Sichere Web-Applikationen am Beispiel von Django

Preview:

Click to see full reader

DESCRIPTION

Durch die hohe Komplexität moderner Web-Applikationen gibt es immer mehr Möglichkeiten für Angreifer, den Benutzern zu schaden oder sogar in die Systeme einzudringen. Die OWASP Top 10 2013 des Open Web Application Security Project (OWASP) listen die zehn gefährlichsten Möglichkeiten auf, eine Web-Applikation anzugreifen. In diesem Vortrag werden die wichtigsten Szenarien aus den OWASP Top 10 2013 detailliert diskutiert. Dabei wird jede Angriffsmöglichkeit zuerst an einem praktischem Beispiel erläutert, dass zeigt wie ein Angriff aussehen könnte. Danach wird am Beispiel des Python Web Frameworks Django demonstriert, wie eine sichere Implementation aussieht. Jedes Beispiel sollte sich einfach auf andere Programmiersprachen und Frameworks übertragen lassen. Daher richtet sich der Vortrag nicht nur an Nutzer von Django, sondern an alle, die Web Applikationen entwickeln. Abschließend werden Werkzeuge vorgestellt, die zur Suche nach Schwachstellen in Web-Applikationen genutzt werden können.

Citation preview

Sichere Web-Applikationen am Beispiel von Django

Markus Zapke-Gründemann LinuxTag 2014

Markus Zapke-Gründemann

Softwareentwickler seit 2001

Python, Django und Mercurial

Inhaber von transcode

Vorstand des Deutschen Django-Vereins

keimlink.de // @keimlink

http://www.transcode.de
http://www.keimlink.de
https://twitter.com/keimlink

Einführung

DjangoPython Web-Application Framework

Open Source (BSD-Lizenz)

Rapid Development

Model Template View (MTV)

Object Relational Mapper (ORM)

www.djangoproject.com

https://www.djangoproject.com/

OWASP

Open Web Application Security Project

Non-Profit-Organisation

Alle Materialien unter freier Lizenz

www.owasp.org

https://www.owasp.org/

OWASP Top 10

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

OWASP Top 10

OWASP Top 101. Injection

OWASP Top 101. Injection

2. Broken Authentication and Session Management

OWASP Top 101. Injection

2. Broken Authentication and Session Management

3. Cross-Site Scripting (XSS)

OWASP Top 101. Injection

2. Broken Authentication and Session Management

3. Cross-Site Scripting (XSS)

4. Insecure Direct Object References

OWASP Top 101. Injection

2. Broken Authentication and Session Management

3. Cross-Site Scripting (XSS)

4. Insecure Direct Object References

5. Security Misconfiguration

OWASP Top 101. Injection

2. Broken Authentication and Session Management

3. Cross-Site Scripting (XSS)

4. Insecure Direct Object References

5. Security Misconfiguration

6. Sensitive Data Exposure

OWASP Top 101. Injection

2. Broken Authentication and Session Management

3. Cross-Site Scripting (XSS)

4. Insecure Direct Object References

5. Security Misconfiguration

6. Sensitive Data Exposure

7. Missing Function Level Access Control

OWASP Top 101. Injection

2. Broken Authentication and Session Management

3. Cross-Site Scripting (XSS)

4. Insecure Direct Object References

5. Security Misconfiguration

6. Sensitive Data Exposure

7. Missing Function Level Access Control

8. Cross-Site Request Forgery (CSRF)

OWASP Top 101. Injection

2. Broken Authentication and Session Management

3. Cross-Site Scripting (XSS)

4. Insecure Direct Object References

5. Security Misconfiguration

6. Sensitive Data Exposure

7. Missing Function Level Access Control

8. Cross-Site Request Forgery (CSRF)

9. Using Components with Known Vulnerabilities

OWASP Top 101. Injection

2. Broken Authentication and Session Management

3. Cross-Site Scripting (XSS)

4. Insecure Direct Object References

5. Security Misconfiguration

6. Sensitive Data Exposure

7. Missing Function Level Access Control

8. Cross-Site Request Forgery (CSRF)

9. Using Components with Known Vulnerabilities

10.Unvalidated Redirects and Forwards

SQL Injection

>>> cmd = "UPDATE animals SET name='%s' WHERE id='%s'" % (name, id)

>>> cursor.execute(cmd)

SQL Injection

Exploits of a Mom by Randall Munroe (cc-by-nc)

https://xkcd.com/327/
http://creativecommons.org/licenses/by-nc/2.5/

SQL Injection

Exploits of a Mom by Randall Munroe (cc-by-nc)

Datenbank-Eingaben bereinigen!

https://xkcd.com/327/
http://creativecommons.org/licenses/by-nc/2.5/

SQL Injection

>>> from animals.models import Animal

>>> Animal.objects.filter(id=id).update(name=name)

Broken Authentication and Session Management

http://example.com/sale/saleitems;sessionid= 2P0OC2JSNDLPSKHCJUN2JV?dest=Hawaii

Cross-Site Scripting (XSS)

<h3>Preparation</h3>

{{ recipe.preparation }}

!

<script>alert('The best recipe in the world!')</script>

Heat the water in the pot to 100 °C.

!

<p>&lt;script&gt;alert(&#39;The best recipe in the <world!&#39;)&lt;/script&gt;</p>

<p>Heat the water in the pot to 100 °C.</p>

Cross-Site Scripting (XSS)

<h3>Preparation</h3>

{{ recipe.preparation|safe }}

!

<script>alert('The best recipe in the world!')</script>

Heat the water in the pot to 100 °C.

!

