Защита от хакеров корпоративных сетей
Шрифт:
ereg_replace(“‘”, “‘’”, $data)
Защита запросов SQL
Пользователь может успешно противостоять атакам злоумышленника даже при всем богатстве арсенала средств использования злоумышленником SQL-запросов пользователя в своих преступных целях. На самом деле при правильном использовании SQL-запросов у злоумышленника почти нет шансов получить доступ к приложению пользователя.
Повсеместно используемый современный метод защиты от атак злоумышленника на SQL-запросы называется заключением в кавычки (quoting) и по существу основан на правильном заключении в кавычки передаваемых данных и контроле над отсутствием лишних кавычек. Многие средства программного интерфейса с базами данных (например, модули DBI языка Perl) предлагают использовать различные функции заключения строк в кавычки. Тем не менее, чтобы не было недопонимания по этому вопросу, рассмотрим процедуру quotedata на языке Perl.sub quotedata {
my $incoming=shift;
$incoming=~s/[““]/’’/g;
return “‘$incoming’”; }В процедуре для обработки входных данных используется функция подстановки языка Perl, которая в случае обнаружения одинарных или двойных кавычек подставляет вместо них две одинарные кавычки. Такой вариант обработки данных является допустимым
# … incoming user data is placed in $data
$quoted_data = quotedata($data);
$sql_query = “SELECT * FROM table WHERE column = $quoted_data”;
# … execute your SQL queryТаким образом, значение переменной $data будет правильно заключено в кавычки, а запрос – обработан системой управления базами данных без ошибки. Но только правильное заключение данных в кавычки не означает полную защиту от возможных проблем. Некоторые системы управления базами данных могут интерпретировать отдельные обнаруженные внутри данных символы как команды. Например, ядро базы данных Microsoft Jet до версии 4.0 распознавало среди данных внутренние команды VBA вне зависимости от того, правильно они были взяты в кавычки или нет.
Удалять неверные данные или сообщить об ошибке?
При обработке входных данных пользователя у разработчика есть два варианта. Первый – при обнаружении неверных входных данных удалить их, не сообщая об этом пользователю, и, оставив правильные данные без изменения, продолжить обработку оставшихся данных. И второй – сразу же прекратить обработку данных при обнаружении в них ошибки и сообщить о найденной ошибке. Каждый подход имеет свои «за» и «против».
Если приложение сообщает пользователю о найденных ошибках входных данных, то злоумышленник может воспользоваться сообщениями для поиска прорех в защите приложения. Он сможет быстро определить, какие символы приложение пытается использовать не по назначению, пересылая их приложению и отслеживая результаты. Эта методика незаменима для обнаружения уязвимостей в приложениях с недоступным исходным текстом.
Незаметная для пользователя фильтрация входных данных, основанная на удалении неверных данных без сообщения об ошибке и допускающая ввод только безопасных символов, не лишена недостатков. Во-первых, не ошибитесь, данные после проверки на допустимость могут измениться. Во-вторых, если при фильтрации нарушена целостность данных, то результат непредсказуем. Например, удаление символов из пароля может породить ошибки. И наконец, в-третьих, приложение может оказать неоценимую услугу злоумышленнику, если оно печатает переданные данные после их фильтрации: злоумышленник увидит, что в запросе было удалено.
Правильное решение на самом деле зависит от рассматриваемого приложения. Рекомендуется использовать комбинацию двух подходов, исходя из типа передаваемых входных данных и требований к их целостности.
Функции контроля непредвиденных данных
Централизованная выдача диагностических сообщений об ошибках входных данных приложения в одной функции позволит упростить контроль непредвиденных входных данных. Значение контроля входных данных огромно. Благодаря контролю можно узнать ошибки фильтрации входных данных пользователя и, что более важно, когда и каким образом злоумышленник попытается изменить логику работы приложения. Поэтому настоятельно рекомендуется использовать централизованные функции выдачи диагностических сообщений об ошибках при вводе данных.
