Mecanismo de definiç ão do estado de execuç ão da aplicaç ão

3.2 Funcionalidades

4.1.1 Mecanismo de definiç ão do estado de execuç ão da aplicaç ão

Uma aplicaç ãowebpassa por diversos estados, sendo que s ó alguns dos quais s ão vulner áveis. Por isso, ao usarfuzzingpara detectar vulnerabilidades numa aplicaç ão, é importante faz ê-la percorrer os seus diversos estados e fazerfuzzingde todos os vectores em cada um deles. A implementaç ão actual

1https://www.owasp.org/index.php/JBroFuzz

Figura 4.1: Arquitectura daframeworkrepresentado os componentes de monitorizac¸ ˜ao implementados

dofuzzer cont ém um mecanismo que permite definir, manualmente, um conjunto de pedidos HTTP que coloquem a aplicaç ãowebnum determinado estado ou para efectuarresetao estado da aplicaç ão ap ós o envio de determinadoinputdofuzzer. Assim, é poss´ıvel definir os pedidos HTTP que v ão definir o estado da aplicaç ão atrav és de um ficheiro de texto contendo a estrutura apresentada na Listagem 4.1.

1 BEGIN - H T T P

2 [ GET | P O S T ]

3 [ URL ]

4 [ P A R A M S ]

5 [ C O O K I E ]

6 END - H T T P

Listagem 4.1: Estrutura de um pedido HTTP para o mecanismo de definiç ão de estados Como se pode observar na Listagem 4.1, é poss´ıvel caracterizar um pedido HTTP pelo seu tipo (GET/POST),url, par âmetros ecookiescaso sejam necess ários. Num ficheiro deste tipo, é poss´ıvel definir qualquer n úmero de pedidos HTTP desde que estejam de acordo com a estrutura referida anteriormente.

De forma a facilitar a compreens ão deste mecanismo, vai ser explicado o funcionamento deste mecanismo atrav és de um exemplo de uma aplicaç ão que cont ém dois estados: n ão autenticado e autenticado. Esta aplicaç ão necessita de autenticaç ão por parte do utilizador de forma a poder-se enviar uma mensagem à aplicaç ão sendo esta reflectida integralmente, podendo assim, ser poss´ıvel explorar uma vulnerabilidade decross-site scripting reflectido como se pode observar no Ap êndice A. Caso contr ário, n ão é poss´ıvel aceder a esta funcionalidade. Assim, para testar-se a aplicaç ão alvo de teste é necess ário enviar osinputsprovenientes dofuzzernos dois estados existentes de forma a conseguir-se

detectar a vulnerabilidade.

Para testar o estadon ão autenticado, n ão é necess ário enviar quaisquerinputsde forma a colocar a aplicaç ão nesse estado, logo para testar, s ó é necess ário ofuzzer enviar osinputscontidos nos seus vectores defuzzing e posteriormente verificar se foram detectadas algumas vulnerabilidades. Como referido anteriormente, neste caso, n ão v ão ser detectados quaisquer vulnerabilidades na aplicaç ão.

Para testar o estadoautenticado, é necess ário colocar a aplicaç ão num determinado estado, corres-pondendo ao processo deloginnesta. Para isso é necess ário, utilizar o mecanismo desenvolvido para definiç ão de estados na aplicaç ão e definir, manualmente, o pedido HTTP que corresponde aologinna aplicaç ão como pode ser observado na Listagem 4.2. Assim, ofuzzerantes de enviar cada um dos seus inputsproveniente de vectores defuzzingencarrega-se de enviar o pedido deloginna aplicaç ão, para que no momento de teste, osinputsenviados estejam a exercitar a aplicaç ão no estadoautenticado.

Neste caso, vai ser detectado uma vulnerabilidade decross-site scriptingreflectido, por exemplo, atrav ´es doinput <video><source onerror="alert(’Muahahah’)">.

Posteriormente, e tamb ém com o uso do mecanismo de definiç ão de estados, vai-se definir, manual-mente, o pedido HTTP que corresponde aologout da aplicaç ão de forma a efectuarresetao estado ap ós o envio doinput proveniente dofuzzer como se pode observar na Listagem 4.3.

