Download - Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009

Audit Sécurité

1vendredi 13 novembre 2009

Ordre du jour

• Présentation de l’atelier

• Audit boîte noire

• Audit à code ouvert


Qui parle?

• Philippe Gamache

• Parler haut, interagir librement : audit de sécurité, formations

• Caviste de cidres de glace

• [email protected]


mailto:[email protected]


Qui parle?

• Damien Seguy

• Alter Way Consulting : services experts enlogiciels libres

• Editeur de calendriers

• [email protected]




Livre sécurité

• Nouvelle édition 2009

• Bilan complet de lasécurité : système, MySQL, PHP, etc

• Edité chez Eyrolles

• Dédicaces sur demande


Cligraph CRM• CRM/GRC Open Source

• Version 0.991

• Activement développé

• Soutenu par Cogiveahttp://www.cogivea.com/

• Léger, rapide et puissant

• http://www.cligraphcrm.com/


http://www.cogivea.com

http://www.cogivea.com

http://www.cligraphcrm.com


Cligraph CRM

• Technologies PHP et MySQL, Javascript

• Code développé depuis 5 ans

• 4970 fichiers

• 1200 fichiers PHP

• 320 000 lignes de code


L’atelier sécurité

• Réveillez-vous : vous avez du travail!

• Analyse des logs et identification des problèmes

• Discussion des stratégies de protection et contextes

• http://192.168.3.73/ de démonstration


http://URL

http://URL

Tests boîte noire


Tests boîte noire

• Recherche d’informations

• Trouver de l’information sur l’application

• Que puis-je faire sur cette application?

• Où sont les points d'entrée les plus populaires?


Tests boîte noire• Trouver des vulnérabilités

• Trouver les trous dans l’application

• Scanneurs automatiques

• À la main

• Fuzzing

• Scénarios

• Comment puis-je l'utiliser à mon avantage?


Tests boîte noire

• Attaquer

• Attaquer une vulnérabilité avec un but précis


Recherche d’informations

• Moteurs de recherches

• Facebook, LinkedIn, Joboom, Monster

• Langage de programmation

• Logiciels utilisés


• Moteurs de recherches (suite)

• Google : phpinfo, "Zend engine”, site:nomsite.com

• Divulgation de renseignements

Notice: undefined on line Warning: on line


• Moteurs de recherches (suite)

• Krugle : echo $_GET

• Bases de données de vulnérabilités

• BUGTRAQ

• CERT

• CVE

• Milw0rm




• Injection d'en-tête HTTPlang:php header\s*$.*\$_(SERVER| GET|POST|COOKIE|REQUEST).*$

• Fixation de sessionlang:php session_startlang:php session_regenerate_id




• Mots de passes

filetype:sql INSERTintitle:"phpinfo()" +".default_password" ! +"Zend Scripting Language Engine"lang:php _connect\s*$.*,.*,("|').*("|').*$lang:php "VBULLETIN IS NOT FREE SOFTWARE"lang:php "XCART_SESSION_START"lang:php \$pass\w+\s*=\s*('|")\w+('|");



• robots.txt

• Alias Apache

• /icons/

• Signatures dans les en têtes

• curl, wget, Firefox, Rex Swain's HTTP Viewer

• .phps



• https

• Page 404

• Page blanche

• arrêt de code sans affichage d'erreur



• Répertoires courants

• includes

• admin

• tmp

• data

• db

• uploads



• theHarvesterhttp://www.edge-security.com/theHarvester.php

• MetaGoofilhttp://www.edge-security.com/metagoofil.php

• Nikto

http://www.cirt.net/

• SEAT (Search Engine Assessment Tool)http://midnightresearch.com/projects/search-engine-assessment-tool/


http://www.edge-security.com/metagoofil.php






http://midnightresearch.com/projects/search-engine-assessment-tool/





• Subdomainerhttp://www.edge-security.com/subdomainer.php


http://www.edge-security.com/subdomainer.php

http://www.edge-security.com/subdomainer.php


• http://www.cligraphcrm.com/





• Google

• Google codesearch

• Milm0rm


Trouver des vulnérabilités

• Où trouver des vulnérabilités?

• XSS

• CSRF

• Injections

• Remplacement de fichiers

• etc.


Trouver des vulnérabilités

• Comment exploiter cette faiblesse?

• Que faire avec cette faille?


Outils manuels• Firefox

• Access Me

• Firebug

• Firecookie

• FirePHP

• HackBar

• Header Spy

• JavaScript Debugger


Outils manuels• Firefox

• Poster

• SQL Inject Me

• SQL Injection!

