1С-Битрикс Разработчикам - На пути к безопасности, новый тест штатного чеклиста

10.05.201212:2010.05.2012 12:20:42

Работа над безопасностью любого приложения и особенно веб-приложения, с родни работы шпиона — об успехах не знает никто, о провалах слышат все. Славное имя Вас, как разработчика, и клиента, как владельца бизнеса, может оказаться под угрозой благодаря одному забытому экранированию или пропущенной фильтрации. Заботясь о безопасности проектов, разрабатываемых на нашей платформе, мы ранее выпустили проактивный фильтр, который предотвращает эксплуатацию распространённых уязвимостей и в целом значительно подстраховывает разработчика от ошибок. Но его задача предотвратить эксплуатацию уязвимости, а не устранить её источник. Именно поэтому мы решили пойти немножечко дальше и начали работу над собственным инструментом для статического taint-анализа кода проекта (анализ приложения, производимый без его реального выполнения, рассчитанный на выявление ошибок связанных с некорректной обработкой пользовательских данных), который бы учитывал специфику разработки на нашей платформе. [spoiler]
Главной нашей целью при решении данной задачи стало - дать удобный, точный и понятный инструмент для разработчика (да-да, именно для разработчика), который мог бы подсказать узкие места в безопасности его кода. Два основных тезиса были перед глазами на всей стадии разработки:

Разработчик не пентестер, у него зачастую нет необходимой сноровки, необходимого образа мышления и опыта в данной области, поэтому ему порой достаточно сложно определить критичность потенциального огреха (тем более, если проект достается по «наследству»)
«Точность обнаружения важнее полноты анализа» - люди склонны уставать и ускорятся, листая «километровые» отчеты в поисках заветной ошибки, а клиенты при виде длинного списка будут считать разработчика не благонадежным (коим он разумеется не является:) )

Именно исходя из этих мыслей мы решили, что следует начать с базиса и потом постепенно наращивать функционал. Во-первых, это даст возможность вам и вашим клиентам привыкнуть к этому инструменту, во-вторых, постепенное внедрение функционала позволит нам максимально приблизится к мечте о точном анализе (пусть даже немного в ущерб его полноте), внося необходимые корректировки на каждой из стадий. Как говорится, «нужно начинать с малого».
Этим постом хочу немного приоткрыть завесу и рассказать об этом тесте, найти и опробовать который вы сможете не раньше версии 11.5.2 Главного модуля. Для того что бы найти его, необходимо будет проделать следующий путь: Администрирование -> Настройки -> Инструменты -> "Монитор качества" и выбрать наш новый тест “Предприняты меры по обеспечению безопасности проекта на уровне веб-разработки” в разделе “Безопасность”.

Запустив его, вы сможете просмотреть подробный отчет о его работе (при условии наличия найденных ним проблем):

От слов к делу или «лучше один раз увидеть...»
Как работает на практике тест и какой отчет он составляет, я покажу на примере уязвимого к Cross-site scripting компонента «mega_comp».
И так, сам компонент:

Файл: /bitrix/components/my_comps/mega_comp/component.php

<?if(!defined("B_PROLOG_INCLUDED") || B_PROLOG_INCLUDED!==true) die();
$my_sec_var=htmlspecialchars($_REQUEST['sec_var']);
$my_unsec_var=$_REQUEST['unsec_var'];
$arResult['sec_var']=$my_sec_var;
$arResult['unsec_var']=$my_unsec_var;
$this->IncludeComponentTemplate();
?>

Из листинга видно, что в $arResult['sec_var'] попадает безопасная переменная, а в $arResult['unsec_var'] – наоборот.
Модификация результатов перед выводом:

Файл: /bitrix/templates/minimal_black/components/my_comps/mega_comp/.default/result_modifier.php 

<?if(!defined("B_PROLOG_INCLUDED") || B_PROLOG_INCLUDED!==true) die();
$arResult['~sec_var']=htmlspecialcharsback($arResult['sec_var']);
?>

