Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
1
La sicurezza di ASP.NET e IIS
Raffaele Rialdi Microsoft C# MVP MVP Profile Blog Vevy Europe SpA
2
Asp.net .aspx, .asmx, .asax, .ascx, .soap, .rem, ...
Agenda Spoofing / Tampering Spying Sql/script Injection D.O.S. Autenticazione ("chi sei?") Autorizzazione ("cosa posso fare?") IIS Anonymous Basic Windows Certificate NTFS Access Control List (ACL) Asp.net .aspx, .asmx, .asax, .ascx, .soap, .rem, ... UrlAuthorizationModule FileAuthorizationModule None Windows Forms Passport Web Application Imperative Declarative NTFS LDAP SQL
3
Meccanismi di Autenticazione
IIS Anonima Basic Digest Certificate Windows Asp.net Passport Forms IIS mappa l'utente su IUSR_nomemacchina Asp.net lo vede come "" Utente non viene riconosciuto anche se è in Lan Usano lo store delle credenziali di Windows Richiedono una CAL per ogni utente La password non viaggia sulla rete Credenziali in chiaro (necessita SSL)
4
Differenze architetturali tra IIS5 e IIS6
Un account per App Pool. (token di processo) Devono essere membri del gruppo IIS_WPG Configurabile da IIS aspnet (default) Configurabile nel machine.config Network_service (default) User1 User2 App Pool 1 App Pool 2 App Pool 3 worker process (aspnet_wp) worker process (w3wp) worker process (w3wp) worker process (w3wp) appdomain appdomain appdomain appdomain appdomain appdomain appdomain appdomain appdomain Una web application per appdomain inetinfo (IIS) account: localsystem inetinfo (IIS) account: localsystem HTTP.SYS (Kernel Mode)
5
Windows Authentication step-by-step
Web.config di default è pronto: Impostare le autorizzazioni Disabilitare l'autenticazione anonima in IIS ... (prossime slide) L'utente autenticato è: (stringa vuota se anonimo) L'utente usato dal worker process è: <authentication mode="Windows" /> <authorization> <deny users="?" /> <allow users="*" /> </authorization> ? utente anonimo * tutti gli utenti HttpContext.Current.User.Identity.Name System.Security.Principal.WindowsIdentity.GetCurrent().Name
6
Internet Information Server IIS5 (Windows 2000 / XP Pro)
7
Internet Information Server IIS6 (Windows 2003)
8
IIS6 Application pool
9
Impersonation (solo con Windows Authentication)
Il token di security dell'utente autenticato viene impostato sul thread. Il token di processo rimane invariato. Se l'utente è anonimo, viene impersonato IUSR_NomePc Sintassi (web.config): <identity impersonate=true /> IIS5 non può eseguire più worker process sotto identità diverse Soluzione: impersonation di un utente specifico <identity impersonate=true user="xxx" password="zzz" />
10
I problemi architetturali di Impersonation
Molti vogliono usare la security di Sql server Se il db è in rete, impersonation non funziona ma ci vuole invece delegation Si perde il controllo centralizzato della security (accedere a Ntfs, Ldap, risorse in rete, DB) La security 'per righe' fatta con sql server è un incubo
11
I problemi tecnologici di Impersonation
Il token dell'utente non può essere usato per accedere a risorse remote (per es. la webapp non può usarlo per accedere un db in rete) La soluzione viene con Delegation che è di default disabilitata (proprio perchè è pericolosa!) Impersonation implica contesti diversi per ciascun utente. Questo significa niente connection pooling Protezione limitata. Un eventuale buffer overrun può usare sia il token di thread (impersonato) che quello di processo (worker process) usando RevertToSelf. Se chiamo un componente COM che sta in un apartment diverso, COM non userà il token di impersonazione ma quello di processo
12
Scenario tipico di una webapp
worker process token di processo = aspnet token di thread (solo se usa impersonation) Browser Firewall Web Server Data Server Alice aspnet Anche abilitando impersonation il Data Server verrà accesso come aspnet
13
Forms Authentication step-by-step
Abilitare l'autenticazione anonima in IIS Impostare l'autenticazione e i suoi parametri Impostare le autorizzazioni Creare la pagina di login controllare l'utente e autorizzarlo <authentication mode="Forms"> <forms name="myCookieName" loginUrl="~/Login.aspx" /> </authentication> <authorization> <deny users="?" /> <allow users="*" /> </authorization> ? utente anonimo * tutti gli utenti if(UserDB.Check(txtUsername.Text, txtPassword.Text)) { FormsAuthentication.RedirectFromLoginPage( txtUsername.Text, ckRemember.Checked); }
14
Forms Authentication gestire i ruoli
Gestire l'evento Application_AuthenticateRequest Impostare le autorizzazioni per singole parti del sito protected void Application_AuthenticateRequest(Object sender, EventArgs e) { UserDB.AssignRoles(); } <location path="Backoffice.aspx"> <system.web> <authorization> <deny users="?" /> <allow roles="admins" /> <deny users="*" /> </authorization> </system.web> </location> L'ordine di valutazione delle autorizzazioni è dal primo verso l'ultimo. Il primo 'match' vince.
15
Forms Authentication Gestione utenti e ruoli
Si costruisce una piccola classe: public class UserDB { public static bool CheckUser(string Username, string Password) return (Username == Password);// Solo per la demo!!! ;-) } public static void AssignRoles() IPrincipal CurrentUser = HttpContext.Current.User; if(CurrentUser != null && CurrentUser.Identity.IsAuthenticated && CurrentUser.Identity.AuthenticationType == "Forms") string User = CurrentUser.Identity.Name; string [] roles = GetRolesForUser(User); CurrentUser = new System.Security.Principal.GenericPrincipal (CurrentUser.Identity, roles); private static string[] GetRolesForUser(string User) string[] roles = new string[2]; roles[0] = "Administrators"; roles[1] = "Users"; return roles; // Solo per la demo!
16
Principal e Identity La sicurezza basata sui ruoli secondo il framework
IIdentity rappresenta l'identità di un utente WindowsIdentity, FormsIdentity, PassportIdentity, GenericIdentity IPrincipal contiene l'Identity e i ruoli WindowsPrincipal, GenericPrincipal AuthenticationType String. "Windows", "Forms", "Passport", ... Bool. Indica se l'utente è autenticato String. Nome dell'utente IsAuthenticated Name Identity IIdentity. Bool. Indica se l'utente appartiene ad un certo ruolo (gruppo) IsInRole
17
Forms Authentication Gestione utenti
Gli utenti si possono anche gestire nel web.config ma è sconsigliato: <authentication mode="Forms"> <forms name="myCookieName" loginUrl="~/Login.aspx"> <credentials passwordFormat = "SHA1" <user name="UserName1" password="SHA1EncryptedPassword1"/> </credentials> </forms> </authentication>
18
Esempio Forms Authentication
19
Forms Authentication Tip
Diciamo di avere due Web Application ... Prendiamo in considerazione: Nome del cookie della Forms authentication Path del cookie Il tag <machineKey ... /> nel web.config (vedi Se sono identici, l'utente potrà navigare da una all'altra senza doversi ri-autenticare Se almeno uno di questi è diverso, sarà necessario ri-autenticarsi
20
Autenticazione mista Windows / Forms
Il problema: In Windows Authentication, l'header HTTP "LOGON_USER" contiene il nome utente Se IIS è configurato come anonimo, NON viene passato il nome utente anche se siamo loggati sul dominio ... Ma la Forms authentication richiede che IIS sia configurato come anonimo (altrimenti compare la dialog di autenticazione)
21
Autenticazione mista Windows / Forms
La soluzione: Due pagine di Login: Forms e Windows Web.config configurato per la Forms Autorizzazione a tutti per la pagina di Login Windows IIS – WebApp: abilitare accesso anonimo IIS – LoginWin.aspx: togliere accesso anonimo LoginWin.aspx: Crea il ticket della Forms authenticaion a partire dalle credenziali Windows <location path="LoginWin.aspx"> <system.web> <authorization> <allow users="*" /> </authorization> </system.web> </location>
22
Esempio autenticazione mista
23
Forms Authentication con LDAP
LDAP è un protocollo per dialogare con Active Directory Posso chiedere con LDAP: di verificare le credenziali di un utente su AD di darmi l'elenco dei gruppi a cui appartiene quell'utente Il codice per fare queste due cose è qui: Metodo 1: Public Function IsAuthenticated(ByVal domain As String, ByVal username As String, ByVal pwd As String) As Boolean Metodo 2: Public Function GetGroups() As String Un ottimo motivo per usarla è nelle WebApp con autenticazione mista Windows + Forms
24
Asp.net <authorization ... /> Asp.net PrincipalPermission, etc.
Dove siamo? Autenticazione IIS Basic, Win, ... Asp.net Passport, Form Raffaele Autorizzazione IIS NTFS Asp.net <authorization ... /> Pagina si/no Controllo Imperativo Controllo dichiarativo Asp.net PrincipalPermission, etc. Codice si/no
25
Sicurezza imperativa e dichiarativa
Gli attrezzi del mestiere: IPrincipal.IsInRole() Imperativa (bool) PrincipalPermission.Demand() Imperativa (SecurityException) PrincipalPermissionAttribute Dichiarativa (SecurityException) if(User.IsInRole("Admins")) { ... } PrincipalPermission perm = new PrincipalPermission(null, "Admins"); perm.Demand(); PrincipalPermissionAttribute [PrincipalPermission(SecurityAction.Demand, Role="Admins")] public void MyAdminMethod() {...}
26
Esempio SecureHandler Role Based Authorization
27
Mai dare informazioni preziose default: <customErrors mode="RemoteOnly" />
Qualsiasi informazione sugli errori può essere sfruttata da un hacker. Gli errori custom (che nascondono i dettagliati): mode="Off" mostrati a nessuno mode="On" mostrati a tutti mode="RemoteOnly" solo in remoto Questo meccanismo è poco elastico Possiamo usare un HttpModule per migliorare la situazione ....
28
CustomErrorHandler (esempio)
Web.Config: <customErrors mode="On" defaultRedirect="~/HttpErrors.aspx" /> <httpModules> <add type="CustomErrorHandler.RafErrorModule, CustomErrorHandler" name="RafErrorModule"/> </httpModules> Due pagine di gestione errore: SoftError.aspx (per utenti) e HardError.aspx (per admin) Il Module redirige gli errori a seconda del ruolo dell'utente Il Module gestisce gli errori Http e le Exception ... vediamo il codice ...
29
Esempio CustomErrorHandler
30
Se però voglio accettare una stringa html/script dall'utente?
HttpRequestValidationException Page validateRequest="true" %> (true by default) Riconosce un eventuale input malizioso dell'utente e lancia l'eccezione HttpRequestValidationException Se però voglio accettare una stringa html/script dall'utente? Opzione 1: validateRequest = false (vale per tutta la pagina) e validarla. Opzione 2: criptare sul client, decrittarla sul server e validarla. Sul client (durante la onsubmit) si cripta il contenuto con encode di javascript il contenuto criptato si mette dentro un <input type=hidden> sul server si usa HttpUtility.UrlDecode per decodificare la stringa La validazione ... si può usare Server.HtmlEncode per farlo apparire sulla pagina si può fare il parsing per eliminare i tag pericolosi
31
<Input type=hidden />
Spesso viene usato un campo hidden per conservare i dati tra un postback e l'altro La modifica (tampering) dei campi hidden è banale e, se non controllata adeguatamente, può comportare un duro attacco. Soluzione: Criptarli prima di mandarli al client Decrittarli dentro un try/catch quando tornano al server
32
Protezione del Viewstate
Il Viewstate di default è un campo <input type=hidden /> Il Viewstate contiene lo stato dei controlli sul lato server Se non è criptato, è facilmente visibile: Soluzioni: Criptarlo: Page enableViewStateMac=“true” /> Mac = machine authentication check La chiave e il metodo di encryption sono specificati nel tag <machineKey> del machine.config (autogenerazione) Per crearne e specificarne di nuovi nel web.config: Q312906 Salvarlo sul server:
33
Proteggere le risorse Molti file non devono poter essere scaricati via http dall'utente Nel machine.config Asp.net protegge di default alcuni tipi di file dal download (.cs, .config, ...) Soluzione 1: custodirlo fuori dalla cartella virtuale Soluzione 2: proteggere il file via NTFS (se si usa impersonation.) Soluzione 3: proteggere con asp.net Associare i file da proteggere in IIS all'Isapi di Asp.net Proteggere (ad esempio) i file mdb nel web.config: <httpHandlers> <add verb="*" path="*.mdb" type="System.Web.HttpForbiddenHandler" /> </httpHandlers>
34
CAS e ASP.net Livello di Trust Restrizioni della CAS Full High Medium
Nessuna restrizione sulle permission. Applicazioni possono accedere a risorse controllate dalle impostazioni del sistema operativo Possono essere fatte operazioni che richiedono un alto privilegio High Non si può chiamare codice nativo Non si possono usare serviced components Non si può scrivere nell'event log Non si può accedere alle code di msmq Non si può usare data source di tipo OLE DB Medium L'accesso ai file è ristretto alla cartella dell'applicazione Non si può accedere al registry Low Non si può accedere a SQL Server Non si può chiamare CodeAccessPermission.Assert Minimal Si ha solo il diritto di esecuzione e nulla di più
35
Q & A ....
36
© 2003-2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
37
SQL Injection Un pirata può devastare il db ...
string strSql = "Select * from authors where au_lname like '" + TextBox1.Text + "'"; SqlCommand cmd = new SqlCommand(strSql, Cnn); SqlDataReader dr = cmd.ExecuteReader(); Select * from authors where au_lname like ' ' ; drop authors ' Prima query Seconda query Scartato
38
SQL Injection ... usare i parameters!!! ...
I Parameters incrementano anche le performance: non c'è conversione da string a tipo sul db la query rimane compilata e preparata sul db server string strSql = "Select * from authors where au_lname SqlCommand cmd = new SqlCommand(strSql, Cnn); SqlDbType.VarChar,40); SqlDataReader dr = cmd.ExecuteReader(); exec sp_executesql N'Select * from authors where au_lname varchar(40)', @au_lname = ' ' ' ; drop authors - - ' apice raddoppiato da ADO.NET Gli apici non sono l'unico problema: select * from titles where royalty = 0 ; drop authors
39
XSS: Cross Site Scripting
From: Hacker To: Raffaele Subject: Free gift Click here to win Normale navigazione con link contenente un attacco XSS Il link effetua una GET sul sito della banca con la QueryString La banca (non protetta da XSS) restituisce nella pagina html lo script inviato Lo script viene eseguito dal browser e le informazioni riservate arrivano al pirata
40
Mappare una estensione in IIS
slide post-sessione Affinchè asp.net (e quindi handlers e moduli) abbiano il controllo di un tipo di file (.jpg nell'esempio) è necessario configurare IIS Path dell'isapi di asp.net (copiarla da quella di .aspx)
41
Promemoria slide post-sessione Installate XP SP2 e Win2K3 SP1!
Aggiornare sempre con Windows Update Proteggere i dati sensibili DPAPI per criptare (vedi Pattern & Practices sul sito MSDN) ASPnet_setreg.exe per salvare credenziali criptate nel registry (per esempio di sql). Vedi Q per i dettagli. Eseguire logging e auditing Usare UrlScan. UrlScan Monitor (Lorenzo Barbieri) IIS LockDown (solo IIS5) Secure Configuration Wizard (solo IIS6 W2K3 SP1)
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.