• User Agent Switcher

• Web Developer

• X-Forwarded-For Spoofer

• XSS Me Data


Outils manuels

• Rex Swain's HTTP Viewer

http://www.rexswain.com/httpview.html




Scanneurs automatiques

• Simple à mettre en oeuvre

• Permets de trouver les attaques les plus courantes

• Doivent être adaptés

• Mis à jour régulièrement

• Personnalisables



• Acunetix Web Vulnerability Scanner

http://www.acunetix.com/vulnerability-scanner/

• BeEFhttp://www.bindshell.net/tools/beef/

• Burp Suitehttp://portswigger.net/suite/

• Metasploit http://www.metasploit.com/




http://www.bindshell.net/tools/beef/

http://www.bindshell.net/tools/beef/

http://portswigger.net/suite/


http://www.metasploit.com/

http://www.metasploit.com/


• Nikto


• PBlindhttp://www.edge-security.com/pblind.php

• Scrawlrhttps://download.spidynamics.com/Products/scrawlr/

• SCRT Mini MySqlat0rhttp://www.scrt.ch/pages_en/minimysqlator.html




http://www.edge-security.com/pblind.php

http://www.edge-security.com/pblind.php

https://download.spidynamics.com/Products/scrawlr/


http://www.scrt.ch/pages_en/minimysqlator.html

http://www.scrt.ch/pages_en/minimysqlator.html


• SCRT Webshaghttp://www.scrt.ch/pages_en/outils.html

• XSSploithttp://www.scrt.ch/pages_en/xssploit.html


http://www.scrt.ch/pages_en/outils.htmlhttp://www.scrt.ch/pages_en/outils.html

http://www.scrt.ch/pages_en/outils.htmlhttp://www.scrt.ch/pages_en/outils.html

http://www.scrt.ch/pages_en/xssploit.html

http://www.scrt.ch/pages_en/xssploit.html

Fuzzing

• Test par valeur aléatoire

• Stress des formulaires

• Bases de données

• Test décomplexé


Fuzzing

• Tous les caractères de \0 à \x255

• Tous les caractères Unicode

• Les nombres 1, 0, -1, 0.99, extrêmes, infinis

• Chaînes

• Longues

• courtes


Fuzzing

• Dictionnaires de valeurs

• de vulnérabilités

• GET, POST, COOKIE

• Des variables tableaux

• c[]=1


Fuzzing

• Excédents de variables

• debug=1, task=view

• Manque de variables

• Encodages variés

• UTF-8, Latin1, HTML, hexa


Fuzzing


• SCRT Webshaghttp://www.scrt.ch/pages_en/outils.html

• WebSlayerhttp://www.edge-security.com/webslayer.php

• Wfuzzhttp://www.edge-security.com/wfuzz.php




http://www.scrt.ch/pages_en/outils.html


http://www.edge-security.com/webslayer.php




Scénarios

• Des tests plus adaptés

• fragiles

• Automatiser les tests

• À utiliser avec le fuzzing

• À utiliser avec des serveurs mandataires


Scénarios


• Firefox

• Selenium IDE

• Funkloadhttp://funkload.nuxeo.org/

• ProxyStrikehttp://www.edge-security.com/proxystrike.php




http://funkload.nuxeo.org

http://funkload.nuxeo.org

http://www.edge-security.com/proxystrike.php

http://www.edge-security.com/proxystrike.php

Scénarios• SCRT Webshag


• WebScarabhttp://www.owasp.org/index.php/Category:OWASP_WebScarab_Project




http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project




Facilitez votre vie• Backtrack

http://www.remote-exploit.org/backtrack.html




Facilitez votre vie• Samurai Web Testing Framework

http://samurai.inguardians.com/




Sécure ?47vendredi 13 novembre 2009

Les prolèmes

• Faux sentiment sécurité

• Ne marche pas toujours


Notre cas

• La sécurité par l’insécurité

• La sécurité par l’instabilité


• Tests manuels

• Les sources

• Installer l’application

Que faire?


Les fichierstotal 592drwxrwxrwx 25 user group 850 23 Feb 12:03 accueildrwxrwxrwx 67 user group 2278 23 Feb 12:03 actiondrwxrwxrwx 39 user group 1326 23 Feb 12:03 agentdrwxrwxrwx 13 user group 442 23 Feb 12:03 bibliodrwxrwxrwx 39 user group 1326 23 Feb 12:03 compte-rwxrwxrwx 1 user group 7692 11 Sep 02:44 connect.php-rwxrwxrwx 1 user group 3856 11 Sep 02:44 err_navig.php-rwxrwxrwx 1 user group 3165 11 Sep 02:44 erreur404.phpdrwxrwxrwx 76 user group 2584 23 Feb 12:03 etatdrwxrwxrwx 171 user group 5814 23 Feb 12:03 fonctionsdrwxrwxrwx 8 user group 272 23 Feb 12:03 imagesdrwxrwxrwx 13 user group 442 23 Feb 12:03 include-rwxrwxrwx 1 user group 2784 11 Sep 02:44 index.phpdrwxrwxrwx 27 user group 918 23 Feb 12:03 installdrwxrwxrwx 80 user group 2720 23 Feb 12:03 inter_pagesdrwxrwxrwx 6 user group 204 23 Feb 12:03 langue…drwxrwxrwx 7 user group 238 2 Mar 18:15 logdrwxrwxrwx 36 user group 1224 23 Feb 12:03 mail


Les fichierscligraphcrm/include/fpdf:total 376-rwxrwxrwx 1 user group 46002 26 Jan 02:41 fpdf.php-rwxrwxrwx 1 user group 705 11 Sep 02:44 fpdf_entete.php-rwxrwxrwx 1 user group 47404 26 Jan 18:07 fpdf_facture.php-rwxrwxrwx 1 user group 14922 26 Jan 14:50 fpdf_html2pdf.php-rwxrwxrwx 1 user group 5238 11 Sep 02:44 fpdf_mem_image.php-rwxrwxrwx 1 user group 7629 11 Sep 02:44 fpdf_memoire.php-rwxrwxrwx 1 user group 1243 11 Sep 02:44 fpdf_table_def.inc-rwxrwxrwx 1 user group 27075 11 Sep 02:44 fpdf_tableau.php-rwxrwxrwx 1 user group 4317 11 Sep 02:44 fpdf_texte.php-rwxrwxrwx 1 user group 12852 11 Sep 02:44 fpdf_writetag.php


Les fichierscligraphcrm/install/sql/tables:total 928-rwxrwxrwx 1 user group 4750 29 Jan 10:44 acces.sql-rwxrwxrwx 1 user group 4802 29 Jan 10:44 acces_type.sql-rwxrwxrwx 1 user group 190 23 Nov 20:12 admin_crm.sql-rwxrwxrwx 1 user group 1111 3 Feb 14:45 adresse.sql-rwxrwxrwx 1 user group 1637 15 Jan 11:24 affaire.sql-rwxrwxrwx 1 user group 578 17 Jan 19:27 affaire_intvt.sql-rwxrwxrwx 1 user group 1544 22 Oct 17:49 affaire_pdt.sql-rwxrwxrwx 1 user group 3231 3 Dec 19:15 agent.sql-rwxrwxrwx 1 user group 581 22 Oct 17:49 argument.sql-rwxrwxrwx 1 user group 3062 25 Jan 09:45 avoir.sql-rwxrwxrwx 1 user group 1605 21 Jan 06:30 avoir_detail.sql-rwxrwxrwx 1 user group 741 22 Oct 17:49 campagne.sql-rwxrwxrwx 1 user group 701 22 Oct 17:49 campagne_promo.sql-rwxrwxrwx 1 user group 537 22 Oct 17:49 categorie_pdt.sql-rwxrwxrwx 1 user group 527 27 Jan 11:36 cgv.sql-rwxrwxrwx 1 user group 547 11 Sep 02:44 civilite.sql-rwxrwxrwx 1 user group 4871 22 Oct 17:49 client.sql


Installation


Audit de code


Ordre du jour

• Lire les logs et repérer les vulnérabilités

• Caractériser et supprimer les failles

• Evaluation du volume de correction


Approche

• Un point d’entrée

• Lecture du code

• Ouverture d’esprit et découverte

• Identifier la faille

• Comment l’exploiter


Outils existants• Rats

http://www.fortifysoftware.com/security-resources/rats.jsp

• Yascahttp://www.yasca.org

/accueil/accueil.php:478: High: fopen/action/facture_trt.php:170: High: eval/include/pear/File_Archive/Archive/Reader/Bzip2.php:80: High: bzopen/mail/mess_suppr_trt.php:193: High: mail/include/pear/PEAR/RunTest.php:449: High: system/fonctions/gallery.func.php:95: Medium: is_dir/include/pear/PEAR/Remote.php:296: Medium: fsockopen




