Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Andre Faßbender Waldstr. 7 85293 Reichertshausen Steuernummer: 154/216/20498 Ust-ID: DE279908846 [email protected] http://www.schwachstellenforschung.de Bankverbindung: VR Bank Bayern Mitte eG Kto.-Nr. 2744040, BLZ 72160818 IBAN: DE95 7216 0818 0002 7440 40 Inhaltsverzeichnis 1. Abstract ............................................................................................................................................................................................. 3 2. Konfiguration der getesteten Systeme ....................................................................................................................................... 4 3. 2.1. Betriebssysteme ................................................................................................................................................................... 4 2.2. Blogsoftware........................................................................................................................................................................... 4 2.3. Webserver Konfiguration ...................................................................................................................................................... 5 2.4. Zusätzliche Informationen ................................................................................................................................................... 6 Umgang mit Kundendaten ............................................................................................................................................................. 6 3.1. Passwörter und Verschlüsselung ....................................................................................................................................... 6 3.2. Session und Datenhandling ................................................................................................................................................. 6 4. Erfolgreiche Angriffe ....................................................................................................................................................................... 6 5. Ergebnis ............................................................................................................................................................................................ 7 Andre Faßbender Waldstr. 7 85293 Reichertshausen Steuernummer: 154/216/20498 Ust-ID: DE279908846 [email protected] http://www.schwachstellenforschung.de Bankverbindung: VR Bank Bayern Mitte eG Kto.-Nr. 2744040, BLZ 72160818 IBAN: DE95 7216 0818 0002 7440 40 1. Abstract Im Jahr 2012 wurden bei 49 Kunden externe Penetrationstests durchgeführt. Pro Kunde wurde mindestens ein System überprüft. Die Ergebnisse werden in diesem Dokument anonym ausgewertet. Andre Faßbender Waldstr. 7 85293 Reichertshausen Steuernummer: 154/216/20498 Ust-ID: DE279908846 [email protected] http://www.schwachstellenforschung.de Bankverbindung: VR Bank Bayern Mitte eG Kto.-Nr. 2744040, BLZ 72160818 IBAN: DE95 7216 0818 0002 7440 40 2. Konfiguration der getesteten Systeme 2.1. Betriebssysteme Von allen getesteten Systemen wurden 12% mit Microsoft betrieben, der Rest der Systeme (88%) wurde mit Linux betrieben (Abb.1). Bei Linux überwog die Verwendung von Debian Linux und dem Derivat Ubuntu. Linux Windows Abb. 1 22% der installierten Systeme wurde mit obsoleter Betriebssystem Software betrieben für die es keine Sicherheitsupdates mehr gibt. 2.2. Blogsoftware 33% aller Kunden haben zusätzlich Blogsoftware im Einsatz. 18% der installierten Blogs sind veraltet und wurden nicht gepflegt. 12% der Blogs werden auf demselben Server wie das Webangebot betrieben (Abb.2). Blogsoftware veraltet Blogsoftware auf dem selben Server wie die Anwendung 1 Blogsoftware im Einsatz 0,00% 20,00% 40,00% 60,00% 80,00% Abb. 2 Andre Faßbender Waldstr. 7 85293 Reichertshausen Steuernummer: 154/216/20498 Ust-ID: DE279908846 [email protected] http://www.schwachstellenforschung.de Bankverbindung: VR Bank Bayern Mitte eG Kto.-Nr. 2744040, BLZ 72160818 IBAN: DE95 7216 0818 0002 7440 40 2.3. Webserver Konfiguration Bei 39% der getesteten Systeme war mindestens 1 Ordner mit Directory Listing aktiv. 