-
|
bookmarken
- |
- |
- empfehlen
- |
- kommentieren
Topthema
About Security #227: Schwachstellen-Suche: Authentifizierung - "Doppelte Benutzer"
Wie jedem klar sein dürfte und es auch schon in About Security #226 beschrieben wurde, können mehrfach vergebene Benutzernamen zu unerwarteten Reaktionen der Webanwendung führen. Darum müssen Webanwendungen (sowie alle anderen Programme und Systeme, die Benutzernamen verwenden) bei der Registrierung gewählte Benutzernamen daraufhin prüfen, ob sie schon vorhanden sind oder nicht. Außer dem Fall der absichtlich oder auf Grund eines Programmierfehlers nicht durchgeführten Prüfung können "Missverständnisse" dazu führen, dass Benutzernamen doppelt vergeben werden.
NULL oder Nichts?
Ein Problem bei Webanwendungen, die auf verschiedenen Betriebssystemen laufen und/oder verschiedene Technologien verwenden, ist die Behandlung von Sonderzeichen, in diesem Fall insbesondere des NULL-Bytes. Das kann das Ende eines Strings kennzeichnen, ignoriert oder als normales Zeichen betrachtet werden. Solange sich alle Beteiligten in der Interpretation einig sind, ist das kein Problem. Wird das NULL-Byte aber von beteiligten Komponenten unterschiedlich interpretiert, wird es ein Problem und oft sogar eine Schwachstelle.
Exkurs: NULL-Byte-Schwachstelle in SSL-Implementierungen
Eine entsprechende Schwachstelle wurde von Moxie
Marlinspike in verschiedenen SSL-Implementierungen entdeckt und auf der
"Black Hat"-Konferenz vorgestellt
(Vortrag,
Paper als
PDF):
Ein NULL-Byte im Namensfeld (CN, Common Name) des SSL-Zertifikats
führt in manchen Implementierungen dazu, dass alles Folgende ignoriert
wird. Beantragt ein Krimineller, dem die Domain
boeser-server.example gehört, z.B. ein Zertifikat
für
www.bank.example\00.boeser-server.example
prüfen die Zertifizierungsstellen (CA, Certification Authority) i.A.
nur die im Common Name eingetragene Domain, ignorieren die Subdomain und
stellen das Zertifikat aus. Von der Schwachstelle betroffene
SSL-Implementierungen dagegen prüfen den Common Name nur bis zum
ersten NULL-Byte, erkennen daher ein gültiges Zertifikat für
www.bank.example und ermöglichen dadurch z.B. Phishing
und Man-in-the-Middle-Angriffe.
Ähnliches könnte auch einer Webanwendung passieren, wenn z.B. die Registrierung der neuen Benutzernamen und deren spätere Verwendung auf unterschiedlichen Systemen erfolgen, so dass sich Namen bei der Prüfung unterscheiden, bei der späteren Verarbeitung aber übereinstimmen.
Mögliche Angriffe
Ob und was für Angriffe möglich sind, ist von mehreren Faktoren abhängig: Wie reagiert die Webanwendung beim Login, wie auf eine Registrierung mit einer bereits vorhandenen Benutzername-Passwort-Kombination, wie auf eine Passwortänderung, die zu einer bereits vorhandenen Benutzername-Passwort-Kombination führt? Ein Angreifer könnte sich z.B. so lange mit einem bereits vergebenen Benutzernamen und unterschiedlichen Passwörtern neu registrieren bzw. nach der Registrierung das Passwort ändern, bis er das des zuvor vorhandenen Benutzers gefunden und damit Zugriff auf dessen Benutzerkonto hat. Sehr wahrscheinlich wird er dabei nicht von einem Schutz vor Brute-Force-Angriffen ausgebremst, evtl. aber durch ein CAPTCHA, das automatisierte Benutzerregistrierungen verhindern soll. Aber ein CAPTCHA lässt sich, teilweise sehr einfach, umgehen.
Nebenwirkungen
Verhindert eine Webanwendung, bei der sich der Benutzer selbst registrieren kann, die doppelte Vergabe von Benutzernamen, führt das zu einem weiteren Problem: Die notwendigerweise ausgegebene Fehlermeldung verrät einem Angreifer, dass ein Benutzername bereits vorhanden, also gültig ist. Er kann also versuchen, eine Liste typischer Benutzernamen zu registrieren und anhand der Fehlermeldung erkennen, welche davon vorhanden sind. Das Problem lässt sich auch nicht beseitigen, denn selbst wenn der Benutzer bei einer fehlgeschlagene Registrierung nicht über deren Ursache informiert wird, ist es meist sehr wahrscheinlich, das ein bereits vorhandener Benutzername der Grund ist. Vor allem, wenn eine Registrierung mit ansonsten identischen Daten, aber anderen Benutzernamen, gelingt.
Schwachstellen suchen
Voraussetzung für das Vorhandensein einer Schwachstelle ist die Möglichkeit für die Benutzer, sich selbst bei der Webanwendung zu registrieren und den Benutzernamen wählen zu können. Sind beide Bedingungen erfüllt, wird zuerst versucht, den gleichen Benutzernamen mit unterschiedlichen Passwörtern zu registrieren. Schlägt die Registrierung im zweiten Versuch fehl, kann wie oben beschrieben zumindest eine Liste gültiger Benutzernamen erstellt werden.
Ist die doppelte Registrierung eines Benutzernamens möglich, muss das Verhalten der Webanwendung in verschiedenen Situationen geprüft werden:
- Was passiert bei der Anmeldung? Auf welches Benutzerkonto erlangt man mit welchem Passwort Zugriff?
- Was passiert, wenn bei der Registrierung nicht nur der Benutzername, sondern auch das Passwort überein stimmen? Gibt es eine Fehlermeldung, kann darüber evtl. das Passwort eines schon vorhandenen Benutzers mit einem Brute-Force-Angriff ermittelt werden. Wenn es keine Fehlermeldung gibt, muss geprüft werden, was beim Einloggen passiert, d.h. auf welches Benutzerkonto man Zugriff erhält.
Evtl. müssen die Versuche mit mehreren identischen Benutzernamen, aber unterschiedlichen sonstigen Informationen wiederholt werden, um Unterschiede zu erkennen.
Des weiteren muss geprüft werden, was bei einem NULL-Byte im
Benutzernamen passiert, indem z.B. die Benutzernamen test,
testuser und test\00user registriert werden. Je
nachdem, ob und welche Fehlermeldung es gibt, muss dann ggf. geprüft
werden, ob nach der Registrierung eines Benutzernamens nach dem Muster
[vorhandener Benutzername]\00[irgendwas]ein Zugriff auf das bereits vorhandene Benutzerkonto möglich ist.
Soviel zum doch etwas abstrakten Problem der doppelt vergebenen Benutzernamen. In der nächsten Folge geht es um ein konkreteres Problem: Vorhersagbare Benutzernamen und Passwörter.
Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!
About Security - Übersicht zum aktuellen Thema:
- About Security #214: Schwachstellen-Suche: Authentifizierung - Grundlagen
- About Security #215: Schwachstellen-Suche: Authentifizierung - Brute Force
- About Security #216: Schwachstellen-Suche: Authentifizierung - Namen finden
- About Security #217: Schwachstellen-Suche: Authentifizierung - Ein Angriff
- About Security #218: Schwachstellen-Suche: Authentifizierung - Die Übertragung
- About Security #219: Schwachstellen-Suche: Authentifizierung - Verschlüsselung
- About Security #220: Schwachstellen-Suche: Authentifizierung - Unsichere Kryptographie
- About Security #221: Schwachstellen-Suche: Authentifizierung - Passwort ändern
- About Security #222: Schwachstellen-Suche: Authentifizierung - Passwort-Reset
- About Security #223: Schwachstellen-Suche: Authentifizierung - Passwort-Reset (2)
- About Security #224: Schwachstellen-Suche: Authentifizierung - "Remember me"
- About Security #225: Schwachstellen-Suche: Authentifizierung - "User Impersonation"
- About Security #226: Schwachstellen-Suche: Authentifizierung - "Halbe Passwörter"
- About Security #227: Schwachstellen-Suche: Authentifizierung - "Doppelte Benutzer"
Folgende Links könnten Sie auch interessieren
- Extensions-News
[http://entwickler.de/zonen/portale/psecom,id,101,online,2007,.html] - Twittern mit .NET
[http://entwickler.de/zonen/portale/psecom,id,101,online,2881,.html] - DFN-CERT warnt vor neuem Linux-Rootkit
[http://entwickler.de/zonen/portale/psecom,id,99,news,44527,.html] - About Security #164: Schwachstellensuche: Persistentes XSS (3)
[http://entwickler.de/zonen/portale/psecom,id,99,news,44235,.html] - About Security #167: Schwachstellensuche: SQL Injection über Strings
[http://entwickler.de/zonen/portale/psecom,id,99,news,44554,.html]