<p><script>alert('The best recipe in the world!')</script></p>

<p>Heat the water in the pot to 100 °C.</p>

Security Misconfiguration

DEBUG = True

Sensitive Data Exposure

>>> from django.contrib.auth.models import User

>>> User.objects.get(pk=1).password

u'pbkdf2_sha256$10000$sDN75YuuoUWi$Ua/H364jPAPTPBiAyJ1fc0uB4ClzQD5yGFisYrxCo40='

Cross-Site Request Forgery (CSRF)

http://example.com/app/transferFunds?amount=1500 &destinationAccount=4673243243

Cross-Site Request Forgery (CSRF)

<form method="post" accept-charset="utf-8">

{{ form.as_p }}

{% csrf_token %}

<input type="submit" value="Submit"/>

</form>

Cross-Site Request Forgery (CSRF)

<form method="post" accept-charset="utf-8">

...

<input type='hidden' name='csrfmiddlewaretoken' value='gB3bL3MU2fr8BCQXXrNV6pfS7GJYBdU0' />

<p><input type="submit" value="Submit" /></p>

</form>

Clickjacking

X-Frame-Options Header aktivieren: MIDDLEWARE_CLASSES = (

...

'django.middleware.clickjacking.XFrameOptionsMiddleware',

...

)

https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header

Information Leakage

WerkzeugeOWASP Cheat Sheet Series

HackBar

Tamper Data

sqlmap

Scapy

dsniff

https://www.owasp.org/index.php/Cheat_Sheets
https://addons.mozilla.org/de/firefox/addon/hackbar/
https://addons.mozilla.org/de/firefox/addon/tamper-data/
http://sqlmap.org/
http://www.secdev.org/projects/scapy/
http://www.monkey.org/~dugsong/dsniff/

Django Apps

django-secure

django-configurations

https://pypi.python.org/pypi/django-secure
http://django-configurations.readthedocs.org/

Code sicher(er) machen

Code Review

Security Scanner

Security Audit

Danke! !

www.transcode.de

@keimlink

http://www.transcode.de
https://twitter.com/keimlink

Recommended

django Organice Documentation - media.readthedocs.org€¦ · Mit django Organice gehen Sie den angenehmen Weg, eine Kollaborationsplatform, ein Intranet und Websites für Ihr Geschäft
Documents
Celery - eine asynchrone Task Queue (nicht nur) für Django
Technology
Anmerkungen zu „Django Reinhardt – Ein Leben für die … Anmerkungen zu „Django Reinhardt – Ein Leben für die Musik“ Frankreich 2017 Regie: Étienne Comar Darsteller: Reda
Documents
KOOPERATION MIT DER Januar, BUND-GRUPPE SCHWERIN … · Django - Ein Leben für die Musik Zwischen Kollaboration und Résistance Der begnadete Jazzgitarrist Django Reinhardt ist 1943
Documents
Anmerkungen zu „Django Reinhardt – Ein Leben für die Musik“
Documents
Mobile Applikationen: LeasePlan Mobil
Technology
Applikationen und Flickstoffe
Documents
Django KC 2017-10-21 - django-film.de · Django Reinhardt begründete eine der populärsten europäischen Jazzformationen der 1930er Jahre: das Quintette du Hot Club de France mit
Documents
Cloud für SAP Applikationen
Internet
Django 3000 - dcl.hpi.uni-potsdam.de fileÜberblick • Python-3-Support in Django voraussichtlich ab Django 1.5 • bis dahin: Subversion-Branch • Portierungsideen • Django-Portierung
Documents
Die Unterlage zum LWL django CMS Kurs · Title: Die Unterlage zum LWL django CMS Kurs Author: Louis Sterck Keywords: ��django CMS, LWL, django-Schulung, M�nster, Inklusion,
Documents
Django Unchained - TV Spielfilm · Django Unchained Django Unchained Western von Quentin Tarantino. 1858, drei Jahre vor Beginn des Bürgerkriegs, sucht der deutsche Kopfgeldjäger
Documents
Django KC 2017-10-21(Django Reinhardt, zit. n. Schmitz & Maier 1985, S. 97) DJANGO – EIN LEBEN FÜR DIE MUSIK ist ein Film über einen Ausnahmemusiker: Der 1910 in Belgien geborene
Documents
A DJANGO FAKEBOOK cover - UChicago GeoScigeosci.uchicago.edu/~archer/jazz_band/sheet/fakebook_django_2008.pdf · DJANGO FAKEBOOK 2008 200 tunes La vie en rose Les feuilles mortes
Documents
Die Unterlage zum LWL django CMS Kurs · LWL django CMS 5 Mit dieser Toolbar können Sie alle Optionen und Bearbeitungsmöglichkeiten von django CMS nutzen. Nicht alle Anwender sehen
Documents
Der Django-Admin-Bereich im Überblick
Technology
DJANGO ULTIMATIV – DJANGOS ERBEN AUF ENJA RECORDS … filepelli liefert Niculescu nun eine besondere Django-Huldigung ab: sein neues Album „Django Tunes“, eine Kollektion überwie-
Documents
Bemerkungen zu “Django Reinhardt” - jazzimfilm.de · „Django Reinhardt Gentleman Manouche ... Auftritte. Der Gitarrist beschäftigte fast zwei Jahre mit der Jazz- für ihn neuen
Documents
Sakura Django Reinhardt Festival vol„9 2019 Sakura City ... · Sakura Django Reinhardt Festival vol„9 2019 Sakura City, Tochigi http : //sakuradrf com
Documents
Bemerkungen zu „Django Reinhardt – Three-Fingered Lightning“
Documents