4.2 La struttura della rete
5.1.9 Path traversal
Negli esercizi di laboratorio eseguiti, i tentativi di path traversal si possono avere sia cercando l’accesso diretto a determinati file che si trovano fuori dalla directory dell’applicazione, sia cercando di inserire file o utenti con nomi particolari contenenti la sequenza di caratteri ../ che tenta l’accesso a risorse del server altrimenti non disponibili.
Si rilevano questi tentativi con questi tipi di controlli: 1. Presenza della sequenza di caratteri ../ nell’uri
2. Upload di file con nomi che contengono la sequenza ../
3. Inserimento di utenti o di testi con link che contengono la sequenza ../ Nei file di regole forniti da Snort ci sono diverse regole per il rilevamento dei tentativi di attacco path traversal. Eccone un esempio, tratto dal file “web-php.rules”:
web-php.rules:alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-PHP autohtml.php directory traversal attempt";
flow:to_server, established; uricontent:"/autohtml.php"; content:"name="; content:"../../"; distance:0;
reference:nessus,11630; classtype:web-application-attack; sid:2153; rev:1;)
Ci sono anche opzioni del preprocessore che possono dare un segnale di allerta quando l’attraversamento delle directory raggiunge la root-directory dell’applicazione. Qui per`o vorrei cercare di intercettare anche i tentativi di inserimento di path pericolosi da parte degli utenti, prima che l’attacco sia attivato.
La prima regola generale che ho elaborato per il path traversal riguarda la presenza della sequenza di caratteri ../ nell’url della richiesta. Non posso utilizzare direttamente l’opzione uricontent perch´e agisce sull’url normaliz- zato in cui questa sequenza di caratteri `e stata gi`a trasformata.
Uso quindi l’opzione content con il modificatore “http raw uri”, che cerca sull’uri non normalizzato:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg: "WEB tentativo di path traversal nell’uri";
flow: to_server, established; content: ".."; http_raw_uri; sid: 30;)
Il problema di questa regola riguarda il fatto che non intercetta eventua- li mascheramenti del pattern utilizzando caratteri speciali. Cerco quindi la presenza della sequenza espressa con caratteri codificati. La ricerca si limita all’uri non normalizzato.
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg: "WEB tentativo di path traversal";
flow: to_server, established;
pcre: "/(2E|%2e|\.|\.(/;)?|\.(\;)?){2}
(2F|%2F|\/|\&x2F(\;)?|\/(\;)?){0,1}/iI"; sid: 30; rev:1;) Il path traversal pu`o avvenire anche tramite l’inserimento della sequenza di caratteri ../ all’interno di un campo di una form o nel contenuto di un file, al momento dell’upload. Uso delle regole simili alle precedenti per cercare questo pattern.
Per la presenza di un path ../ in un file caricato:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg: "WEB: tentativo di path traversal in un file caricato:"; flow: to_server, established; file_data;
pcre: "/(2E|%2e|\.|\.(/;)?|\.(\;)?){2}
Dal momento queste regole intercettano il path traversal nell’url, funzio- nano anche per il tentativo di inserire un path relativo in un campo di testo di un form che trasmetta i dati con il metodo get.
Per il tentativo di path traversal tramite l’inserimento di dati in un campo di una form che utilizza il metodo POST, ho elaborato la seguente regola (il tentativo di path traversal `e presente nel pacchetto dopo la dichiarazione del metodo POST):
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg: "WEB: tentativo di path traversal con inserimento nel campo di una form:"; flow: to_server, established; pcre:"/POST/iM"; pcre: "/(2E|%2e|\.|\.(/;)?|\.(\;)?){2}
(2F|%2F|\/|\&x2F(\;)?|\/(\;)?){0,1}/iR"; sid: 32;)
5.1.10
DoS - Denial of Service
Per Google-gruyere, il problema riguardava l’accesso al link di spegnimento o di reset da parte di utenti non autenticati o non autorizzati.
Anche qui, come in precedenza, si dovrebbe controllare che chi richiama il link sia autenticato (presenza di un cookie) e sia un amministratore, oppure i link vengano richiamati secondo il percorso previsto dal normale utilizzo del server (in questo caso dalla pagina di amministrazione del sito). In ogni caso `e necessario conoscere la struttura del server.
Un altro attacco di tipo DoS prevede che si possa sostituire uno dei file di template con un file che richiama ricorsivamente se stesso fino a bloccare il server. La fonte di questo attacco `e il path traversal (quindi l’attacco verrebbe rilevato dalle regole precedenti).
5.1.11
Tentativo di esecuzione di codice
In questo caso si inserisce il codice desiderato modificando o sostituendo uno dei file del server o del template. Le modalit`a sono sempre quelle del path traversal per l’inserimento di un file e del riavvio del server, quindi le regole che possono portare alla scoperta di questo tipo di attacco sono gi`a presenti.
5.1.12
Scoperta di informazioni
Uso di caratteristiche di debug lasciate attive
Qui si tratta della possibilit`a di richiamare il file “dump.gtl”, presente per motivi di debug e lasciato sul server.
L’attacco si pu`o prevenire cercando tutti gli url esterni con chiamate dirette ai file di template. Questo tipo di regola richiede la conoscenza della struttura dei file dell’applicazione ed `e simile a quelle che si dovrebbero elaborare per identificare attacchi XSSI.
Inserimento di un file di debug
Anche se il file “dump.gtl” venisse tolto si potrebbe usare il path traversal per reinserirlo tra i file di template. Rilevando gli attacchi di tipo path traversal si scopre anche questo tipo di attacco.
Utilizzo di un bug del codice di espansione di Gruyere
Il bug in questione permette la stampa del contenuto del db usando il codice di template richiamato da uno snippet privato che pu`o contenere ad esempio la stringa:
{{ db: pprint() }}
Questo tentativo di attacco si pu`o rilevare cercando la stringa nei valori dei campi di input. Si tratta di un attacco legato alla struttura dell’applicazione e la regola pu`o essere scritta solamente conoscendo a fondo l’applicazione, la sua struttura e i suoi punti deboli.