В централизованной функции контроля входных данных удобно организовать регистрацию всех нарушений и передачу необходимой информации для дальнейшей обработки. Минимум реализованных в подобной функции действий – запись неверных данных в журнал регистрации и анализ ошибки: было ли это случайной ошибкой пользователя, который ввел неправильный символ, или это была целенаправленная атака злоумышленника, пытающегося извлечь выгоду из приложения. Можно предусмотреть сбор информации об ошибках для последующей статистической обработки с целью определения «профиля ввода»(«input profiling»), то есть выявления наиболее часто встречающихся ошибок. Полученные результаты используются для более тщательной «настройки» фильтров приложения.
Ошибки входных данных следует фиксировать c самого начала эксплуатации приложения. С течением времени в функцию контроля входных данных вносятся необходимые дополнения и исправления. Основываясь на накопленной информации об ошибках, можно предусмотреть в функции контроля дополнительные правила проверки или оставить приложение без изменений. Функция контроля и выявления нарушений позволяет централизованно обрабатывать выявленные нарушения во входных данных, при необходимости сообщая о неверном вводе и прекращая работу приложения.
Подмена значений
Подмена значений – уловка, основанная на замене одного значения (обычно случайного значения ключа сессии большой длины) другим, который каким-то образом связан с уязвимыми данными. В результате клиенту вместо пересылки по сети уязвимых данных пересылается подмененное значение, использование которого ограничено рамками приложения. При использовании подмены уязвимых данных каким-либо значением оно должно быть случайным и большим, чтобы злоумышленник не смог угадать алгоритм его порождения и получить доступ к уязвимым данным. Это очень похоже на разработку cookies в протоколе HTTP.Использование средств безопасности языков программирования для обработки непредвиденных данных
Противостояние непредусмотренным данным или данным неверного формата не является новым видом борьбы с угрозами безопасности. Во многие современные языки программирования и приложения включены средства безопасности, исключающие или снижающие печальные последствия поврежденных данных. Большинство из них используют концепцию «песочницы» (sandbox concept), которая предусматривает карантин для поврежденных данных до тех пор, пока они не будут проанализированы и исправлены. Рассмотрим отдельные средства безопасности некоторых популярных языков программирования.
Язык Perl
Интерпретатор Perl запускается в режиме проверки «дыр» в защите при помощи задания в командной строке команды – T. В этом режиме Perl предупреждает программиста о непосредственной передаче данных пользователя одной из следующих команд: bind, chdir, chmod, chown, chroot, connect, eval, exec, fcntl, glob, ioctl, kill, link, mkdir, require, rmdir, setpgrp, setpriority, socket, socketpair, symlink, syscall, system, truncate, umask, unlink, а
При попытке передать поврежденные данные системной функции Perl откажется выполнить сценарий и выдаст сообщение: Insecure dependency in system while running with – T switch at (script) line xx (Небезопасная зависимость в системе при работе с командой —T в сценарии yyyy в строчке xx).
Для проверки введенных пользователем данных следует использовать оператор сравнения (m///) регулярного выражения regex языка Perl для проверки соответствия данных заданным условиям. В следующем примере показано, как выполнить проверку того, что символы входных данных представлены в нижнем регистре:
#!/usr/bin/perl -T
# must setup a secure environment (system/OS dependant)
$ENV{PATH}=“/bin”;
delete $ENV{ENV};
delete $ENV{BASH_ENV};
# this is tainted
$echo=$ARGV[0];
# check to see if it’s only lower-case letters
if ($echo =~/^([a-z]+)$/) {
# we resave the command...
$echo=$1;
# ...and use it in a system function
system(“/bin/echo $echo”);
} else {
print “Sorry, you gave unexpected data\n”;
}Самая важная часть этого фрагмента кода – проверка входных данных:
If ($echo =~ /^([a-z]+)$/) { $echo = $1;
При разборе входных данных проверяется, чтобы вся строка входных данных (символы ^ и $ подчеркивают это) состояли только из букв нижнего регистра ([a-z]) и строка состояла хотя бы из одной буквы (символ + после [a-z]). При восстановлении данных следует быть осторожными связи с тем, что в действительности на данные накладываются дополнительные ограничения. Рассмотрим следующий фрагмент кода восстановления данных:
if ($data =~ /^(.*)$/) { $data = $1;
В нем содержится ошибка: проверка на совпадение по шаблону при помощи регулярного выражения regex ничего не даст, поскольку на символы входных данных не наложено никаких ограничений. Более того, этот фрагмент кода позволяет избежать действительной проверки на безопасность введенных данных.