32% alle Systeme lieferten detaillierte Informationen da PHP Info und Credits aktiv waren. 29% aller Systeme haben detaillierte Fehlermeldungen (Debug) zum Anwender hin aktiv. 43% aller Systeme liefern sensible, nicht-personenbezogene Informationen (Pfade, IP Adressen, Versionsinformationen, Datenbanken...) über Fehlkonfigurationen, Testdateien und Quelltextkommentaren. 29% der Webserver haben die ServerSignature sowie X-Powered-By Header aktiv und liefern so genaue Details über eingesetzte Software und Versionen. Bei 45% der Systeme ist die Systemverwaltung/CMS direkt auf dem Webserver selbst installiert. 6% der Systeme haben ein zugehöriges, sicherheitskritisches System in der IP Range (Abb. 3). 16% der Systeme haben mehr als nur die benötigten Netzwerk Ports offen. Admin Zugriff auf der Webseite Preisgabe von nicht personenbezogenen Betriebsdaten Directory Listing aktiv PHP Credits / Info aktiv 1 Server Fehlermeldungen zum Benutzer aktiv Server Signatur aktiv Unnötige Nettwerkports aktiv und ungeschützt Unsicheres System in IP Bereich 0,00% 10,00% 20,00% 30,00% 40,00% 50,00% Abb. 3 Andre Faßbender Waldstr. 7 85293 Reichertshausen Steuernummer: 154/216/20498 Ust-ID: DE279908846 [email protected] http://www.schwachstellenforschung.de Bankverbindung: VR Bank Bayern Mitte eG Kto.-Nr. 2744040, BLZ 72160818 IBAN: DE95 7216 0818 0002 7440 40 2.4. Zusätzliche Informationen 22% aller Kunden hatten Interne Benutzerkennungen als Metainformationen in PDF und Office Dokumenten. 8% hatte SVN / Subversion entries Dateien auf dem Server und lieferten so Informationen über existierende Dateien die sonst nicht über die Website verlinkt und erreichbar waren. 3. Umgang mit Kundendaten 3.1. Passwörter und Verschlüsselung Bei 2% der getesteten Systeme wurde keine Passwort Policy vorgeschrieben. Kunden konnten somit einfache und beliebig kurze Passwörter vergeben. Obwohl bei allen Systemen ein gültiges Zertifikat installiert war, wurden bei 45% Kundendaten unverschlüsselt übertragen (Login, Account Erstellung…) 12% hatten noch das obsolete und angreifbare SSL2 Protokoll für HTTPS Verbindungen aktiv. 3.2. Session und Datenhandling 57% der Session Cookies die über HTTPS ausgehandelt werden, haben kein Secure Flag und können so über unverschlüsselte Verbindungen übertragen werden. 29% der Systeme hatte in sensitiven Eingabefeldern (Passwörter, Zahlungsdaten…) Autovervollständigung aktiv. 51% haben Soziale Netzwerke schon auf der Startseite integriert. Somit werden Benutzer die aktuell in einem Sozialen Netzwerk eingeloggt sind automatisch mit der Anbieterseite in Zusammenhang gebracht. 27% setzen Massen Tracking Cookie Anbieter ein mit der bis zu 20 verschiedene Ad Cookies beim Besucher hinterlegt 4. Erfolgreiche Angriffe Bei 37% der getesteten Systeme war eine Cross Site Scripting Attacke aufgrund fehlender Eingabeüberprüfung möglich. Somit war es möglich fremde Inhalte in die Webseite zu Integrieren oder Cookies an andere Systeme zu übertragen. 10% waren nicht gegen SQL Injections abgesichert und erlaubten die Ausführung von SQL Code über http Requests. Bei 12% der Systeme war es ebenfalls möglich über andere Wege auf Kundendaten zuzugreifen (Datenbankbackups, KVM …) Andre Faßbender Waldstr. 7 85293 Reichertshausen Steuernummer: 154/216/20498 Ust-ID: DE279908846 [email protected] http://www.schwachstellenforschung.de Bankverbindung: VR Bank Bayern Mitte eG Kto.-Nr. 2744040, BLZ 72160818 IBAN: DE95 7216 0818 0002 7440 40 5. Ergebnis Obwohl 78% der Systeme aktuelle Software verwenden um sich vor Angriffen zu schützen, verzichten 37% auf Input Validation um sich vor Cross Site Scripting, oder 10% auf sichere Programmierung um sich vor SQL Injection zu schützen. Da leider Daten mit sensiblen Informationen auf den Webservern frei verfügbar abgelegt wurden, konnten bei 12% Kundendaten ohne großen Aufwand entwendet werden. Andre Faßbender Waldstr. 7 85293 Reichertshausen Steuernummer: 154/216/20498 Ust-ID: DE279908846 [email protected] http://www.schwachstellenforschung.de Bankverbindung: VR Bank Bayern Mitte eG Kto.-Nr. 2744040, BLZ 72160818 IBAN: DE95 7216 0818 0002 7440 40