Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Andre Faßbender Waldstr. 7 85293 Reichertshausen Steuernummer: 154/216/20498 Ust-ID: DE279908846 [email protected] http://www.schwachstellenforschung.de Bankverbindung: VR Bank Bayern Mitte eG Kto.-Nr. 2744040, BLZ 72160818 IBAN: DE95 7216 0818 0002 7440 40 Inhaltsverzeichnis 1. Abstract............................................................................................................................................................................................ 3 2. Konfiguration der getesteten Systeme ...................................................................................................................................... 4 3. 2.1. Betriebssysteme .................................................................................................................................................................. 4 2.2. Blogsoftware ......................................................................................................................................................................... 4 2.3. Webserver Konfiguration ..................................................................................................................................................... 5 2.4. Zusätzliche Informationen .................................................................................................................................................. 6 Umgang mit Kundendaten ............................................................................................................................................................ 6 3.1. Passwörter und Verschlüsselung ...................................................................................................................................... 6 3.2. Session und Datenhandling ................................................................................................................................................ 6 4. Erfolgreiche Angriffe ...................................................................................................................................................................... 6 5. Ergebnis ........................................................................................................................................................................................... 7 Andre Faßbender Waldstr. 7 85293 Reichertshausen Steuernummer: 154/216/20498 Ust-ID: DE279908846 [email protected] http://www.schwachstellenforschung.de Bankverbindung: VR Bank Bayern Mitte eG Kto.-Nr. 2744040, BLZ 72160818 IBAN: DE95 7216 0818 0002 7440 40 1. Abstract Im Jahr 2013 wurden bei 41 Kunden externe Penetrationstests durchgeführt. Pro Kunde wurde mindestens ein System überprüft. Die Ergebnisse werden in diesem Dokument anonym ausgewertet. Andre Faßbender Waldstr. 7 85293 Reichertshausen Steuernummer: 154/216/20498 Ust-ID: DE279908846 [email protected] http://www.schwachstellenforschung.de Bankverbindung: VR Bank Bayern Mitte eG Kto.-Nr. 2744040, BLZ 72160818 IBAN: DE95 7216 0818 0002 7440 40 2. Konfiguration der getesteten Systeme 2.1. Betriebssysteme Von allen getesteten Systemen wurden 24% (2012 12%)mit Microsoft Windows betrieben, der Rest der Systeme, 75% (2012 88%) wurde mit Linux betrieben (Abb.1). Bei Linux überwog die Verwendung von Debian Linux und dem Derivat Ubuntu. Linux Windows Abb. 1 7% (2012 22%) der installierten Systeme wurde mit obsoleter Betriebssystem Software betrieben für die es keine Sicherheitsupdates mehr gibt. 2.2. Blogsoftware 39% (2012 33%) aller Kunden haben zusätzlich Blogsoftware im Einsatz. 12% (2012 18%) der installierten Blogs sind veraltet und wurden nicht gepflegt. 12% (2012 12%) der Blogs werden auf demselben Server wie das Webangebot betrieben (Abb.2). Blogso0ware veraltet Blogso0ware auf dem selben Server wie die Anwendung Blogso0ware im Einsatz 1 Abb. 2 Andre Faßbender Waldstr. 7 85293 Reichertshausen Steuernummer: 154/216/20498 Ust-ID: DE279908846 [email protected] http://www.schwachstellenforschung.de Bankverbindung: VR Bank Bayern Mitte eG Kto.-Nr. 2744040, BLZ 72160818 IBAN: DE95 7216 0818 0002 7440 40 2.3. Webserver Konfiguration Bei 17% (2012 39%) der getesteten Systeme war mindestens 1 Ordner mit Directory Listing aktiv. 5% (2012 32%) alle Systeme lieferten detaillierte Informationen da PHP Info und Credits aktiv waren. 24% (2012 29%) aller Systeme haben detaillierte Fehlermeldungen (Debug) zum Anwender hin aktiv. 29% (2012 43%) aller Systeme liefern sensible, nicht-personenbezogene Informationen (Pfade, IP Adressen, Versionsinformationen, Datenbanken...) über Fehlkonfigurationen, Testdateien und Quelltextkommentaren. 39% (2012 29%) der Webserver haben die ServerSignature sowie X-Powered-By Header aktiv und liefern so genaue Details über eingesetzte Software und Versionen. Bei 31% (2012 45%) der Systeme ist die Systemverwaltung/CMS direkt auf dem Webserver selbst installiert. 14% (2012 6%) der Systeme haben ein zugehöriges, sicherheitskritisches System in der IP Range (Abb. 3). 