1 BEGIN−HTTP

Listagem 4.2: Definiç ão do pedido de prestate HTTP no mecanismo de definiç ão de estados implementado que representa o processo de fazerlogin

1 BEGIN−HTTP

Listagem 4.3: Definiç ão do pedido dereset HTTP no mecanismo de definiç ão de estados implementado que representa o processo de fazerlogout

Como referido anteriormente, o mecanismo desenvolvido necessita de uma interacç ão com o utilizador de forma a definir o estado. Caso se pretenda que este mecanismo de estados seja mais expedito, o fuzzer pode ser estendido com um mecanismo de infer ência de estados baseado na soluç ão de Dup é et al. [42] ou no sistema LigRE [43].

4.2 Detecç ão de injecç ão de SQL

Para implementar este mecanismo, foi necess ário modificar o sistema de gest ão de base de dados MySQL (vers ão 5.7.4), mais especificamente a funç ão deparsing(mysql parse- ficheirosql parser.cc) adicionando um total de 14 linhas de c ódigo. Tamb ém foi criado um ficheiroheader com 1098 linhas de c ódigo que implementam o mecanismo de detecç ão e permite efectuar a an álise das estruturas das queriesprocessadas pelo SGBD. Atrav és destas alteraç ões é poss´ıvel detectar variados ataques de injecç ão de SQL.

O mecanismo recebe uma query pr é-processada e alvo de parsing pelo MySQL, recolhendo a estrutura da mesma. Caso estaquery tenha sido executada pela primeira vez, a estrutura da mesma vai ser armazenada pois representa otemplateda respectivaquery. Caso contr ário, a estrutura recolhida vai ser comparada com o respectivotemplateprocurando diferenças entre as duas. Opcionalmente, o mecanismo pode registar ou rejeitar a execuç ão de umaquery caso um ataque de injecç ão de SQL seja detectado pelo mecanismo.

Para armazenar as estruturas dasqueriese vari áveis de controlo e de configuraç ão do mecanismo (ex: detecç ão da vulnerabilidade activada/desactivada) foi necess ário criar uma estrutura de dados em pilha.

Para efectuar estas tarefas referidas anteriormente, no ficheirosql parser.ccadicionou-se à funç ão mysql parseum n úmero reduzido linhas de c ódigo com o prop ósito de obter a estrutura daquery para ser analisada pela funç ãocompareQueryStructure, existente no ficheiroheader, antes de ser executada atrav és da funç ãomysql execute command. Esta funç ão, como o pr óprio nome indica, executa aquery na base de dados. O mecanismo de detecç ão é chamado nesse ponto de execuç ão porque: (1) ap ós a fase de pr é-procesamento o DBMS efectua descodificaç ão sobre a codificaç ão dos caracteres e outros processos de uniformizaç ão do conte údo recebido (ex: evas ão de caracteres de espaço); (2) ap ós a fase deparsing o DBMS permite recolher a estrutura daquery com os seus elementos que a comp õem, permitindo aceder a essa informaç ão, analisar e identificar ataques; (3) é no momento antes da execuç ão daquery é que é poss´ıvel efectuar acç ões sobre aquery caso exista um ataque, por exemplo, prevenir o seu processamento bloqueando este.

A funç ãocompareQueryStructureinvoca as funç õesprocessSelect Lex einsertElementTemplate de forma a verificar o tipo de umaquery (SELECT, DELETE, INSERT, UPDATE) e inserir os dados na sua estrutura. Esta funç ão tamb ém retorna o identificador daquery e verifica se existe algumtemplatepara esse identificador. Caso n ão exista, a estrutura analisada é considerada umtemplatee é armazenada no mecanismo. Caso contr ário, otemplate é carregado e é efectuado a chamada à funç ão compareQueryTo-Templateque cont ém dois passos. O primeiro passo, verifica se o n úmero de items em ambas estruturas s ão iguais. Caso n ão sejam, é detectado uma injecç ão de SQL, caso contr ário prossegue-se para o passo seguinte. Neste segundo passo, é invocado a funç ãoprocessItem, cujo objectivo, é processar cada item da estrutura daquerye comparar com o seu respectivo item notemplate. Caso pelo menos uma destas comparaç ões entre pares de items n ão corresponda é identificado um ataque de injecç ão de SQL.

A funç ãoprocessItemanalisa os 27 tipos diferentes de items que s ão definidos pelo MySQL utilizando duas funç ões auxiliares (processField e isPrimitiveTypeBenign) para detectar diferenças entrefieldse para verificar se determinado item é do tipo primitivo (inteiro, real,stringou decimal).