В $arResult['~var'] теперь хранятся ранее безопасные данные, которые благодаря htmlspecialcharsback стали небезопасны, т.к. содержат пользовательские данные.
Сам шаблон компонента:

Файл: /bitrix/templates/minimal_black/components/my_comps/mega_comp/.default/template.php

<?if(!defined("B_PROLOG_INCLUDED") || B_PROLOG_INCLUDED!==true) die();
//безопасные данные
echo $arResult['sec_var'];
//данные которые стали не безопасны в процессе работы скрипта
echo $arResult['~sec_var'];
//изначально небезопасные данные, выводятся с условием
if (isset($arResult['unsec_var']))
   echo $arResult['unsec_var'];
?>

Ну и конечно же его подключение в публичке:

Файл: /test.php

<?require($_SERVER["DOCUMENT_ROOT"]."/bitrix/header.php");
$APPLICATION->IncludeComponent('my_comps:mega_comp','',Array());
require($_SERVER["DOCUMENT_ROOT"]."/bitrix/footer.php");?>

Теперь запускаем тест и смотрим на результат:

Как видно из скриншота он нашел две XSSки, которые выводятся в шаблоне как $arResult['~sec_var'] и $arResult['unsec_var'], определив при этом что переменная $arResult['sec_var'] полностью безопасна. Показал полный путь следования переменных от начала инициализации пользовательскими данными до попадания их в вывод (указав слева номера строк, а справа файл содержащий эту конструкцию). Не забыв при этом указать, что для вывода переменной $arResult['unsec_var'] должно быть соблюдено определенное условие.
На текущий момент он нацелен искать ошибки, которые могут привести к:

XSS (Cross-site scripting) нападению
SQL инъекции
Выполнению произвольного php кода
Выполнение произвольных системных комманд
Инъекции в заголовок ответа (HTTP Response Splitting)
File Inclusion

А теперь кратенько о самой концепции
Статический taint-анализ (или taint checking) решает задачу поиска уязвимых мест в лоб, и в основе лежит всего лишь несколько правил:

Данные, полученные скриптом из http-запросов, считаются небезопасными по определению
Небезопасные данные в ходе работы скрипта могут стать безопасными (приведение типов, фильтрация, кодирование, нормализация и т.д.)
Безопасные данные, содержащие пользовательские данные, могут стать небезопасными (декодирование, htmlspecialcharsback и т.д.)
Небезопасные данные не должны попадать в контролируемые функции (вывод, системные функции, запрос к СУБД и т.д.)

Таким образом, все что нам требуется — проследить путь переменной от инициализации пользовательскими данными до попадания во входящий параметр контролируемой нами функции, расставив при этом необходимые метки, говорящие о безопасности отслеживаемой переменной. Причина, по которой мы реализовали наш тест, основываясь на этой модели, далеко не одна: скорость работы, удобство эксплуатации и главное — настраиваемая точность. Увы у этой модели присутствует целый ряд ограничений, основных два:

За небезопасные данные принимаются только данные, полученные из http-запроса, т.е. не учитываются случаи, когда они могут прийти, например, из СУБД или хранится в файле, что разумеется снижает полноту анализа.
При статическом анализе достаточно сложно рулить ветвлением логики и, как следствие, в отчет попадают опасные участки кода, которые на практике не станут уязвимостями.

Первое ограничение, на самом деле, можно обойти с достаточной долей успеха, и мы постараемся сделать это в будущем, сейчас же это умышленно не реализовывалось в виду слишком большого количества ложно положительных результатов. Например, имеем гостевую книгу, разделенную на два скрипта. Один пишет в СУБД данные полученные из формы, второй – получает данные из СУБД и выводит их пользователю:

//Скрипт add_posts.php
$text = addslashes(htmlspecialchars($_POST['text']));
$name = addslashes(htmlspecialchars($_POST['name']));
mysql_query("INSERT INTO posts (name, text) VALUES ('".$name."','".$text."')");