http://www.yasca.org

http://www.yasca.org

Trois moteurs

• Grep

• Les expressions rationnelles

• Le tokenizer


Approches

• Sémantique : prochedes concepts PHP et de programmation

• Rapide à mettre en place et exécuter

0

175

350

525

700

Grep Regex Tokenizer

Sémantique Rapide


Occurrences

$_GET $_POST $_REQUEST

Grep 137 604 2650

Regex 139 667 3279

Token 11 617 1518


Choix

• One-liner contre temps de développement

• Précision sémantique face à recherche brute

• Rejouable ou jetable


Points d’intérêt

• index.php

• index_bis.php

• err_nav.php

• out.php

• erreur404.php

• verif.php


Points d’intérêt

Entrée Filtrage

Traitement Suivi

Sortie Protection


Cheminement

$_GET

echo

pdo_query

pdo_fetch


Interfaces

• Navigateur

• URL

• Cookies

• JavaScript

• SQL

• Système

• Processus

• PHP

• XML

• LDAP ...


Navigateur• Entrées

• $_GET, $_POST, $_REQUEST, $_SERVER, $_COOKIE

• Sorties

• echo, print, var_dump

• Protections

• htmlentities, htmlspecialchars, strip_tagsext/xmlwriter


URL• Entrées

• parse_url, urldecode, rawurldecode

• Sorties

• echo, print, http_build_url, http_build_query, http_build_str

• Protections

• url_encode, rawurlencode


Cookies

• Entrées

• $_COOKIES, $HTTP_COOKIE_VARS, http_parse_cookies, session_name

• Sorties

• setcookies, setrawcookie, stream_context_create, httpRequest::setcookies, http_build_cookie

• Protections


JavaScript

• Entrées

• json_decode

• Sorties

• json_encode, echo, print

• Protections

• Rien vraiment


SQL

• Entrées

• pdo_query, mysqli_query, query,

• Sorties

• *fetch*, mysqli_error

• Protections

• pdo_quote, mysqli_real_escape_string, etc.


Fichiers

• Entrées

• fopen, file_get_contents, passthru

• Sorties

• fwrite, fread, mkdir,

• Protections

• pathinfo, realpath


PHP• Entrées

• eval, include, require et _once, dl, preg_replace, assert

• Sorties

• var_export

• Protections

• Aucune pour le code, fichiers pour les autres.


Système• Entrées

• ini_get, set_limit, getenv, getmypid, phpversion, phpinfo,

• Sorties

• ini_set, setenv

• Protections

• Aucune prévue


Trouvailles


Register_globals

• Register globals via fct_urldecode dans fonctions/fonctions_gen.php

• Utilisation des superglobales, puis intuition sur le nom de la fonction

• $GLOBALS[$k] et affectation


Injections SQL

• $query="select theme_nom from theme where theme_id=\"".$_REQUEST['theme_id']."\"";

• Passer par les requêtes SQL, et chercher les variables globales

• Lire le contexte et repérer les variables sans filtrage


err_nav.php XSS

• init_chem_crm est injecté directement

•


Téléchargements

• Via les fonctions header()

• Téléchargement de fichiers dans lanceur_dl.php

• Pas de protection des variables, ni par session


$_REQUEST DOS

• $_REQUEST est utilisé pour le logout

• if(isset($_REQUEST['opt']) && $_REQUEST['opt']==1)

• $_REQUEST == $_GET && $_POST && $_COOKIE

• Que se passe-t-il quand on pose un cookie ‘opt’ de 1?


include

• $format=$_REQUEST['exp_formdoc'];

• include(fct_lien_page_custom("action/facture_".$format.".php","abs"));

• Maitrise du chemin d’inclusion

• $exp_formdoc = "/../action/facture_fiche"; <- auto-inclusion!

• ou bien, tentative d’inclusion d’un phpinfo qui traine

eval

• $nom=addslashes($_REQUEST['nom']);

• eval('insert_action_agent("'.$LANG_AGENT['cgv_mod'].'",66,'.$param_id.',"","'.$date_du_jour.'",2);');

• PHP injection!


die

• $result2=$_SESSION['cligraph']->request($query2) or die($_SESSION['cligraph']->errormsg)

• Interruption de script en cas de problème de requêtes

• errormsg ne contient pas de message intéressant


Code OK

• Opérateur @

•


Download - Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009

Top Related