Waldstr. 7
85293 Reichertshausen
Steuernummer: 154/216/20498
Ust-ID: DE279908846
[email protected]
http://www.schwachstellenforschung.de
Bankverbindung: VR Bank Bayern Mitte eG
Kto.-Nr. 2744040, BLZ 72160818
IBAN: DE95 7216 0818 0002 7440 40
2.4. Zusätzliche Informationen
19% (2012 22%) aller Kunden hatten Interne Benutzerkennungen als Metainformationen in PDF und Office
Dokumenten.
5% (2012 8%) hatte SVN / Subversion entries Dateien auf dem Server und lieferten so Informationen über existierende
Dateien die sonst nicht über die Website verlinkt und erreichbar waren.
3. Umgang mit Kundendaten
3.1. Passwörter und Verschlüsselung
Bei 2% (2012 2%) der getesteten Systeme wurde keine Passwort Policy vorgeschrieben. Kunden konnten somit
einfache und beliebig kurze Passwörter vergeben.
Obwohl bei allen Systemen ein gültiges Zertifikat installiert war, wurden bei 39% (2012 45%) Kundendaten
unverschlüsselt übertragen (Login, Account Erstellung…)
7% (2012 12%) hatten noch das obsolete und angreifbare SSL2 Protokoll für HTTPS Verbindungen aktiv.
3.2. Session und Datenhandling
70% (2012 57%) der Session Cookies die über HTTPS ausgehandelt werden, haben kein Secure Flag und können so über
unverschlüsselte Verbindungen übertragen werden.
7% (2012 29%) der Systeme hatte in sensitiven Eingabefeldern (Passwörter, Zahlungsdaten…) Autovervollständigung
aktiv.
39% (2012 51%) haben Soziale Netzwerke schon auf der Startseite integriert. Somit werden Benutzer die aktuell in
einem Sozialen Netzwerk eingeloggt sind automatisch mit der Anbieterseite in Zusammenhang gebracht.
49% (2012 27%) setzen Massen Tracking Cookie Anbieter ein mit der bis zu 20 verschiedene Ad Cookies beim Besucher
hinterlegt
4. Erfolgreiche Angriffe
Bei 15% (2012 37%) der getesteten Systeme war eine Cross Site Scripting Attacke aufgrund fehlender
Eingabeüberprüfung möglich. Somit war es möglich fremde Inhalte in die Webseite zu Integrieren oder Cookies an andere
Systeme zu übertragen.
5% (2012 10%) waren nicht gegen SQL Injections abgesichert und erlaubten die Ausführung von SQL Code über http
Requests.
Bei 12% (2012 12%) der Systeme war es ebenfalls möglich über andere Wege auf Kundendaten zuzugreifen
(Datenbankbackups, KVM …)
Andre Faßbender
Waldstr. 7
85293 Reichertshausen
Steuernummer: 154/216/20498
Ust-ID: DE279908846
[email protected]
http://www.schwachstellenforschung.de
Bankverbindung: VR Bank Bayern Mitte eG
Kto.-Nr. 2744040, BLZ 72160818
IBAN: DE95 7216 0818 0002 7440 40
5. Ergebnis
Obwohl 93% der Systeme aktuelle Software verwenden um sich vor Angriffen zu schützen, verzichten 15% auf Input
Validation um sich vor Cross Site Scripting, oder 5% auf sichere Programmierung um sich vor SQL Injection zu schützen.
Da leider Daten mit sensiblen Informationen auf den Webservern frei verfügbar abgelegt wurden, oder der Zugriff nicht
auf den aktuellen Benutzer beschränkt waren, konnten bei 12% Kundendaten ohne großen Aufwand entwendet werden.
Als positiver Trend sind die Aktualität der eingesetzten Software sowie der steigende Schutz gegen XSS oder SQL
Injection-Angriffe erkennbar. Während nun mehr Kunden Blogs einsetzen hat sich auch hier die Aktualität verbessert,
Grund hierfür ist die Verwendung aktueller Blogsoftware bei Neuinstallationen.
Die Fehlkonfigurationen von Webserversoftware hat sich generell reduziert, leider verwenden nun mehr Server eine
Serversignatur. Dies ist mit der steigenden Anzahl der verwendeten Microsoft Windows Webserver mit ASP.NET
verbunden.
Kunden achten nun vermehrt auf den Einsatz von Metainformationen in Dokumenten, ebenfalls fanden sich weniger svn
oder git repositories auf Servern.
Leider verwendet noch mehr als ein Drittel der Systeme das unverschlüsselte HTTP Protokoll um sensitive Informationen
auszutauschen. SSLv2 ist leider noch auf einigen Systemen in Betrieb und wurde 2013 trotz der bekannten
Sicherheitslücken nicht deaktiviert.
Während Social Networks weniger direkt integriert und z.B. über 2-Klick Lösungen eingebaut werden, und bei sensitiven
Formfeldern das autocomplete Feld deaktiviert wurde, zeigt sich ein starker Trend von vermehrt fehlenden Flags bei
Session und Datencookies sowie der vermehrte Einsatz von Massen-Werbeanbieter.
Auch zeichnet sich ein positiver Trend bei der Input Validation und der verbesserten Programmierung gegen Code oder
SQL Injection ab. Leider war es parallel dazu immer noch möglich bei gleichbleibend vielen Systemen Kundendaten über
andere Wege auszulesen. Hauptgrund war hier, das Informationen über laufende Nummern oder System-IDs mit
Bruteforce abgefragt werden konnten.
Andre Faßbender
Waldstr. 7
85293 Reichertshausen
Steuernummer: 154/216/20498
Ust-ID: DE279908846
[email protected]
http://www.schwachstellenforschung.de
Bankverbindung: VR Bank Bayern Mitte eG
Kto.-Nr. 2744040, BLZ 72160818
IBAN: DE95 7216 0818 0002 7440 40
Herunterladen