//Скрипт view_posts.php
$result = mysql_query("SELECT name, text FROM posts");
while ($row = mysql_fetch_assoc($result)) {
    echo 'Имя:'.$row['name'].'<br />Сообщение:'.$row['text'].'<br />';

Как видно из листинга, если в анализ включить данные полученные из СУБД, то он с полной уверенностью скажет, что в скрипте view_posts.php у нас хранимая XSS, и будет абсолютно прав, хотя по факту данные конечно же правильно отфильтрованы (пусть идеологически и не правильно хранятся, но мы же сейчас говорим о безопасности:) ), и ни о какой хранимой XSS и речи быть не может. Это происходит в виду отсутствия связи между скриптами add_posts.php и view_posts.php при анализе.

Второе ограничение, увы можно решить лишь частично. Приведу пример:

if (in_array($_GET['my_var'],explode(" ",COption::GetOptionString('my_module','vars'))))
   echo $_GET['my_var'];

В данном случае при статическом анализе определить, что будет находится в COption::GetOptionString('my_module','vars') при выполнении скрипта не представляется возможным, а главное установить безопасность этих данных. Но не все так плохо, как может показаться, часть проблем вполне решаема, например, уже сейчас он знает что если в коде ему встретится примерно такой код:

if(!check_bitrix_sessid())
{
   //чёт там происходит
   die();
}

if (!in_array($_GET['var'],$some_vars))
   exit('Не допустимый аргумент:'.$_GET['var']);

то в месте вывода $_GET['var'] нет XSS уязвимости, т.к. для её эксплуатации необходим токен сессии жертвы, получить который злоумышленник не в состоянии. Правильная обработка ветвления логики одна из самых сложных, но в то же время и приоритетных задач для нас при анализе.

Заключение
Идей у нас в запасе еще достаточно много, поэтому тест будет активно развиваться и совершенствоваться. Главное стоит понять - статические анализаторы реально ищут не уязвимости, а потенциальные ошибки, которые могут стать (а могут и не стать) уязвимостями, решить уязвимо ли это место в состоянии только разработчик. Так же не стоит забывать о том, что любые средства по анализу кода никогда не заменят Code Review, «думанье головой» и периодический аудит безопасности.

Если у вас есть какие либо вопросы, спрашивайте пожалуйста.

Фото:

Красичков Андрей

10.05.201212:2010.05.2012 12:20:42

Просмотров:42967 Комментариев:9 20

Добавить комментарий

Пользователь 14686

10.05.2012 16:35:13

А вы не пробовали его отдельно вешать как хук для коммитящихся в SVN файлов по маске *.php или слишком много ложных срабатываний?

Ответить Ссылка 0

Пользователь 102566

10.05.2012 17:13:22

Пока не пробовали, но рассматривали и думаю, что если вам как разработчикам это будет полезно - воплотится в жизнь (пока я думаю рановато еще). Ложных больше не станет, может немного пострадать полнота анализа. Но в целом абсолютно ничего не мешает навесить подобный хук, архитектура позволяет. Так же у меня есть еще одна идея (пока в черновом варианте) - благодаря настраиваемой точности/полноте самой модели статического анализа, можно вынести этот тест как отдельный тул для разработчиков с различной степенью "агрессивности" (эдакий verbosity level) и принимать за небезопасные данные, например, все параметры приходящие в компонент или же сделать некий "режим тестирования API", когда любой параметр функции/метода считается не безопасным(мы же заранее не знаем, кто как будет пользовать создаваемое API) и в соответствии с этим выполнять анализ, т.е. это те вещи которые реализовать в рамках теста чеклиста просто нереально имхо. В общем идей еще достаточное количество, был бы фидбек от вас как разработчиков;)

Ответить Родитель Ссылка 1

Пользователь 39858

10.05.2012 19:34:35

Интересный инструмент.

