Schwachstellenforschung Faßbender

Werbung
Schwachstellenanalyse 2012
Sicherheitslücken und Schwachstellen in Onlineshops
Andre C. Faßbender
Schwachstellenforschung Faßbender
13.01.2012
Andre Faßbender
Waldstr. 7
85293 Reichertshausen
Steuernummer: 154/216/20498
Ust-ID: DE279908846
[email protected]
http://www.schwachstellenforschung.de
Bankverbindung: VR Bank Bayern Mitte eG
Kto.-Nr. 2744040, BLZ 72160818
IBAN: DE95 7216 0818 0002 7440 40
Inhaltsverzeichnis
1.
Abstract ............................................................................................................................................................................................. 3
2.
Konfiguration der getesteten Systeme ....................................................................................................................................... 4
3.
2.1.
Betriebssysteme ................................................................................................................................................................... 4
2.2.
Blogsoftware........................................................................................................................................................................... 4
2.3.
Webserver Konfiguration ...................................................................................................................................................... 5
2.4.
Zusätzliche Informationen ................................................................................................................................................... 6
Umgang mit Kundendaten ............................................................................................................................................................. 6
3.1.
Passwörter und Verschlüsselung ....................................................................................................................................... 6
3.2.
Session und Datenhandling ................................................................................................................................................. 6
4.
Erfolgreiche Angriffe ....................................................................................................................................................................... 6
5.
Ergebnis ............................................................................................................................................................................................ 7
Andre Faßbender
Waldstr. 7
85293 Reichertshausen
Steuernummer: 154/216/20498
Ust-ID: DE279908846
[email protected]
http://www.schwachstellenforschung.de
Bankverbindung: VR Bank Bayern Mitte eG
Kto.-Nr. 2744040, BLZ 72160818
IBAN: DE95 7216 0818 0002 7440 40
1. Abstract
Im Jahr 2012 wurden bei 49 Kunden externe Penetrationstests durchgeführt. Pro Kunde wurde mindestens ein System
überprüft. Die Ergebnisse werden in diesem Dokument anonym ausgewertet.
Andre Faßbender
Waldstr. 7
85293 Reichertshausen
Steuernummer: 154/216/20498
Ust-ID: DE279908846
[email protected]
http://www.schwachstellenforschung.de
Bankverbindung: VR Bank Bayern Mitte eG
Kto.-Nr. 2744040, BLZ 72160818
IBAN: DE95 7216 0818 0002 7440 40
2. Konfiguration der getesteten Systeme
2.1. Betriebssysteme
Von allen getesteten Systemen wurden 12% mit Microsoft betrieben, der Rest der Systeme (88%) wurde mit Linux
betrieben (Abb.1). Bei Linux überwog die Verwendung von Debian Linux und dem Derivat Ubuntu.
Linux
Windows
Abb. 1
22% der installierten Systeme wurde mit obsoleter Betriebssystem Software betrieben für die es keine
Sicherheitsupdates mehr gibt.
2.2. Blogsoftware
33% aller Kunden haben zusätzlich Blogsoftware im Einsatz. 18% der installierten Blogs sind veraltet und wurden nicht
gepflegt. 12% der Blogs werden auf demselben Server wie das Webangebot betrieben (Abb.2).
Blogsoftware veraltet
Blogsoftware auf dem selben
Server wie die Anwendung
1
Blogsoftware im Einsatz
0,00%
20,00%
40,00%
60,00%
80,00%
Abb. 2
Andre Faßbender
Waldstr. 7
85293 Reichertshausen
Steuernummer: 154/216/20498
Ust-ID: DE279908846
[email protected]
http://www.schwachstellenforschung.de
Bankverbindung: VR Bank Bayern Mitte eG
Kto.-Nr. 2744040, BLZ 72160818
IBAN: DE95 7216 0818 0002 7440 40
2.3. Webserver Konfiguration
Bei 39% der getesteten Systeme war mindestens 1 Ordner mit Directory Listing aktiv.
32% alle Systeme lieferten detaillierte Informationen da PHP Info und Credits aktiv waren.
29% aller Systeme haben detaillierte Fehlermeldungen (Debug) zum Anwender hin aktiv.
43% aller Systeme liefern sensible, nicht-personenbezogene Informationen (Pfade, IP Adressen, Versionsinformationen,
Datenbanken...) über Fehlkonfigurationen, Testdateien und Quelltextkommentaren.
29% der Webserver haben die ServerSignature sowie X-Powered-By Header aktiv und liefern so genaue Details über
eingesetzte Software und Versionen.
Bei 45% der Systeme ist die Systemverwaltung/CMS direkt auf dem Webserver selbst installiert.
6% der Systeme haben ein zugehöriges, sicherheitskritisches System in der IP Range (Abb. 3).
16% der Systeme haben mehr als nur die benötigten Netzwerk Ports offen.
Admin Zugriff auf der Webseite
Preisgabe von nicht
personenbezogenen Betriebsdaten
Directory Listing aktiv
PHP Credits / Info aktiv
1
Server Fehlermeldungen zum
Benutzer aktiv
Server Signatur aktiv
Unnötige Nettwerkports aktiv und
ungeschützt
Unsicheres System in IP Bereich
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
Abb. 3
Andre Faßbender
Waldstr. 7
85293 Reichertshausen
Steuernummer: 154/216/20498
Ust-ID: DE279908846
[email protected]
http://www.schwachstellenforschung.de
Bankverbindung: VR Bank Bayern Mitte eG
Kto.-Nr. 2744040, BLZ 72160818
IBAN: DE95 7216 0818 0002 7440 40
2.4. Zusätzliche Informationen
22% aller Kunden hatten Interne Benutzerkennungen als Metainformationen in PDF und Office Dokumenten.
8% hatte SVN / Subversion entries Dateien auf dem Server und lieferten so Informationen über existierende Dateien die
sonst nicht über die Website verlinkt und erreichbar waren.
3. Umgang mit Kundendaten
3.1. Passwörter und Verschlüsselung
Bei 2% der getesteten Systeme wurde keine Passwort Policy vorgeschrieben. Kunden konnten somit einfache und
beliebig kurze Passwörter vergeben.
Obwohl bei allen Systemen ein gültiges Zertifikat installiert war, wurden bei 45% Kundendaten unverschlüsselt
übertragen (Login, Account Erstellung…)
12% hatten noch das obsolete und angreifbare SSL2 Protokoll für HTTPS Verbindungen aktiv.
3.2. Session und Datenhandling
57% der Session Cookies die über HTTPS ausgehandelt werden, haben kein Secure Flag und können so über
unverschlüsselte Verbindungen übertragen werden.
29% der Systeme hatte in sensitiven Eingabefeldern (Passwörter, Zahlungsdaten…) Autovervollständigung aktiv.
51% haben Soziale Netzwerke schon auf der Startseite integriert. Somit werden Benutzer die aktuell in einem Sozialen
Netzwerk eingeloggt sind automatisch mit der Anbieterseite in Zusammenhang gebracht.
27% setzen Massen Tracking Cookie Anbieter ein mit der bis zu 20 verschiedene Ad Cookies beim Besucher hinterlegt
4. Erfolgreiche Angriffe
Bei 37% der getesteten Systeme war eine Cross Site Scripting Attacke aufgrund fehlender Eingabeüberprüfung möglich.
Somit war es möglich fremde Inhalte in die Webseite zu Integrieren oder Cookies an andere Systeme zu übertragen.
10% waren nicht gegen SQL Injections abgesichert und erlaubten die Ausführung von SQL Code über http Requests.
Bei 12% der Systeme war es ebenfalls möglich über andere Wege auf Kundendaten zuzugreifen (Datenbankbackups,
KVM …)
Andre Faßbender
Waldstr. 7
85293 Reichertshausen
Steuernummer: 154/216/20498
Ust-ID: DE279908846
[email protected]
http://www.schwachstellenforschung.de
Bankverbindung: VR Bank Bayern Mitte eG
Kto.-Nr. 2744040, BLZ 72160818
IBAN: DE95 7216 0818 0002 7440 40
5. Ergebnis
Obwohl 78% der Systeme aktuelle Software verwenden um sich vor Angriffen zu schützen, verzichten 37% auf Input
Validation um sich vor Cross Site Scripting, oder 10% auf sichere Programmierung um sich vor SQL Injection zu schützen.
Da leider Daten mit sensiblen Informationen auf den Webservern frei verfügbar abgelegt wurden, konnten bei 12%
Kundendaten ohne großen Aufwand entwendet werden.
Andre Faßbender
Waldstr. 7
85293 Reichertshausen
Steuernummer: 154/216/20498
Ust-ID: DE279908846
[email protected]
http://www.schwachstellenforschung.de
Bankverbindung: VR Bank Bayern Mitte eG
Kto.-Nr. 2744040, BLZ 72160818
IBAN: DE95 7216 0818 0002 7440 40
Herunterladen