8% (2012 16%) der Systeme haben mehr als nur die benötigten Netzwerk Ports offen. Server Signatur akDv Admin Zugriff auf der Webseite Preisgabe von nicht personenbezogenen Betriebsdaten Server Fehlermeldungen zum Benutzer akDv 1 Directory LisDng akDv Unsicheres System in IP Bereich UnnöDge NeRwerkports akDv und ungeschützt 0.00% 10.00% 20.00% 30.00% 40.00% PHP Credits / Info akDv Abb. 3 Andre Faßbender Waldstr. 7 85293 Reichertshausen Steuernummer: 154/216/20498 Ust-ID: DE279908846 [email protected] http://www.schwachstellenforschung.de Bankverbindung: VR Bank Bayern Mitte eG Kto.-Nr. 2744040, BLZ 72160818 IBAN: DE95 7216 0818 0002 7440 40 2.4. Zusätzliche Informationen 19% (2012 22%) aller Kunden hatten Interne Benutzerkennungen als Metainformationen in PDF und Office Dokumenten. 5% (2012 8%) hatte SVN / Subversion entries Dateien auf dem Server und lieferten so Informationen über existierende Dateien die sonst nicht über die Website verlinkt und erreichbar waren. 3. Umgang mit Kundendaten 3.1. Passwörter und Verschlüsselung Bei 2% (2012 2%) der getesteten Systeme wurde keine Passwort Policy vorgeschrieben. Kunden konnten somit einfache und beliebig kurze Passwörter vergeben. Obwohl bei allen Systemen ein gültiges Zertifikat installiert war, wurden bei 39% (2012 45%) Kundendaten unverschlüsselt übertragen (Login, Account Erstellung…) 7% (2012 12%) hatten noch das obsolete und angreifbare SSL2 Protokoll für HTTPS Verbindungen aktiv. 3.2. Session und Datenhandling 70% (2012 57%) der Session Cookies die über HTTPS ausgehandelt werden, haben kein Secure Flag und können so über unverschlüsselte Verbindungen übertragen werden. 7% (2012 29%) der Systeme hatte in sensitiven Eingabefeldern (Passwörter, Zahlungsdaten…) Autovervollständigung aktiv. 39% (2012 51%) haben Soziale Netzwerke schon auf der Startseite integriert. Somit werden Benutzer die aktuell in einem Sozialen Netzwerk eingeloggt sind automatisch mit der Anbieterseite in Zusammenhang gebracht. 49% (2012 27%) setzen Massen Tracking Cookie Anbieter ein mit der bis zu 20 verschiedene Ad Cookies beim Besucher hinterlegt 4. Erfolgreiche Angriffe Bei 15% (2012 37%) der getesteten Systeme war eine Cross Site Scripting Attacke aufgrund fehlender Eingabeüberprüfung möglich. Somit war es möglich fremde Inhalte in die Webseite zu Integrieren oder Cookies an andere Systeme zu übertragen. 5% (2012 10%) waren nicht gegen SQL Injections abgesichert und erlaubten die Ausführung von SQL Code über http Requests. Bei 12% (2012 12%) der Systeme war es ebenfalls möglich über andere Wege auf Kundendaten zuzugreifen (Datenbankbackups, KVM …) Andre Faßbender Waldstr. 7 85293 Reichertshausen Steuernummer: 154/216/20498 Ust-ID: DE279908846 [email protected] http://www.schwachstellenforschung.de Bankverbindung: VR Bank Bayern Mitte eG Kto.-Nr. 2744040, BLZ 72160818 IBAN: DE95 7216 0818 0002 7440 40 5. Ergebnis Obwohl 93% der Systeme aktuelle Software verwenden um sich vor Angriffen zu schützen, verzichten 15% auf Input Validation um sich vor Cross Site Scripting, oder 5% auf sichere Programmierung um sich vor SQL Injection zu schützen. Da leider Daten mit sensiblen Informationen auf den Webservern frei verfügbar abgelegt wurden, oder der Zugriff nicht auf den aktuellen Benutzer beschränkt waren, konnten bei 12% Kundendaten ohne großen Aufwand entwendet werden. Als positiver Trend sind die Aktualität der eingesetzten Software sowie der steigende Schutz gegen XSS oder SQL Injection-Angriffe erkennbar. Während nun mehr Kunden Blogs einsetzen hat sich auch hier die Aktualität verbessert, Grund hierfür ist die Verwendung aktueller Blogsoftware bei Neuinstallationen. Die Fehlkonfigurationen von Webserversoftware hat sich generell reduziert, leider verwenden nun mehr Server eine Serversignatur. Dies ist mit der steigenden Anzahl der verwendeten Microsoft Windows Webserver mit ASP.NET verbunden. Kunden achten nun vermehrt auf den Einsatz von Metainformationen in Dokumenten, ebenfalls fanden sich weniger svn oder git repositories auf Servern. Leider verwendet noch mehr als ein Drittel der Systeme das unverschlüsselte HTTP Protokoll um sensitive Informationen auszutauschen. SSLv2 ist leider noch auf einigen Systemen in Betrieb und wurde 2013 trotz der bekannten Sicherheitslücken nicht deaktiviert. Während Social Networks weniger direkt integriert und z.B. über 2-Klick Lösungen eingebaut werden, und bei sensitiven Formfeldern das autocomplete Feld deaktiviert wurde, zeigt sich ein starker Trend von vermehrt fehlenden Flags bei Session und Datencookies sowie der vermehrte Einsatz von Massen-Werbeanbieter. Auch zeichnet sich ein positiver Trend bei der Input Validation und der verbesserten Programmierung gegen Code oder SQL Injection ab. Leider war es parallel dazu immer noch möglich bei gleichbleibend vielen Systemen Kundendaten über andere Wege auszulesen. Hauptgrund war hier, das Informationen über laufende Nummern oder System-IDs mit Bruteforce abgefragt werden konnten. Andre Faßbender Waldstr. 7 85293 Reichertshausen Steuernummer: 154/216/20498 Ust-ID: DE279908846 [email protected] http://www.schwachstellenforschung.de Bankverbindung: VR Bank Bayern Mitte eG Kto.-Nr. 2744040, BLZ 72160818 IBAN: DE95 7216 0818 0002 7440 40