Пользователь 39125

11.05.2012 12:58:00

Спасибо за инструмент, будем ждать его появления.
Рекомендую также анализировать конструкции вида

global $USER; 
$USER->Authorize($UserID);

Пользователь 63498

13.05.2012 23:12:32

интересная тема. но я по опыту добавил бы ещё тест хостера на уязвимости. ОЧЕНЬ часто хостер сам не соблюдает элементарные правила безопасности, и зачастую взламывают не платформу а хост. и это ка кбы логично.. взломав сервак можно получить гораздо больший профит чем взломав 1 сайт.
правда такая тактика адекватна не для крупных проектов а для мелких (каких большенство) .
я сам лично занимаюсь тестированиями на проникновение серваков и вот список того, что стоило бы добавить в тест:
- нахождение конфига апача и если он найден то попытка открыть его на чтение (логично так как есть на других сайтах практически всегда папка аплоадов с правами 777 куда можно шел залить, а зная пути к сайтам очень легко сделать чекер)
- автоматический брут по файлу /etc/passwd с попыткой перебора на логин=пароль и реверс (говорит о том что хостер пренебрегает элементарными правилами генерации паролей и отсутствует нормальный валидатор клиентский)
- поиск файлов логов и конфигов (часто, вы даже не представляете на сколько часто, быдло админы пишет в лог фал не только GET но и !!внимание!! POST запросы, думаю не надо объяснять чем это черевато)
- проверка пути сохранения логов (редко, но бывает логи пишут в корень сайта, думаю тоже не надо объяснять чем это грозит)
- проверка версии ядра системы uname -a (ядро должно быть обновлено если не до последней, то хотябы до версии полугодовой давности, по опыту есть хостеры, и много, которые вообще держат ядро 2-3 летней давности)

все эти пункты взяты из печального опыта.
пример: на днях проводил анализ для клиента его хостинг площадки (от peterhost.ru) запустил свой стандартный тестер.. 6 ftp логинов были с логином=паролю, вот тебе и безопасность. от банальных ошибок глупых пользователей не спасают. и это я не говорю о куче других найденных дыр, по понятным причинам оглашать их тут не буду.

Ответить Ссылка 3

07.06.2012 10:00:25

Да, вы правы. Хостинг достаточно часто является источником проблем, увы не все так просто и задача по анализу хостинга несколько двояка. С одной стороны можно написать серию тестов, с другой как этим тестам определить где располагается проект? Ведь критерии по анализу для шаред и VPS/VDS очень отличаются. Мы думаем над задачей с проверкой серверного ПО и его конфигов, как только найдем удовлетворяющее нас решение - вы его уведите

Ответить Родитель Ссылка 0

Пользователь 35918

07.06.2012 02:35:43

Находит опасность в закомментированном коде (/*...*/)
Код действительно не хороший, но он же закомментирован...

07.06.2012 09:52:44

Добрый день, Альберт! Увы смоделировать вашу проблему локально у меня не получилось:( Не могли бы вы создать обращение в ТП с примером этого участка кода? Тест не должен реагировать на комментарии, он их еще на подготовительном этапе должен пропускать.

07.06.2012 12:14:08

"найти который вы сможете не раньше версии 11.5.2 Главного модуля" - может в этом проблема, версия моего ядра 11.0.3

Тест ругался на следующий кусок кода (не знаю кто и зачем это делал):

<?
/*$con = mysql_connect("localhost","user","password");
if (!$con)
{
   die('Could not connect: ' . mysql_error());
}
mysql_select_db('prezik_db');

$sql = 'SEL ECT * FROM `b_catalog_currency`';
$result = mysql_query($sql);
if (!$result) {
   echo "Could not successfully run query ($sql) fr om DB: " . mysql_error();
   exit;
}
while ($row = mysql_fetch_assoc($result)) {
    print_r($row);
}

mysql_close($con);

die('asd');*/

require($_SERVER["DOCUMENT_ROOT"]."/bitrix/header.php");
$APPLICATION->SetTitle("Интернет-магазин \"Мебель\"");
?> 
 ....

На пути к безопасности, новый тест штатного чеклиста

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером