Issuu on Google+

Udgivet: 18/11-2009

Hacker – i krig med eliten

Skrevet af: Hans-Michael Varbæk og freelanceren Thomas Stig Jacobsen Non-profit organisationen InterN0T.net aka InterN0T Security Team Vi blæser afsted med flere Kbit i sekundet - ikke mange meter over den etiske grænse. Jeg sidder yderst på stolen imens jeg taster løs og kan tydeligt mærke varmen fra computerens blæser mens fingrene langsomt bliver varmere og varmere

Formål med denne rapport Den danske websikkerhed har i nogen tid været udsat for en del angreb og vi vil i denne rapport prøve at klarlægge præcist hvor bredt et omfang disse klassiske såvel som skræmmende fejl går igen på nogle af de største og mest besøgte hjemmesider[1] i Danmark (toplevel-domænet: .dk) Derfor er den primære fokus i denne rapport at kortlægge alle de forskellige fejl med et specielt fokus på XSS-fejl som vi ser som en meget overset og undervurderet fejl på mange hjemmesider.

Teori Cross Site Scripting (XSS) XSS[2] er et klient-side angreb hvor en hacker laver et malware-link som indeholder scriptkode som derefter bliver ekserkveret i offerets browser. Script-koden kan være et hvilket som helst sprog som er understøttet af browseren men for det meste er HTML og Javascript brugt sammen med indlejret Flash, Java og / eller ActiveX. XSSR også kendt som Cross Site Script Redirection er en variation af Cross Site Scripting som bruges til at videresende intetanende brugere til eventuelt skadeligt indhold på tredjepartssider. Cross site Scripting kan misbruges til en række af ting, herunder session-hijacking, browserangreb (f.eks. drive-by angreb), phishing, propaganda og sågar orme! Dog kræver det stadigvæk at offeret klikker på et malware-link lavet af hackeren i første omgang. Den letteste måde at få folk til at klikke på et malware-link er at få linket til at se autentisk og ikke-skadeligt ud. Derefter giver man dem en god grund til at klikke på linket som hører under Social Engineering-delen der som regel er let at udføre medmindre offeret kender til og / eller har måder at beskytte sig mod Cross Site Scripting på, såsom NoScript Addon'et i FireFox.

SQL Injection (SQLi) SQLi[3] er et server-angreb hvor en hacker er i stand til at oprette, ændre og slette data i en database som er brugt i sammenhæng med en dynamisk hjemmeside. De fleste SQL Injection angreb kan eskaleres til en komplet overtagelse af serveren og i nogle tilfælde har det også været muligt for en ondsindet hacker at angribe hele infrastrukturen hos en virksomhed hvis angrebet på database-serveren var succesfuldt.

Side 1 ud af 5


Udgivet: 18/11-2009

HTML Injection (HTMLi) HTMLi[4] er både et server- og klient-side-angreb hvor en hacker indlejrer skadelig HTML og / eller Javascript kode ind i en hjemmeside hvor et uvidende offer derefter ser den skadelige kode som eventuelt angriber browseren ved hjælp af drive-by angreb, stjæler "cookien" til session-hijacking eller hvad hackeren nu har lyst til. Det er også muligt at "deface[5]" en side med HTMLi.

Metoder Vore metoder var ret naturtro i forhold til et normalt angreb udført af ressource-stærke hackere uden brug af automatiske værktøjer eller lignende som eventuelt kunne medføre permanent skade på den pågældende side. Den normale procedure var som regel at først stod en sides søge- funktionalitet for skud og dernæst resten af sidens GET og POST parametre. Et typisk uskadeligt (XSS) test-angreb kunne se således ud: 1) Undersøg sidens søge-formular med f.eks. test-strengen: 'foobar"/\>< 2A) Hvis punkt 1 er en succes fortsættes undersøgelsen af søge-formularen som derefter ender med et PoC (Proof of Concept) som indlæser et uskadeligt eksternt javascript. 2B) Hvis punkt 1 ikke er en succes fortsættes undersøgelsen af resten af siden. 3) Herefter bliver sidens GET OG POST parametre testet vha. 'foobar"/\>< strengen. 4) Hvis input valideringen ikke er tilstrækkelig undersøges siden for uskadelige former for SQL Injection, HTML Injection, XSSR (Redirection) og selvfølgelig også XSS. Siderne som blev undersøgt blev udvalgt fra Alexa[1]. Husk: Vi har kun testet .dk domæner.

Resultater I alt blev 50 hjemmesider testet for sikkerhedshuller. Herunder fandt vi ud af at 44 havde mindst 1 eller flere fejl i koden mens 6 af dem var sikre nok til at bestå testen. Listen fremgår senere hen i denne rapport med et mere uddybende indblik i hvilke hjemmesider der var sårbare overfor hvilke typer af sikkerhedshuller.

Side 2 ud af 5


Udgivet: 18/11-2009

Ud af de 50 testede hjemmesider, havde 1 af disse en alvorlig fejl mens 7 havde mindst 1 kritisk fejl og resten (42) havde en mindre kritisk fejl. Dette var baseret på hvor meget skade fejlen kunne påføre den pågældende side direkte uden at en bruger eller administrator først skulle interferere.

Ud af de 50 testede hjemmesider indeholdt disse følgende sikkerhedshuller: 1 - SQL Injection 6 - XSSR (Redirection) 7 - HTML Injection 36 - Cross Site Scripting

Tabeloversigt: Undersøgelsen af de 50 udvalgte sider gav følgende resultater. (se næste side) Side 3 ud af 5


Udgivet: 18/11-2009 Sidens URL:

XSS

XSSR

Amino.dk

X

X

Berlingske.dk

X

BilBasen.dk

X

Bold.dk

X

Boliga.dk

X

Borsen.dk

X

BT.dk X

ComOn.dk

X

ComputerWorld.dk CoolShop.dk

SQL injection

X

X

Best책et

X X

Business.dk

HTML injection

X X

DanskeBank.dk

Sikker!

DanskeSpil.dk

Sikker!

DBA.dk

X

DeGuleSider.dk

X

DMI.dk

X

DR.dk

X

DSB.dk

X

EB.dk

X

EDBpriser.dk

X

X

EDC.dk Eniro.dk

Sikker! X

EPN.dk

Sikker!

EuroInvestor.dk

X

Forum.dk

X

Gratisspil.dk

X

GulOgGratis.dk

X

JobIndex.dk

X

Jobnet.dk

X

JP.dk

X

Jubii.dk

X

KomogVind.dk

X

Krak.dk

X

Lectio.dk

X

Newz.dk Nordea.dk

X

X

X

Side 4 ud af 5


Udgivet: 18/11-2009 Politiken.dk

X

QXL.dk

X

Rejseplanen.dk

X

Sol.dk

X

Sporten.dk

Sikker!

Stofa.dk

Sikker!

Stofanet.dk

X

TDC.dk

X

TDConline.dk

X

Travian.dk

X

TrendSales.dk

X

TV2.dk

X

[CENSURERET].dk

X

[CENSURERET].dk Total

X 36

6

7

1

6

Konklusion I sammenhæng med denne rapports formål har vi udlagt nogle skræmmende resultater som viser hvor dårlig sikkerheden er blandt selv de allerstørste sider på det danske topleveldomæne: .dk. For at kunne sikre en højere sikkerhed i fremtiden bør disse usikre sider tage op til revision hvad de har betalt diverse sikkerheds-firmaer for og om de i fremtiden bør søge efter nye leverandøre inden for deres webbaserede-løsningers sikkerhedsniveau.

Referencer: [1]: [2]: [3]: [4]: [5]:

Alexa - Top Sites in Denmark XSS Tutorial - From Bug to Attack SQL Injection - Wikipedia Code Injection - Wikipedia Website Defacement - Wikipedia

Side 5 ud af 5


Hjemmeside på dk-domæne