Система программирования PHP
Система программирования PHP имеет опцию конфигурации «safe_mode» для установки режима безопасной работы, которая ограничивает использование встроенных в язык функций. Этот режим не гарантирует правильных входных данных. Безопасный режим работы подстраховывает работу приложения, заставляя злоумышленника искать обходные пути преодоления контроля входных данных.
В безопасном режиме работы на функции работы с файлами include, readfile, fopen, file, link, unlink, symlink, rename, rmdir, chmod, chown и chgrp наложено ограничение. C их помощью можно получить доступ к файлам, если идентификатор их владельца совпадает с UID системы PHP (который обычно совпадает с идентификатором Web-сервера), или к файлам в директории, которой владеет пользователь с UID системы PHP.
Более того, язык PHP накладывает ограничения на использование функций exec, system, passthru и popen. С их помощью могут выполняться только приложения из директории PHP_SAFE_MODE_EXEC_DIR (директория определяется в файле php.h при компиляции сценария на языке PHP). А при помощи функции Mysql_Connect может быть установлено соединение с базой данных при условии совпадения идентификатора владельца базы данных с UID Web-сервера или UID выполняющегося сценария.
И наконец, для противодействия уловкам атак имитации соединения сценарии на языке PHP изменяют способ взаимодействия с механизмом аутентификации протокола HTTP (что является большей проблемой для систем с большим числом виртуальных хостовых Web-сайтов).
Язык разметки ColdFusion
Язык разметки ColdFusion реализует концепцию «песочницы» (sandbox concept), настройки которой из меню Advanced Security позволяют ограничить возможности встроенных в язык функций. Накладываемые на встроенные функции ограничения вынуждают злоумышленника искать обходные пути преодоления проверок, выполняемых приложением. В языке ColdFusion предусмотрены различные способы задания накладываемых на тэги CFML ограничений, общесистемных и индивидуальных политик пользователя. Примеры установки политик и настроек концепции «песочницы» могут быть найдены на следующих ресурсах:
www.allaire.com/Handlers/index.cfm?ID=7745&Method=Full
www.allaire.com/Handlers/index.cfm?ID=12385&Method=Full
Технология ASP
Следует начать с того, что, к счастью, в технологии ASP(VBScript и JScript) предусмотрено немного системозависимых функций, а по умолчанию доступны все функции файловой системы.
В настройках ASP присутствует переключатель запрета использования в функциях файловой системы ссылки на родительскую директорию с помощью символа «../». Этот параметр ограничивает возможности злоумышленника получить доступ к файлу, расположенному за пределами корневой Web-директории. Для изменения параметра следует открыть конфигурационную консоль информационного сервера Интернет (Microsoft Management Console), выбрать нужный Web-сайт, перейти в меню Properties I Home Directory I Configuration I Application Options и отключить опцию Enable Parent Paths. Пример подобных манипуляций приведен на рис. 7.3.
Если в документах ASP не требуется поддержка файловой системы, то от нее можно отказаться, отменив регистрацию объекта File System Object при помощи консольной команды:
regsvr32 scrrun.dll /u
Система управления базами данных MySQL
Система управления базами данных MySQL позволяет читать и писать данные в базу данных при помощи SQL-запросов со следующим синтаксисом:SELECT * INTO FILE “/file/to/save.db” FROM table
Обращение к базе данных можно ограничить, задавая разрешения доступа к файлам пользователями во встроенной таблице привилегий MySQL.