Tamb ém foi necess ário concatenar às queries executadas um identificador único em forma de coment ário, para que seja poss´ıvel identificar qual o ponto do c ódigo da aplicaç ão alvo de teste onde foi efectuada determinadaquery, permitindo ao programador conseguir perceber atrav és de an álise do c ódigo o porqu ê da exist ência da vulnerabilidade. Caso n ão exista este identificador naquery, o MySQL continua a funcionar normalmente apenas n ão é alvo do mecanismo de detecç ão.

A implementaç ão actual deste mecanismo apenas permite a an álise da estrutura dequeriesque contenham as seguintes cl áusulas: SELECT, INSERT INTO, UPDATE, FROM, WHERE, HAVING, ORDER BY, GROUP BY. Como tal, o mecanismo n ão consegue, actualmente, identificar diferenças estruturais nas queriesque usem cl áusulas que n ão as referidas anteriormente, podendo essa an álise sobre outros tipos de cl áusulas ser estendida para futuras implementaç ões daframework.

4.3 Detecç ão de inclus ão de ficheiros locais e remotos

De forma a implementar este mecanismo, foi necess ário modificar o interpretador do PHP (vers ão 5.5.12), mais especificamente oZend Engine. Estas modificaç ões centraram-se nas funç ões doZend Engine que implementam as funç ões de inclus ão de ficheiros na linguagem PHP (ex: include,include once, requireerequire once) para que possa ser poss´ıvel extrair os ficheiros alvos da inclus ão e recolher a informaç ão necess ária à detecç ão deste tipo de vulnerabilidade.

A funç ão onde foi necess ária efectuar essas alteraç ões no interpretador da linguagem PHP foi compile file(zend language scanner.c), alterando um total de 112 linhas de c ódigo. Esta funç ão recebe como argumento um ficheiro que vai ser compilado pelo PHP, neste caso, os ficheiros alvo de inclus ão por parte da aplicaç ão. Foi necess ário acrescentar um identificador a cada chamada a uma funç ão de inclus ão para se saber qual foi o ponto do c ódigo onde foi efectuada determinada inclus ão. Caso n ão exista este identificador, o PHP continua a funcionar normalmente apenas n ão é alvo do mecanismo de detecç ão.

Para a extracç ão da informaç ão relativa ao identificador de cada chamada a uma funç ão de inclus ão, foi necess ário modificar o ficheirozend vm execute.halterando um total de 116 linhas de c ódigo. Com a alteraç ão desta funç ão, é poss´ıvel tirar ilaç ões sobre a exist ência do ficheiro alvo de inclus ão pois esta funç ão pode retornar valores que indiquem a n ão exist ência do mesmo. Com esta nova informaç ão é poss´ıvel efectuar a distinç ão entre o aviso de poss´ıvel exist ência da vulnerabilidade caso o ficheiro exista e quando ocorre verdadeiramente a exploraç ão da vulnerabilidade devido a inclus ão de um ficheiro malicioso.

Ostemplatesnecess ários para comparar com futuras chamadas a funç ões de inclus ões s ão armaze-nados de forma permanente atrav és de ficheiros contendo a informaç ão necess ária relevante.

4.4 Detecc¸ ˜ao de cross-site scripting armazenado

Para implementar este mecanismo, modificou-se oZend Engine(vers ão 5.5.12). A modificaç ão centrou-se na funç ão do interpretador que implementa a funç ãomysql query da linguagem PHP, mais especi-ficamente, a funç ãophp mysql do query general. Sobre esta funç ão, foram alteradas um total de 72 linhas de c ódigo para implementar o mecanismo de detecç ão desta vulnerabilidade atrav és da an álise do conte údo devolvido pelasqueries.

Para efectuar a an álise do conte údo devolvido pelasqueries é necess ário verificar se neste existe algum c ódigo, por exemplo, HTML ou JavaScript contido. Para tal, é utilizado um m ódulo deparsing programado em Java (antixss.jar) que utiliza uma biblioteca deparsingde c ódigo deste g énero, nome-adamente,jsoup (vers ão 1.7.3)². Como referido anteriormente, esta biblioteca tem como prop ósito efectuarparsingde p áginas HTML e de outras linguagens ligadas a esta (ex: JavaScript, CSS) tendo em conta a exist ência detagscom as quais consegue estruturar o c ódigo. Para a identificaç ão de c ódigo, o mecanismo fornece o conte údo a analisar aojsoupe este insere-o numa p áginadummy de HTML, representada pelastags<html><head><body>no qual vai fazerparsing. Com a estrutura obtida, verifica se existe pelo menos mais umatagde c ódigo al ém das existentes na p áginadummy. Em caso afirmativo, isto quer dizer que o conte údo alterou a estrutura e como tal cont ém c ódigo. Caso contr ário, o conte údo inserido n ão altera a estrutura do c ódigo j á existente e n ão é considerado como c ódigo.

4.5 Detecc¸ ˜ao de cross-site scripting reflectido

Para implementar este mecanismo de detecç ão, foi utilizada novamente a bibliotecajsoup(vers ão 1.7.3), mas desta vez integrada nofuzzer, como se pode ver na Figura 4.1. O uso dojsouptem como objectivo verificar a exist ência de c ódigo nosinputs enviados ou na sub-sequ ência resultante pelo algoritmo Smith-Waterman.

Em relaç ão ao algoritmoSmith-Watermaneste foi implementado em linguagem Java sendo integrado com o mecanismo de detecç ão. Para o correcto funcionamento deste algoritmo tendo em conta a detecç ão que se pretende fazer foi necess ário configur á-lo com determinados valores de pontuaç ão de concord ância e discord ância entre caracteres das duas sequ ências a comparar para que o tornasse mais toler ável a certos caracteres e menos toler ável a outros. Tamb ém, foi necess ário definir a percentagem de similaridade entre a pontuaç ão obtida e a pontuaç ão perfeita para considerar determinadoinputcomo um ataque.

De seguida é explicada a configuraç ão utilizada pelo mecanismo de detecç ão. Quando existe uma concord ância (case sensitive) entre caracteres nas duas sequ ências é adicionada uma pontuaç ão de 5 unidades. Quando existe uma discord ância esta pode ser de tr ês tipos:

• Quando a discord ância se refere a inclus ão de um espaço em branco para a sub-sequ ência estar alinhada s ão deduzidas 2 unidades. A raz ão para tal deduç ão é que esta operaç ão é toler ável

2http://www.jsoup.org

devido a poss´ıveis processos de eliminaç ão de caracteres de espaço por parte da aplicaç ão. Esta deduç ão é linear consoante o n úmero de espaços em branco que sejam necess ários adicionar;

• Quando a discord ância se refere a dois caracteres que sejam diferentes entre si mas que n ão sejam os caracteres<e>s ão deduzidas 5 unidades à pontuaç ão obtida, sendo esta deduç ão linear ao n úmero de caracteres que est ão em discord ância;

• Quando a discord ância se refere a dois caracteres que sejam diferentes entre si, no qual num deles est ão incluidos os caracteres<e >s ão deduzidas 25 vezes as unidades deduzidas no ponto anterior à pontuaç ão obtida. Esta deduç ão é linear ao n úmero de caracteres que est ão em discord ância. A raz ão do valor elevado de penalizaç ão deve-se à import ância destes caracteres neste tipo de vulnerabilidade pois estes podem ser utilizados como c ódigo. Quando existe uma discord ância deste tipo, geralmente significa que a aplicaç ão filtrou oinputatrav és de processos de validaç ão, sanitizaç ão ou codificaç ão.

Por fim, definiu-se que s ó é considerado que certoinput explorou uma vulnerabilidade decross-site scriptingreflectido quando a pontuaç ão obtida atrav és do algoritmoSmith-Waterman é superior a 95%

da pontuaç ão perfeita, ou seja, pontuaç ão obtida caso haja concord ância em todos os caracteres entre as duas sequ ências comparadas pelo algoritmo.

Cap´ıtulo 5

Avaliac¸ ˜ao Experimental

O sistema desenvolvido foi avaliado perante amostras de c ódigo vulner ável (Subsecç ão 5.1) e aplicaç ões open source(Subsecç ão 5.2). Em ambas as avaliaç ões efectuadas, foi necess ário uma fase de treino de forma a exercitar o c ódigo alvo de teste cominputsbenignos para que fosse poss´ıvel gerar ostemplates necess ários para a detecç ão das vulnerabilidades existentes.

Para avaliar aframework contabilizaram-se o n úmero de vulnerabilidades que foram detectadas com sucesso por esta. No caso das amostras de c ódigo vulner ável, procedeu-se a uma comparaç ão entre o n úmero de vulnerabilidades detectadas e as existentes nas mesmas. No caso das aplicaç õesopen source, procedeu-se a uma contabilizaç ão das vulnerabilidades detectadas pelaframework.

Al ém disso, tamb ém se avaliou o mecanismo de detecç ão de ataques de injecç ão de SQL tendo em conta o conceito definido por Ray e Ligatti sobre ataques de injecç ão de c ódigo. No trabalho de Ray e Ligatti [6], definiram 11 casos de teste que suportam a sua definiç ão. Sendo assim, o mecanismo desenvolvido foi avaliado atrav és destes casos de teste. Al ém disso, o mecanismo foi comparado com outras ferramentas de detecç ão deste tipo de ataque que tamb ém compararam os seus resultados com esta definiç ão.

5.1 Avaliac¸ ˜ao com amostras de c ´ odigo

A subsecç ão apresenta os resultados da avaliaç ão do sistema desenvolvido perante um conjunto de amostras de c ódigo cujas vulnerabilidades est ão bem identificadas e documentadas. Uma parte deste conjunto de amostras de c ódigo foi sendo desenvolvida em paralelo com aframework de modo a permitir test á-la. Este conjunto de amostras de c ódigo cont ém um total de 11 ficheiros com 14 vulnerabilidades identificadas como existentes. As vulnerabilidades existentes neste conjunto, foram colocadas intencionalmente e foram testadas de forma manual a sua exploraç ão para poderem ser contabilizadas como tal, antes de serem alvo de teste por parte daframework.

A outra parte foi constitu´ıda por amostras de c ódigo provenientes doNIST Software Assurance Reference Dataset Project ¹. As vulnerabilidades existentes s ão justificadas atrav és de uminput de

1http://samate.nist.gov/SARD/

Vulnerabilidades Testes Framework (11 ficheiros) Samate (7 ficheiros)

Tabela 5.1: Resumo dos resultados obtidos pelaframework com um conjunto de amostras de c ´odigo vulner ´avel

exemplo que explora a vulnerabilidade e tamb ém atrav és da descriç ão da vulnerabilidade em causa tendo em conta a especificaç ão definida no CWE².

Constatou-se que uma parte destas amostras continha informaç ão bastante reduzida ou incorrecta, pois indicavam que eram vulner áveis quando na verdade, ap ós an álise das mesmas, n ão eram, sendo assim, exclu´ıdas da avaliaç ão. Al ém disso, haviam amostras v álidas que continham mais vulnerabilidades do que as indicadas, tendo estas sido testadas manualmente, de forma a verificar a exist ência destas e a consider á-las como tal. No total, este conjunto de amostras de c ódigo cont ém no total 7 ficheiros com 11 vulnerabilidades identificadas como existentes.

Al ém disso, em ambos conjuntos de amostras de c ódigo usadas para testar aframework, n ão s ão considerados a exist ência de estados. Como tal, nesta avaliaç ão n ão foi necess ário recorrer-se ao mecanismo de definiç ão do estado de execuç ão da aplicaç ão existente nofuzzer.

A Tabela 5.1 apresenta os resultados obtidos pelaframework perante estas amostras de c ódigo, dividindo-os pela fonte e em termos de cada tipo de vulnerabilidade detectada. Observa-se que todas as vulnerabilidades existentes nestas amostras de c ódigo vulner ável foram detectadas com sucesso.

De seguida é apresentado um exemplo de uma amostra de c ódigo proveniente da amostra de dados do Samate(Listagem 5.1) cujo c ódigo é vulner ável a LFI e RFI. A framework detectou com sucesso ambas as vulnerabilidades. A vulnerabilidade ocorre devido a falta de processos de validaç ão, sanitizaç ão ou codificaç ão doinput recebido fazendo com que seja poss´ıvel incluir qualquer ficheiro, inclusiv é maliciosos, no c ódigo da aplicaç ão. As vulnerabilidades foram detectadas atrav és do envio de vectores defuzzing, por exemplo,/var/log/apache2/error logehttp://localhost/evil.txtque detectaram respectivamente as vulnerabilidades de LFI e RFI.

1 <html>

2 <head></head>

3 <body>

4 <a h r e f = ’ ?page= i n d e x . i n c ’>Index</a> : : <a h r e f = ’ ?page= l i n k s . i n c ’>L i n k s</a><b r />

5 <h1>My Web Page</h1>

6 T h i s i s my main t e m p l a t e .<b r />

11 i n c l u d e ( $page ) ; 12 ?>

13 </body>

14 </ html>

Listagem 5.1: Excerto de c ´odigo vulner ´avel na amostra de dados do Samate

No documento Framework para Detecção Automática de Vulnerabilidades em Aplicações Web usando Fuzzing (páginas 63-73)