Testowanie bezpieczeñstwa
aplikacji internetowych.
Receptury

Autor: Paco Hope, Ben Walther
T³umaczenie: Rados³aw Meryk
ISBN: 978-83-246-2208-5
Tytu³ orygina³u:

Web Security Testing Cookbook

Format: 168x237, stron: 312

Poznaj i wykorzystaj mechanizmy testowania zabezpieczeñ,

a nikt nie przeœlizgnie siê przez Twoj¹ witrynê!

•

Jak zainstalowaæ i skonfigurowaæ narzêdzia do testowania zabezpieczeñ?

•

Jak szybko i sprawnie znaleŸæ problemy w aplikacjach?

•

Jak wykorzystywaæ testy powtarzalne?

Witryny internetowe oraz ich aplikacje stanowi¹ swoist¹ wirtualn¹ furtkê do wszystkich
korporacji i instytucji. Jak zatem zadbaæ, aby nikt niepo¿¹dany nie przedosta³ siê
do œrodka? Co sprawia, ¿e witryna jest naprawdê bezpieczna? I w jaki sposób testowaæ
aplikacjê, aby nie by³ to proces ¿mudny i czasoch³onny, a raczej sprawny i skuteczny?
Oto rozwi¹zanie — niniejsza ksi¹¿ka zawiera proste receptury, dziêki którym z ³atwoœci¹
znajdziesz luki w aplikacjach, zanim zrobi¹ to ró¿ni hakerzy.

Ksi¹¿ka

„

Testowanie bezpieczeñstwa aplikacji internetowych. Receptury

”

to napisany

zrozumia³ym jêzykiem podrêcznik, dziêki któremu szybko poznasz mechanizmy
testowania zabezpieczeñ. Praktyczne przyk³ady zawarte w tym przewodniku sprawi¹,
¿e szybko nauczysz siê w³¹czaæ systemy zabezpieczeñ do standardowych procedur
kontroli aplikacji. Bez problemu stworzysz testy dotycz¹ce funkcji AJAX, a tak¿e
przeprowadzisz rozbudowane, wieloetapowe testy podatnoœci na klasyczne problemy:
skrypty krzy¿owe oraz wstrzykiwanie kodu.

•

Bezpieczeñstwo oprogramowania

•

Instalacja darmowych narzêdzi i rozszerzeñ

•

Kodowanie danych w Internecie

•

Manipulowanie danymi wejœciowymi

•

Fa³szowanie informacji przesy³anych w nag³ówkach przez przegl¹darki

•

Przesy³anie na serwer plików o du¿ej objêtoœci

•

Obchodzenie ograniczeñ interfejsu u¿ytkownika

•

Autoryzacja masowego skanowania

•

Ataki przeciwko aplikacjom AJAX

•

Manipulowanie sesjami

•

Testy wielostronne

Niech bezpieczeñstwo Twoich aplikacji nie spêdza Ci snu z powiek!

5

Spis tre

ļci

S

ĥowo wstýpne .............................................................................................................11

Przedmowa .................................................................................................................. 13

1. Wprowadzenie ............................................................................................................23

1.1. Co to jest testowanie zabezpieczeþ?

23

1.2. Czym sñ aplikacje internetowe?

27

1.3. Podstawowe pojöcia dotyczñce aplikacji internetowych

31

1.4. Testowanie zabezpieczeþ aplikacji internetowej

36

1.5. Zasadnicze pytanie brzmi: „Jak”

37

2. Instalacja darmowych narz

ýdzi .................................................................................. 41

2.1. Instalacja przeglñdarki Firefox

42

2.2. Instalacja rozszerzeþ przeglñdarki Firefox

42

2.3. Instalacja rozszerzenia Firebug

43

2.4. Instalacja programu WebScarab grupy OWASP

44

2.5. Instalowanie Perla i pakietów w systemie Windows

45

2.6. Instalacja Perla i korzystanie z repozytorium CPAN w systemie Linux

46

2.7. Instalacja narzödzia CAL9000

47

2.8. Instalacja narzödzia ViewState Decoder

47

2.9. Instalacja cURL

48

2.10. Instalacja narzödzia Pornzilla

49

2.11. Instalacja Ĉrodowiska Cygwin

49

2.12. Instalacja narzödzia Nikto 2

51

2.13. Instalacja zestawu narzödzi Burp Suite

52

2.14. Instalacja serwera HTTP Apache

53

6

_ Spis tre

ļci

3. Prosta obserwacja .......................................................................................................55

3.1. Przeglñdanie Ēródäa HTML strony

56

3.2. Zaawansowane przeglñdanie kodu Ēródäowego

58

3.3. Obserwacja nagäówków Ĕñdaþ „na Ĕywo” za pomocñ dodatku Firebug

60

3.4. Obserwacja danych POST „na Ĕywo” za pomocñ narzödzia WebScarab

64

3.5. Oglñdanie ukrytych pól formularza

68

3.6. Obserwacja nagäówków odpowiedzi „na Ĕywo”

za pomocñ dodatku TamperData

69

3.7. PodĈwietlanie kodu JavaScript i komentarzy

71

3.8. Wykrywanie zdarzeþ JavaScript

73

3.9. Modyfikowanie specyficznych atrybutów elementów

74

3.10. Dynamiczne Ĉledzenie atrybutów elementów

76

3.11. Wnioski

78

4. Kodowanie danych w internecie ................................................................................ 79

4.1. Rozpoznawanie binarnych reprezentacji danych

80

4.2. Korzystanie z danych Base64

82

4.3. Konwersja liczb zakodowanych w Base36 na stronie WWW

84

4.4. Korzystanie z danych Base36 w Perlu

85

4.5. Wykorzystanie danych kodowanych w URL

85

4.6. Wykorzystywanie danych w formacie encji HTML

88

4.7. Wyliczanie skrótów

89

4.8. Rozpoznawanie formatów czasowych

91

4.9. Programowe kodowanie wartoĈci oznaczajñcych czas

93

4.10. Dekodowanie wartoĈci ViewState jözyka ASP.NET

94

4.11. Dekodowanie danych zakodowanych wielokrotnie

96

5. Manipulowanie danymi wej

ļciowymi ........................................................................99

5.1. Przechwytywanie i modyfikowanie Ĕñdaþ POST

100

5.2. ObejĈcia ograniczeþ pól wejĈciowych

103

5.3. Modyfikowanie adresu URL

104

5.4. Automatyzacja modyfikowania adresów URL

107

5.5. Testowanie obsäugi däugich adresów URL

108

5.6. Edycja plików cookie

110

5.7. Faäszowanie informacji przesyäanych przez przeglñdarki w nagäówkach

112

5.8. Przesyäanie na serwer plików o zäoĈliwych nazwach

115

5.9. Przesyäanie na serwer plików o duĔej objötoĈci

117

5.10. Przesyäanie plików XML o zäoĈliwej zawartoĈci

118

5.11. Przesyäanie plików XML o zäoĈliwej strukturze

120

5.12. Przesyäanie zäoĈliwych plików ZIP

122

5.13. Przesyäanie na serwer przykäadowych plików wirusów

123

5.14. Obchodzenie ograniczeþ interfejsu uĔytkownika

124

Spis tre

ļci _

7

6. Automatyzacja masowego skanowania ...................................................................127

6.1. Przeglñdanie serwisu WWW za pomocñ programu WebScarab

128

6.2. Przeksztaäcanie wyników dziaäania programów typu pajñk

do postaci listy inwentaryzacyjnej

130

6.3. Redukowanie listy adresów URL do testowania

133

6.4. Wykorzystanie arkusza kalkulacyjnego do redukcji listy

134

6.5. Tworzenie kopii lustrzanej serwisu WWW za pomocñ programu LWP

134

6.6. Tworzenie kopii lustrzanej serwisu WWW za pomocñ polecenia wget

136

6.7. Tworzenie kopii lustrzanej specyficznych elementów

za pomocñ polecenia wget

138

6.8. Skanowanie serwisu WWW za pomocñ programu Nikto

138

6.9. Interpretacja wyników programu Nikto

140

6.10. Skanowanie serwisów HTTPS za pomocñ programu Nikto

142

6.11. UĔywanie programu Nikto z uwierzytelnianiem

143

6.12. Uruchamianie Nikto w okreĈlonym punkcie startowym

144

6.13. Wykorzystywanie specyficznego pliku cookie sesji z programem Nikto

145

6.14. Testowanie usäug sieciowych za pomocñ programu WSFuzzer

146

6.15. Interpretacja wyników programu WSFuzzer

148

7. Automatyzacja wybranych zada

ħ z wykorzystaniem cURL .....................................151

7.1. Pobieranie strony za pomocñ cURL

152

7.2. Pobieranie wielu odmian strony spod adresu URL

153

7.3. Automatyczne Ĉledzenie przekierowaþ

154

7.4. Wykorzystanie cURL do testowania podatnoĈci

na ataki za pomocñ skryptów krzyĔowych

155

7.5. Wykorzystanie cURL do testowania podatnoĈci

na ataki typu „przechodzenie przez katalog”

158

7.6. NaĈladowanie specyficznego typu przeglñdarki lub urzñdzenia

161

7.7. Interaktywne naĈladowanie innego urzñdzenia

162

7.8. Imitowanie wyszukiwarki za pomocñ cURL

165

7.9. Pozorowanie przepäywu poprzez faäszowanie nagäówków referer

166

7.10. Pobieranie samych nagäówków HTTP

167

7.11. Symulacja Ĕñdaþ POST za pomocñ cURL

168

7.12. Utrzymywanie stanu sesji

169

7.13. Modyfikowanie plików cookie

171

7.14. Przesyäanie pliku na serwer za pomocñ cURL

171

7.15. Tworzenie wieloetapowego przypadku testowego

172

7.16. Wnioski

177

8

_ Spis tre

ļci

8. Automatyzacja zada

ħ z wykorzystaniem biblioteki LibWWWPerl ........................ 179

8.1. Napisanie prostego skryptu Perla do pobierania strony

180

8.2. Programowe modyfikowanie parametrów

181

8.3. Symulacja wprowadzania danych za poĈrednictwem formularzy

z wykorzystaniem Ĕñdaþ POST

183

8.4. Przechwytywanie i zapisywanie plików cookie

184

8.5. Sprawdzanie waĔnoĈci sesji

185

8.6. Testowanie podatnoĈci na wymuszenia sesji

188

8.7. Wysyäanie zäoĈliwych wartoĈci w plikach cookie

190

8.8. Przesyäanie na serwer zäoĈliwej zawartoĈci plików

192

8.9. Przesyäanie na serwer plików o zäoĈliwych nazwach

193

8.10. Przesyäanie wirusów do aplikacji

195

8.11. Parsowanie odpowiedzi za pomocñ skryptu Perla w celu sprawdzenia

odczytanych wartoĈci

197

8.12. Programowa edycja strony

198

8.13. Wykorzystanie wñtków do poprawy wydajnoĈci

200

9. Wyszukiwanie wad projektu ....................................................................................203

9.1. Pomijanie obowiñzkowych elementów nawigacji

204

9.2. Próby wykonywania uprzywilejowanych operacji

206

9.3. NaduĔywanie mechanizmu odzyskiwania haseä

207

9.4. NaduĔywanie äatwych do odgadniöcia identyfikatorów

209

9.5. Odgadywanie danych do uwierzytelniania

211

9.6. Wyszukiwanie liczb losowych w aplikacji

213

9.7. Testowanie liczb losowych

215

9.8. NaduĔywanie powtarzalnoĈci

217

9.9. NaduĔywanie operacji powodujñcych duĔe obciñĔenia

219

9.10. NaduĔywanie funkcji ograniczajñcych dostöp do aplikacji

221

9.11. NaduĔywanie sytuacji wyĈcigu

222

10. Ataki przeciwko aplikacjom AJAX ............................................................................225

10.1. Obserwacja Ĕñdaþ AJAX „na Ĕywo”

227

10.2. Identyfikacja kodu JavaScript w aplikacjach

228

10.3. ćledzenie operacji AJAX do poziomu kodu Ēródäowego

229

10.4. Przechwytywanie i modyfikowanie Ĕñdaþ AJAX

230

10.5. Przechwytywanie i modyfikowanie odpowiedzi serwera

232

10.6. Wstrzykiwanie danych do aplikacji AJAX

234

10.7. Wstrzykiwanie danych w formacie XML do aplikacji AJAX

236

10.8. Wstrzykiwanie danych w formacie JSON do aplikacji AJAX

237

10.9. Modyfikowanie stanu klienta

239

10.10. Sprawdzenie moĔliwoĈci dostöpu z innych domen

240

10.11. Odczytywanie prywatnych danych dziöki przechwytywaniu danych JSON 241

Spis tre

ļci _

9

11. Manipulowanie sesjami ...........................................................................................245

11.1. Wyszukiwanie identyfikatorów sesji w plikach cookie

246

11.2. Wyszukiwanie identyfikatorów sesji w Ĕñdaniach

248

11.3. Wyszukiwanie nagäówków autoryzacji

249

11.4. Analiza terminu waĔnoĈci sesji

252

11.5. Analiza identyfikatorów sesji za pomocñ programu Burp

256

11.6. Analiza losowoĈci sesji za pomocñ programu WebScarab

258

11.7. Zmiany sesji w celu unikniöcia ograniczeþ

262

11.8. Podszywanie siö pod innego uĔytkownika

264

11.9. Preparowanie sesji

265

11.10. Testowanie pod kñtem podatnoĈci na ataki CSRF

266

12. Testy wielostronne ....................................................................................................269

12.1. Wykradanie plików cookie za pomocñ ataków XSS

269

12.2. Tworzenie nakäadek za pomocñ ataków XSS

271

12.3. Tworzenie Ĕñdaþ HTTP za pomocñ ataków XSS

273

12.4. Interaktywne wykonywanie ataków XSS bazujñcych na modelu DOM

274

12.5. Pomijanie ograniczeþ däugoĈci pola (XSS)

276

12.6. Interaktywne przeprowadzanie ataków XST

277

12.7. Modyfikowanie nagäówka Host

279

12.8. Odgadywanie nazw uĔytkowników i haseä metodñ siäowñ

281

12.9. Interaktywne przeprowadzanie ataków wstrzykiwania kodu

w instrukcji wäñczania skryptów PHP

283

12.10. Tworzenie bomb dekompresji

285

12.11. Interaktywne przeprowadzanie ataków wstrzykiwania

poleceþ systemu operacyjnego

286

12.12. Systemowe przeprowadzanie ataków wstrzykiwania

poleceþ systemu operacyjnego

288

12.13. Interaktywne przeprowadzanie ataków wstrzykiwania instrukcji XPath

291

12.14. Interaktywne przeprowadzanie ataków wstrzykiwania SSI

293

12.15. Systemowe przeprowadzanie ataków wstrzykiwania SSI

294

12.16. Interaktywne przeprowadzanie ataków wstrzykiwania LDAP

296

12.17. Interaktywne przeprowadzanie ataków

wstrzykiwania zapisów w dziennikach

298

Skorowidz ................................................................................................................. 301

79

ROZDZIA

Ĥ 4.

Kodowanie danych w internecie

Je

Ĉli chodzi o obserwacjö,

los nagradza tylko przygotowane umys

äy.

— Louis Pasteur

Pomimo Ĕe aplikacje internetowe speäniajñ caäy szereg róĔnych funkcji, majñ róĔne wymagania
i oczekiwane zachowania, istniejñ podstawowe technologie i bloki budulcowe, które pojawiajñ
siö czöĈciej niĔ inne. JeĈli zapoznamy siö z tymi blokami budulcowymi i opanujemy je, bö-
dziemy dysponowaè uniwersalnymi narzödziami, które moĔna zastosowaè do róĔnych apli-
kacji internetowych, niezaleĔnie od specyficznego przeznaczenia aplikacji lub technologii uĔytych
do ich zaimplementowania.

Jednym z takich podstawowych bloków budulcowych jest kodowanie danych. W aplikacjach
internetowych pomiödzy serwerem WWW a przeglñdarkñ dane przesyäane sñ na wiele spo-
sobów. W zaleĔnoĈci od typu danych, wymagaþ systemu oraz preferencji okreĈlonego programi-
sty dane te mogñ byè zakodowane lub spakowane z wykorzystaniem wielu róĔnych formatów.
W celu przygotowania uĔytecznych przypadków testowych czösto trzeba zdekodowaè dane,
wykonaè na nich operacje i ponownie je zakodowaè. W szczególnie skomplikowanych sytu-
acjach trzeba przeliczyè prawidäowe wartoĈci testów integralnoĈci takie jak sumy kontrolne
lub skróty (ang. hash). Znakomita wiökszoĈè testów w Ĉrodowisku internetowym obejmuje mani-
pulowanie parametrami przekazywanymi pomiödzy serwerem a przeglñdarkñ. Zanim jednak
przystñpimy do wykonywania operacji z parametrami, powinniĈmy zrozumieè, w jaki sposób
sñ one pakowane i przesyäane.

W niniejszym rozdziale opowiemy o rozpoznawaniu, dekodowaniu i kodowaniu róĔnych
formatów: Base64, Base36, czasu Unix, kodowania URL, kodowania HTML i innych. Informacje
zamieszczone w niniejszym rozdziale nie majñ peäniè roli materiaäów referencyjnych (istnieje
wiele dobrych materiaäów na ten temat). Majñ one jedynie pomóc w rozpoznaniu podstawowych
formatów i sposobów manipulowania nimi. Dopiero gdy bödziemy mieli pewnoĈè, Ĕe aplika-
cja zinterpretuje dane wejĈciowe w sposób, jakiego siö spodziewamy, bödziemy mogli uwaĔ-
nie opracowaè testowe dane.

Typy parametrów, które bödziemy analizowaè, sñ wykorzystywane w wielu niezaleĔnych
miejscach podczas interakcji z aplikacjñ internetowñ. Mogñ to byè ukryte wartoĈci pól formularzy,
parametry GET przekazywane za poĈrednictwem adresów URL oraz wartoĈci w obröbie plików

80

_

Rozdzia

ĥ 4. Kodowanie danych w internecie

cookie. Mogñ to byè krótkie informacje, na przykäad szeĈcioznakowy kod rabatu, lub rozbu-
dowane dane, na przykäad setki znaków o wewnötrznej wielowarstwowej strukturze. Tester
powinien przeprowadziè testy przypadków granicznych oraz testy negatywne dotyczñce in-
teresuj

ñcych przypadków. Nie moĔna jednak stwierdziè, co jest interesujñce, jeĈli siö nie ro-

zumie formatu danych. Trudno jest metodycznie wygenerowaè wartoĈci graniczne i dane te-
stowe, jeĈli nie zna siö struktury danych wejĈciowych. Na przykäad jeĔeli zobaczymy ciñg

dGVzdHVzZXI6dGVzdHB3MTIz

w nagäówku HTTP, moĔemy czuè pokusö, aby zmodyfikowaè

go w losowy sposób. Wystarczy jednak zdekodowaè ten ciñg za pomocñ dekodera Base64,
aby dowiedzieè siö, Ĕe kryje siö pod nim ciñg

testuser:testpw123

. W tym momencie Czy-

telnik powinien mieè znacznie lepsze rozeznanie na temat danych i wiedzieè, Ĕe naleĔy je
modyfikowaè zgodnie ze sposobem ich wykorzystania. Dziöki temu moĔna przygotowaè
prawidäowe przypadki testowe, które sñ wäaĈciwie ukierunkowane na dziaäanie aplikacji.

4.1. Rozpoznawanie binarnych reprezentacji danych

Problem

ZdekodowaliĈmy pewne dane w obröbie parametrów, pól wejĈciowych lub pliku danych i chce-
my przygotowaè dla nich wäaĈciwe przypadki testowe. PowinniĈmy okreĈliè, jakiego typu sñ
to dane, abyĈmy mogli przygotowaè dobre przypadki testowe pozwalajñce na manipulowa-
nie danymi w interesujñcy sposób.

Analizie poddamy nastöpujñce rodzaje danych:

x

szesnastkowe (Base16),

x

ósemkowe (Base8),

x

Base36.

Rozwi

ézanie

Dane szesnastkowe

W skäad cyfr szesnastkowych (Base16) wchodzñ znaki cyfr dziesiötnych 0 – 9 oraz litery A – F.
Czasami sñ pisane samymi wielkimi bñdĒ samymi maäymi literami. Rzadko jednak moĔna
spotkaè pisowniö, w której wielkoĈè tych liter jest mieszana. Wystöpowanie dowolnych liter,
które w alfabecie sñ za literñ F, oznacza, Ĕe nie mamy do czynienia z danymi Base16.

ChociaĔ informacje, które tu przedstawiamy, to komputerowy elementarz, warto go powtó-
rzyè w kontekĈcie testowania. KaĔdy bajt danych jest reprezentowany w wyniku przez dwa
znaki. Warto tu zwróciè uwagö na kilka szczególnych przypadków, na przykäad Ĕe ciñg

00

oznacza bajt o wartoĈci

0

, czyli

NULL

. Jest to jedna z naszych ulubionych wartoĈci granicznych

wykorzystywanych do testowania. Z kolei ciñg

FF

to

255

lub

–1

w zaleĔnoĈci od tego, czy

mamy do czynienia z wartoĈciñ ze znakiem, czy bez. To kolejna nasza ulubiona wartoĈè gra-
niczna. Do innych interesujñcych wartoĈci naleĔy

20

— kod ASCII znaku spacji oraz

41

—

kod ASCII wielkiej litery

A

. PowyĔej kodu ASCII

7F

nie ma drukowalnych znaków. W wiök-

szoĈci jözyków programowania wartoĈci szesnastkowe moĔna rozróĔniè po literach

0x

na po-

czñtku. JeĈli zobaczymy ciñg

0x24

, powinniĈmy instynktownie interpretowaè tö wartoĈè jako

4.1. Rozpoznawanie binarnych reprezentacji danych

_

81

liczbö szesnastkowñ. Inny popularny sposób reprezentacji wartoĈci szesnastkowych polega
na oddzieleniu poszczególnych bajtów dwukropkami. W ten sposób czösto przedstawiane sñ
sieciowe adresy MAC, wartoĈci MIB protokoäu SNMP, certyfikaty X.509, a takĔe inne proto-
koäy i struktury danych korzystajñce z kodowania ASN.1. Na przykäad adres MAC moĔna
przedstawiè w nastöpujñcy sposób:

00:16:00:89:0a:cf

. NaleĔy zwróciè uwagö na to, Ĕe nie-

którzy programiĈci pomijajñ niepotrzebne wiodñce zera. Zgodnie z tym powyĔszy adres MAC
moĔna przedstawiè w nastöpujñcy sposób:

0:16:0:89:a:cf

. ChociaĔ w takim ciñgu niektóre

dane sñ pojedynczymi cyframi, nie oznacza to, Ĕe nie jest to seria bajtów szesnastkowych.

Dane ósemkowe

Kodowanie ósemkowe — Base8 — jest stosunkowo rzadkie, ale od czasu do czasu moĔna
siö z nim spotkaè. W odróĔnieniu od innych rodzajów kodowania BaseX (16, 64, 36) w tym
przypadku wykorzystywanych jest mniej niĔ dziesiöè cyfr i w ogóle nie sñ uĔywane litery.
UĔywane sñ jedynie cyfry od 0 do 7. W jözykach programowania liczby ósemkowe sñ czösto
reprezentowane za pomocñ wiodñcego zera — na przykäad

017

to taka sama wartoĈè jak

15

dziesiötnie lub

0F

szesnastkowo. Nie naleĔy jednak zakäadaè, Ĕe wybrana liczba jest ósem-

kowa wyäñcznie na podstawie wiodñcego zera. Dane ósemkowe wystöpujñ zbyt rzadko, aby
na podstawie tej jednej wskazówki przyjmowaè takie zaäoĔenie. Wiodñce zera zwykle ozna-
czajñ staäy rozmiar pola i niewiele poza tym. Kluczowñ cechñ rozpoznawczñ danych ósem-
kowych jest to, Ĕe skäadajñ siö one z samych cyfr, z których Ĕadna nie jest wartoĈciñ wiökszñ
od 7. OczywiĈcie ciñg

00000001

równieĔ pasuje do tego opisu, choè raczej nie sñ to dane

ósemkowe. W rzeczywistoĈci powyĔszy ciñg moĔe byè zapisany z uĔyciem dowolnego ko-
dowania i nie ma to znaczenia.

1

zawsze oznacza

1

, niezaleĔnie od kodowania!

Base36

Base36 to rzadko spotykana hybryda pomiödzy kodowaniem Base16 a Base64. Podobnie jak
w przypadku Base16, cyfry rozpoczynajñ siö od 0, a za cyfrñ 9 sñ wykorzystywane w tej roli
litery alfabetu. Ostatniñ cyfrñ w tym przypadku nie jest jednak

F

. W skäad cyfr kodowania

Base36 wchodzi wszystkie dwadzieĈcia szeĈè liter, aĔ do

Z

. Jednak w odróĔnieniu od kodo-

wania Base64 wielkoĈè liter nie ma tu znaczenia oraz nie sñ wykorzystywane Ĕadne znaki
interpunkcyjne. A zatem jeĈli zobaczymy mieszankö liter i cyfr, gdzie wszystkie litery bödñ
wielkie bñdĒ maäe oraz gdzie bödñ wystöpowaäy litery alfabetu spoza

F

, bödzie to prawdo-

podobnie liczba zapisana z uĔyciem kodowania Base36.

Co powinni

ļmy wiedzieë o kodowaniu Base36?

NajwaĔniejszñ rzeczñ, którñ naleĔy wiedzieè o kodowaniu Base36, podobnie jak w przypad-
ku innych systemów liczenia, jest fakt, iĔ jest to liczba, pomimo Ĕe wyglñda jak dane. Pod-
czas wyszukiwania problemów zwiñzanych z przewidywalnymi i sekwencyjnymi identyfi-
katorami (omówimy je w recepturze 9.4) powinniĈmy pamiötaè, Ĕe nastöpna wartoĈè za

9X67DFR

to

9X67DFS

, natomiast o jeden niĔsza to

9X67DFQ

. KiedyĈ spotkaliĈmy siö ze skle-

pem internetowym, w którym dziöki manipulowaniu parametrami zapisanymi z wykorzy-
staniem kodowania Base36 przekazywanymi w adresie URL udaäo siö nam uzyskaè dziewiöè-
dziesiöcioprocentowy rabat!

82

_

Rozdzia

ĥ 4. Kodowanie danych w internecie

Dyskusja

Znalezienie narzödzia do kodowania Base16 i Base8 jest bardzo proste. Do tego celu moĔna
posäuĔyè siö nawet prostym kalkulatorem w systemie Windows. Znalezienie narzödzia ko-
dowania (dekodowania) dla standardu Base36 jest jednak nieco trudniejsze.

4.2. Korzystanie z danych Base64

Problem

Kodowanie Base64 wypeänia bardzo szczególnñ niszö: pozwala na kodowanie danych binar-
nych, które sñ niedrukowalne lub nie sñ bezpieczne dla kanaäu, w którym sñ przesyäane. Da-
ne sñ kodowane do postaci stosunkowo nieczytelnej dla czäowieka i bezpiecznej do transmisji
za pomocñ wyäñcznie znaków alfanumerycznych i kilku znaków interpunkcyjnych. Czösto
moĔna spotkaè zäoĔone parametry zakodowane w Base64. W zwiñzku z tym bardzo potrzeb-
na jest umiejötnoĈè ich dekodowania, modyfikowania i ponownego kodowania.

Rozwi

ézanie

NaleĔy zainstalowaè OpenSSL w Ĉrodowisku Cygwin (w systemie Windows) lub upew-
niè siö, Ĕe mamy dostöp do polecenia

openssl

w przypadku korzystania z innego systemu

operacyjnego. Pakiet OpenSSL wystöpuje we wszystkich znanych dystrybucjach systemu
Linux i Mac OS X.

Dekodowanie ci

égu

% echo 'Q29uZ3JhdHVsYXRpb25zIQ==' | openssl base64 -d

Kodowanie ca

ĥej zawartoļci pliku

% openssl base64 -e -in input.txt -out input.b64

Wykonanie powyĔszego polecenia spowoduje umieszczenie wyniku zakodowanego w Base64
w pliku o nazwie input.b64.

Kodowanie prostego ci

égu znaków

% echo -n '&a=1&b=2&c=3' | openssl base64 -e

Dyskusja

Z kodowaniem Base64 moĔna siö spotkaè bardzo czösto. Wykorzystuje siö je w wielu na-
gäówkach HTTP (na przykäad w nagäówku

Authorization:

). TakĔe wiökszoĈè wartoĈci prze-

syäanych w plikach cookie jest kodowana za pomocñ Base64. RównieĔ wiele aplikacji koduje
zäoĔone parametry za pomocñ Base64. JeĈli zobaczymy kodowane dane, zwäaszcza zawiera-
jñce znaki równoĈci, najpierw powinniĈmy zaäoĔyè, Ĕe sñ to dane Base64.

4.2. Korzystanie z danych Base64

_

83

Zwróèmy uwagö na opcjö

-n

w instrukcji

echo

. W taki sposób wyäñcza siö dodawanie znaku

przejĈcia do nowego wiersza na koþcu ciñgu znaków przekazanego jako argument. JeĈli nie
wyäñczy siö dodawania znaku przejĈcia do nowego wiersza, stanie siö on czöĈciñ wyniku. W li-
stingu 4.1 zamieszczono dwa róĔne polecenia wraz z odpowiadajñcymi im wynikami dziaäania.

Listing 4.1. Wbudowane znaki przej

Ĉcia do nowego wiersza w ciñgach znaków zakodowanych z uĔyciem

standardu Base64

% echo -n '&a=1&b=2&c=3' | openssl base64 -e # Prawid

áowo.

JmE9MSZiPTImYz0z

% echo '&a=1&b=2&c=3' | openssl base64 -e # Nieprawid

áowo.

JmE9MSZiPTImYz0zCg==

Niebezpieczeþstwo wystöpuje takĔe wtedy, gdy wstawimy dane binarne do pliku, a nastöp-
nie skorzystamy z opcji

-in

w celu zakodowania caäego pliku. Prawie wszystkie edytory do-

dajñ znak przejĈcia do nowego wiersza na koþcu ostatniego wiersza w pliku. JeĈli nie o to nam
chodzi (poniewaĔ plik zawiera dane binarne), to powinniĈmy zachowaè szczególnñ ostroĔ-
noĈè podczas tworzenia danych wejĈciowych.

Dla wielu czytelników moĔe byè zaskakujñce to, Ĕe do kodowania danych z wykorzystaniem
Base64 uĔywamy OpenSSL, skoro wyraĒnie widaè, Ĕe nie ma tu SSL ani innego szyfrowania.
Polecenie

openssl

jest w pewnym sensie szwajcarskim noĔem wojskowym. Za jego pomocñ

moĔna wykonaè wiele operacji, nie tylko kryptograficznych.

Rozpoznawanie kodowania Base64

W kodowaniu Base64 wykorzystuje siö wszystkie znaki alfabetu, wielkie i maäe litery oraz
cyfry 0 – 9. W sumie daje to szeĈèdziesiñt dwa znaki. Ponadto wykorzystuje siö znaki plusa
(

+

) oraz ukoĈnika (

/

), co w sumie daje szeĈèdziesiñt cztery znaki. Znak równoĈci równieĔ na-

leĔy do zestawu dostöpnych znaków, ale dodaje siö go wyäñcznie na koþcu. Ciñgi zakodo-
wane w Base64 zawsze zawierajñ liczbö znaków podzielnñ przez 4. JeĈli dane wejĈciowe po
zakodowaniu nie zawierajñ liczby bajtów podzielnej przez 4, dodaje siö jeden lub kilka zna-
ków równoĈci (

=

), tak by uzyskaè liczbö znaków bödñcñ wielokrotnoĈciñ 4. Tak wiöc w ciñgu

zakodowanym w Base64 bödñ wystöpowaäy maksymalnie trzy znaki równoĈci, choè moĔe
ich tam nie byè wcale bñdĒ moĔe wystöpowaè tylko jeden lub dwa znaki. Co wiöcej, jest to
jedyne kodowanie, w którym wykorzystuje siö kombinacjö wielkich i maäych liter alfabetu.

NaleĔy pamiötaè o tym, Ĕe Base64 to kodowanie. Nie jest to szyfrowanie (poniewaĔ
moĔna je w prosty sposób odwróciè, bez koniecznoĈci wykorzystania specjalnych
kluczy). JeĈli zetkniemy siö z bardzo waĔnymi danymi (na przykäad poufnymi da-
nymi, danymi majñcymi wpäyw na bezpieczeþstwo, danymi do zarzñdzania pro-
gramami) zakodowanymi w Base64, powinniĈmy traktowaè je tak samo, jakby byäy zapi-
sane zwykäym tekstem. Biorñc to pod uwagö, Czytelnik moĔe zaäoĔyè swój czarny
hakerski kapelusz i zapytaè siebie, co zyskuje, potrafiñc czytaè zakodowane dane.

Zwróè równieĔ uwagö na to, Ĕe w danych zakodowanych w Base64 nie wykorzy-
stuje siö kompresji. Wröcz przeciwnie, zakodowane dane zawsze majñ wiökszñ ob-
jötoĈè od niezakodowanych. MoĔe to stwarzaè problemy, na przykäad podczas pro-
jektowania bazy danych. JeĈli zmienimy w programie sposób przechowywania
identyfikatorów uĔytkownika — z danych w postaci zwykäego tekstu (na przy-
käad o maksymalnym rozmiarze oĈmiu znaków) na dane zakodowane w Base64 —
bödziemy zmuszeni do zwiökszenia rozmiaru pola do dwunastu znaków. MoĔe to
mieè istotny wpäyw na projekt caäego systemu — jest to zatem dobre miejsce do
przeprowadzania testów zabezpieczeþ.

84

_

Rozdzia

ĥ 4. Kodowanie danych w internecie

Inne narz

ýdzia

W tym przykäadzie posäuĔyliĈmy siö OpenSSL, poniewaĔ jest to program szybki, niewielki i äatwo
dostöpny. Kodowanie i dekodowanie w standardzie Base64 moĔna równieĔ z äatwoĈciñ wy-
konaè za pomocñ programu CAL9000. NaleĔy postöpowaè zgodnie z instrukcjami zamiesz-
czonymi w recepturze 4.5, ale wybraè Base64 jako typ kodowania lub dekodowania. TakĔe
w przypadku korzystania z programu CAL9000 powinniĈmy siö zabezpieczyè przed przy-
padkowym wklejaniem znaków przejĈcia do nowego wiersza w polach tekstowych.

MoĔna równieĔ skorzystaè z moduäu

MIME::Base64

dla jözyka Perl. ChociaĔ nie jest to mo-

duä standardowy, z pewnoĈciñ wiökszoĈè czytelników ma go w swoim systemie, poniewaĔ
instaluje siö on razem z moduäem LibWWWPerl, który omówimy w rozdziale 8.

4.3. Konwersja liczb zakodowanych w Base36

na stronie WWW

Problem

Potrzebujemy zakodowaè lub zdekodowaè liczby Base36, a nie chcemy pisaè w tym celu skryptu
lub programu. Sposób zaprezentowany w tej recepturze jest prawdopodobnie najäatwiejszym
sposobem okazjonalnej konwersji liczb zapisanych w róĔnych systemach kodowania.

Rozwi

ézanie

Brian Risk stworzyä demonstracyjny serwis WWW pod adresem http://www.geneffects.com/briarskin/
programming/newJSMathFuncs.html. MoĔna w nim przeprowadzaè dowolne konwersje z jednego
systemu kodowania na inny. Aby przeprowadziè konwersjö z kodowania Base10 na Base36
(lub odwrotnie), wystarczy wprowadziè wartoĈci podstaw systemów kodowania w odpo-
wiednich polach formularza. Przykäad konwersji duĔej liczby Base10 na Base36 pokazano na
rysunku 4.1. Aby przeprowadziè konwersjö z kodowania Base36 na Base10, wystarczy za-
mieniè wartoĈci

10

i

36

na stronie WWW.

Rysunek 4.1. Konwersja pomi

ödzy kodowaniem Base36 i Base10

4.5. Wykorzystanie danych kodowanych w URL

_

85

Dyskusja

Fakt, Ĕe konwersja jest wykonywana w przeglñdarce, nie oznacza, Ĕe w celu jej przepro-
wadzenia trzeba byè podäñczonym do internetu. MoĔna zapisaè kopiö tej strony na lokalnym
dysku twardym i zaäadowaè jñ w przeglñdarce w momencie, gdy zajdzie potrzeba wykonania
konwersji (analogicznie jak w przypadku programu CAL9000 — zobacz: receptura 4.5).

4.4. Korzystanie z danych Base36 w Perlu

Problem

Mamy potrzebö kodowania lub dekodowania duĔej iloĈci danych w standardzie Base36. Na
przykäad jest wiele liczb, które naleĔy poddaè konwersji, lub trzeba przeprowadziè progra-
mowe testowanie.

Rozwi

ézanie

SpoĈród narzödzi zaprezentowanych w niniejszej ksiñĔce do tego zadania najbardziej nadaje siö
Perl. Zawiera bibliotekö

Math::Base36

, którñ moĔna zainstalowaè za pomocñ repozytorium

CPAN lub z wykorzystaniem standardowej metody instalacji moduäów ActiveState (patrz: roz-
dziaä 2.). Sposób kodowania i dekodowania liczb w standardzie Base36 pokazano w listingu 4.2.

Listing 4.2. Skrypt Perl do konwersji liczb Base36

#!/usr/bin/perl
use Math::Base36 qw(:all);

my $base10num = 67325649178; # Po konwersji powinna przyj

ąü postaü UXFYBDM

my $base36num = "9FFGK4H"; # Po konwersji powinna przyj

ąü postaü 20524000481

my $newb36 = encode_base36( $base10num );
my $newb10 = decode_base36( $base36num );

print "b10 $base10num\t= b36 $newb36\n";
print "b36 $base36num\t= b10 $newb10\n";

Dyskusja

Wiöcej informacji na temat moduäu

Math::Base36

moĔna uzyskaè za pomocñ polecenia

perldoc

Math::Base36

. Jednñ z moĔliwoĈci, jakñ oferuje moduä, jest wypeänienie liczb dziesiötnych wio-

dñcymi zerami z lewej strony.

4.5. Wykorzystanie danych kodowanych w URL

Problem

W danych kodowanych w URL wykorzystuje siö znak

%

i cyfry szesnastkowe po to, by prze-

syäaè w adresie URL dane, których nie moĔna przesyäaè tam bezpoĈrednio. Kilka przykäadów

86

_

Rozdzia

ĥ 4. Kodowanie danych w internecie

znaków tego typu to spacja, nawiasy trójkñtne (

<

i

>

) oraz ukoĈnik (

/

). JeĈli w aplikacji inter-

netowej wystöpujñ dane kodowane w URL (na przykäad w postaci parametrów, danych wej-

Ĉciowych lub kodu Ēródäowego), które chcemy zrozumieè bñdĒ przetworzyè, musimy najpierw
je zdekodowaè bñdĒ zakodowaè.

Rozwi

ézanie

NajproĈciej operacje te moĔna wykonaè za pomocñ programu CAL9000 grupy OWASP. Jest
to seria stron WWW w HTML, które wykorzystujñ JavaScript do wykonywania podstawo-
wych obliczeþ. Za ich pomocñ moĔna interaktywnie kopiowaè i wklejaè dane oraz kodowaè
je i dekodowaè na Ĕñdanie.

Kodowanie

NaleĔy wprowadziè zdekodowane dane w polu Plain Text, a nastöpnie kliknñè opcjö Url (%XX)
znajdujñcñ siö z lewej strony w obszarze Select Encoding Type. Ekran aplikacji z wynikami tej ope-
racji pokazano na rysunku 4.2.

Rysunek 4.2. Kodowanie URL za pomoc

ñ narzödzia CAL9000

Dekodowanie

NaleĔy wprowadziè zakodowane dane w polu Encoded Text, a nastöpnie kliknñè opcjö Url
(%XX) znajdujñcñ siö z lewej strony w obszarze Select Decoding Type. Ekran aplikacji z wynikami
tej operacji pokazano na rysunku 4.3.

4.5. Wykorzystanie danych kodowanych w URL

_

87

Rysunek 4.3. Dekodowanie danych zakodowanych w URL za pomoc

ñ narzödzia CAL9000

Dyskusja

Dane kodowane wewnñtrz adresu URL powinny byè znane wszystkim osobom, które kiedy-
kolwiek oglñdaäy kod Ēródäowy HTML lub dowolne dane przesyäane z przeglñdarki WWW
do serwera WWW. Ten sposób kodowania zapisano w dokumencie RFC 1738 (ftp://ftp.isi.edu/
in-notes/rfc1738.txt). Standard ten nie wymaga kodowania niektórych znaków ASCII. Warto
zwróciè uwagö na to, Ĕe chociaĔ nie jest to obowiñzkowe, nic nie stoi na przeszkodzie, by kodo-
waè te znaki. Przykäad pokazano w zakodowanych danych na rysunku 4.3. Nadmiarowe ko-
dowanie to jeden ze sposobów, w jaki napastnicy maskujñ zäoĈliwe dane wejĈciowe. Nieskompli-
kowane systemy „czarnych list” sprawdzajñce wystöpowanie ciñgu

<script>

lub nawet

%3cscript%3e

mogñ nie zauwaĔyè ciñgu

%3c%73%63%72%69%70%74%3e

, który oznacza dokäadnie

to samo co dwa poprzednie.

Jednñ z doskonaäych wäasnoĈci programu CAL9000 jest fakt, iĔ w rzeczywistoĈci nie jest to
program. Jest to raczej kolekcja stron WWW zawierajñcych osadzony kod JavaScript. Nawet
jeĈli w jakiejĈ firmie jest stosowana drakoþska polityka zabraniajñca instalowania czegokol-
wiek na stacjach roboczych, moĔna przecieĔ otworzyè strony WWW w przeglñdarce i uruchomiè
odpowiednie funkcje. Strony WWW moĔna bez trudu zapisaè na dysku USB i zaäadowaè je
bezpoĈrednio z niego, dziöki czemu nie ma potrzeby instalowania czegokolwiek.

88

_

Rozdzia

ĥ 4. Kodowanie danych w internecie

4.6. Wykorzystywanie danych w formacie encji HTML

Problem

Specyfikacja HTML zapewnia sposób kodowania znaków o specjalnym znaczeniu, tak by nie
byäy interpretowane jako HTML, JavaScript czy innego rodzaju polecenia. Aby moĔna byäo
generowaè przypadki testowe i przeprowadzaè potencjalne ataki, trzeba umieè kodowaè i deko-
dowaè dane zgodnie z tym standardem.

Rozwi

ézanie

Kodowanie i dekodowanie tego typu najäatwiej przeprowadziè za pomocñ narzödzia CAL9000.
Nie bödziemy tu zamieszczaè szczegóäowych instrukcji posäugiwania siö programem CAL9000,
poniewaĔ jest to narzödzie, którego uĔywa siö w doĈè prosty sposób. Szczegóäowe informacje
na ten temat moĔna znaleĒè w recepturze 4.5.

W celu zakodowania specjalnych znaków naleĔy wprowadziè specjalne znaki w polu Plain
Text i wybraè swoje kodowanie. W polu Trailing Characters w programie CAL9000 naleĔy
wprowadziè Ĉrednik (

;

).

Dekodowanie znaków zakodowanych w postaci encji HTML wykonuje siö tak samo, ale w od-
wróconej kolejnoĈci. NaleĔy wpisaè lub wkleiè zakodowane dane w polu Encoded Text, a nastöp-
nie kliknñè opcjö HTML Entity znajdujñcñ siö z lewej strony, w obszarze Select Decoding Type.

Dyskusja

Kodowanie za pomocñ encji HTML to obszar, w którym moĔna popeäniè wiele potencjalnych
pomyäek. W naszej pracy spotykaliĈmy siö z wieloma przypadkami, w których w pewnych
miejscach aplikacji stosowano kodowanie encji HTML (na przykäad znak ampersand byä ko-
dowany jako

&amp;amp;

), a w innych nie. WaĔne jest nie tylko to, aby kodowanie byäo wy-

konywane prawidäowo. Okazuje siö, Ĕe ze wzglödu na wystöpowanie wielu odmian kodo-
wania encji HTML napisanie aplikacji internetowej, która wäaĈciwie obsäuguje kodowanie,
jest bardzo trudne.

Ró

żne odmiany encji HTML

Istnieje co najmniej piöè lub szeĈè prawidäowych i stosunkowo dobrze znanych sposobów
kodowania tego samego znaku za pomocñ encji HTML. Kilka moĔliwoĈci kodowania tego
samego znaku — symbolu „mniejszy niĔ” (

<

) — zaprezentowano w tabeli 4.1.

Tabela 4.1. Ró

Ĕne odmiany kodowania encji

Odmiana kodowania

Zakodowany znak

Encje identyfikowane przez nazw

ý

&lt;

Warto

ļci dziesiýtne (ASCII lub ISO-8859-1)

&#60;

Warto

ļci szesnastkowe (ASCII lub ISO-8859-1)

&#x3c;

Warto

ļci szesnastkowe (dĥuga liczba caĥkowita)

&#x003c;

Warto

ļci szesnastkowe (liczby caĥkowite szeļëdziesiýcioczterobitowe)

&#x0000003c;

4.7. Wyliczanie skrótów

_

89

Istnieje nawet kilka dodatkowych metod kodowania specyficznych dla przeglñdarki Internet
Explorer. Z punktu widzenia moĔliwoĈci testowania, jeĈli mamy do przetestowania wartoĈci
graniczne lub specjalne, mamy do sprawdzenia co najmniej szeĈè do oĈmiu permutacji: dwie
lub trzy wersje kodowania w adresie URL oraz cztery lub piöè wersji kodowania za pomocñ
encji HTML.

Diabe

ĥ tkwi w szczegóĥach

Obsäuga kodowania jest bardzo trudna dla programisty aplikacji z wielu powodów. Na przykäad
wystöpuje wiele róĔnych miejsc, w których trzeba wykonywaè kodowanie i dekodowanie,
oraz istnieje wiele niezwiñzanych ze sobñ komponentów, które wykonujñ funkcje kodowania
i dekodowania. WeĒmy pod uwagö przypadek najbardziej popularny — proste Ĕñdanie

GET

.

W pierwszej kolejnoĈci kodowaniem danych zajmuje siö przeglñdarka WWW. Przeglñdarki
róĔniñ siö jednak pomiödzy sobñ kilkoma szczegóäami. Nastöpnie serwer WWW (na przy-
käad IIS lub Apache) wykonuje kodowanie na danych wchodzñcych w stosunku do tych
znaków, które nie zostaäy zakodowane przez przeglñdarkö WWW. W dalszej kolejnoĈci na
kaĔdej platformie, na której uruchamiany jest kod, podejmowane sñ próby interpretacji, ko-
dowania lub dekodowania niektórych strumieni danych. Na przykäad w Ĉrodowiskach we-
bowych .Net i Java kodowanie URL i encje HTML sñ w wiökszoĈci obsäugiwane niejawnie.
Na koniec sama aplikacja moĔe kodowaè bñdĒ dekodowaè dane zapisane w bazie danych,
pliku lub pamiöci trwaäej innego rodzaju. Próba zapewnienia tego, aby dane pozostawaäy
zakodowane w prawidäowej formie w caäej sekwencji wywoäaþ (od przeglñdarki do aplikacji),
jest, mówiñc najbardziej ogólnie, bardzo trudna. Równie trudna jest analiza przyczyn wy-
stñpienia problemów.

4.7. Wyliczanie skrótów

Problem

Kiedy aplikacja korzysta ze skrótów (ang. hash), sum kontrolnych lub innych sposobów kontroli
integralnoĈci danych, trzeba umieè je rozpoznawaè i ewentualnie je wyliczaè w odniesieniu do
danych testowych. Osobom, dla których pojöcie skrótów nie jest znane, polecam zapoznanie
siö z ramkñ „Czym sñ skróty?” w dalszej czöĈci tego rozdziaäu.

Rozwi

ézanie

Tak jak w przypadku innych zadaþ zwiñzanych z kodowaniem, do wyboru mamy co najmniej
trzy dobre moĔliwoĈci: OpenSSL, CAL9000 i Perl.

MD5

% echo -n "my data" | openssl md5

c:\> type myfile.txt | openssl md5

90

_

Rozdzia

ĥ 4. Kodowanie danych w internecie

SHA-1

#/usr/bin/perl

use Digest::SHA1 qw(sha1);
$data = "my data";
$digest = sha1($data);
print "$digest\n";

Czym s

é skróty

Skrót to jednokierunkowe przeksztaäcenie matematyczne. NiezaleĔnie od iloĈci danych wej-
Ĉciowych wynik ma zawsze taki sam rozmiar. Skróty silne pod wzglödem kryptograficznym
— takich uĔywa siö w wiökszoĈci istotnych funkcji zabezpieczeþ — charakteryzujñ siö kilkoma
waĔnymi wäaĈciwoĈciami:

x

odpornoĈciñ na odgadniöcie przeciwobrazu (ang. preimage resistance): dla kogoĈ, kto
wejdzie w posiadanie skrótu, znalezienie dokumentu bñdĒ danych wejĈciowych, które
generujñ ten skrót, powinno byè trudne;

x

odpornoĈciñ na kolizje: dysponujñc okreĈlonym dokumentem lub danymi wejĈciowymi
powinno byè trudne znalezienie innego dokumentu lub danych wejĈciowych, które
generujñ taki sam skrót.

W obydwu tych wäaĈciwoĈciach mówimy, Ĕe wykonanie okreĈlonej operacji powinno byè
„trudne”. Oznacza to, Ĕe pomimo iĔ jest to teoretycznie moĔliwe, powinno byè to na tyle
czasochäonne i na tyle maäo prawdopodobne, aby napastnik zrezygnowaä z danej wäaĈciwo-
Ĉci skrótu do przeprowadzenia praktycznego ataku.

Dyskusja

Skróty MD5 zaprezentowano z wykorzystaniem pakietu OpenSSL w systemie Unix lub Win-
dows. W OpenSSL jest równieĔ funkcja

sha1

obsäugujñca skróty SHA-1. Zwróèmy uwagö na

koniecznoĈè uĔycia opcji

-n

w uniksowej instrukcji

echo

, aby zabezpieczyè siö przed doda-

waniem znaku przejĈcia do nowego wiersza na koþcu danych. ChociaĔ w systemie Windows
równieĔ wystöpuje polecenie

echo

, nie moĔna wykorzystywaè go tak samo jak w Ĉrodowisku

Unix, poniewaĔ nie pozwala ono na pomijanie zestawu znaków CR/LF na koþcu komunikatu
przekazywanego do niego w formie argumentu.

Przypadek zastosowania skrótów SHA-1 zaprezentowano na przykäadzie skryptu Perla ko-
rzystajñcego z moduäu

Digest::SHA1

. W Perlu jest równieĔ moduä

Digest::MD5

, który dziaäa

tak samo dla skrótów MD5.

Zwróè uwagö na to, Ĕe nie ma moĔliwoĈci dekodowania skrótów. Skróty sñ przeksztaäcenia-
mi matematycznymi, które dziaäajñ tylko w jednñ stronö. NiezaleĔnie od iloĈci danych wej-
Ĉciowych wynik ma zawsze taki sam rozmiar.

Skróty MD5

Skróty MD5 generujñ dokäadnie 128 bitów (16 bajtów) danych. Skróty MD5 moĔna zapre-
zentowaè na kilka róĔnych sposobów:

4.8. Rozpoznawanie formatów czasowych

_

91

32 cyfry szesnastkowe

df02589a2e826924a5c0b94ae4335329

24 znaki Base64

PlnPFeQx5Jj+uwRfh//RSw==

. W takiej postaci skróty MD5 wystöpujñ w przypadku, gdy

skrót MD5 w postaci binarnej (128 bitów binarnych) zostanie zakodowanych w standar-
dzie Base64.

Skróty SHA-1

Skróty SHA-1 zawsze generujñ dokäadnie 160 bitów (20 bajtów) danych. Podobnie jak w przy-
padku skrótów MD5, moĔna je zaprezentowaè na kilka róĔnych sposobów:

40 cyfr szesnastkowych

bc93f9c45642995b5566e64742de38563b365a1e

28 znaków Base64

9EkBWUsXoiwtICqaZp2+VbZaZdI=

Skróty a bezpiecze

ħstwo

Czöstym bäödem w zabezpieczeniach aplikacji jest zaäoĔenie, Ĕe zapisywanie lub przesyäanie
haseä w postaci skrótów jest bezpieczne. Skróty sñ równieĔ czösto wykorzystywane w odnie-
sieniu do kart kredytowych, numerów NIP oraz innych prywatnych danych. Problem z ta-
kim podejĈciem z punktu widzenia bezpieczeþstwa polega na tym, Ĕe skrótów moĔna uĔyè
w taki sam sposób jak haseä, które one reprezentujñ. JeĈli do uwierzytelniania aplikacji wy-
korzystuje siö identyfikator uĔytkownika oraz skrót SHA-1 hasäa, aplikacja w dalszym ciñgu
moĔe byè naraĔona na niebezpieczeþstwo. Do uwierzytelnienia napastnikowi moĔe wystar-
czyè przechwycenie i uĔycie skrótu hasäa (choè same hasäo pozostanie dla niego tajemnicñ).
NaleĔy podchodziè sceptycznie do skrótów haseä bñdĒ innych wraĔliwych informacji. Czösto
napastnik nie musi znaè informacji w postaci zwykäego tekstu — wystarczy, Ĕe przechwyci
skrót hasäa i odpowiednio go uĔyje.

4.8. Rozpoznawanie formatów czasowych

Problem

Czas moĔe byè reprezentowany na wiele róĔnych sposobów. UmiejötnoĈè rozpoznawania re-
prezentacji czasu pozwala na budowanie lepszych przypadków testowych. W pisaniu ukierun-
kowanych przypadków testowych pomaga nie tylko umiejötnoĈè rozpoznania, Ĕe okreĈlone
dane oznaczajñ czas, ale takĔe znajomoĈè podstawowych zaäoĔeþ, jakie przyjñä programista
podczas pisania kodu.

Rozwi

ézanie

W najbardziej oczywistych formatach czasowych jest kodowany rok, miesiñc i dzieþ. Dane te
wystöpujñ w popularnych ukäadach, przy czym rok jest reprezentowany za pomocñ dwóch lub
czterech cyfr. W niektórych formatach czasu wystöpujñ godziny, minuty i sekundy, a czasami

92

_

Rozdzia

ĥ 4. Kodowanie danych w internecie

dziesiñte czöĈci sekund i milisekundy. Kilka reprezentacji daty 1 czerwca 2008, 17:32:11 i 844
milisekundy pokazano w tabeli 4.2. W niektórych formatach okreĈlone czöĈci daty bñdĒ godziny
nie sñ reprezentowane. Te fragmenty sñ pomijane.

Tabela 4.2. Ró

Ĕne reprezentacje czasu

Kodowanie

Przyk

ĥadowy wynik

YYYYMMDDhhmmss.sss

20080601173211.844

YYMMDDhhmm

0806011732

Czas Unix (liczba sekund od 1 stycznia 1970)

1212355931

POSIX wg standardu „C”

Nie 1 Cze 17:32:11 2008

Dyskusja

Na pozór moĔna by sñdziè, Ĕe rozpoznawanie czasu jest doĈè oczywistñ umiejötnoĈciñ i nie
jest waĔne dla kogoĈ, kto testuje aplikacje internetowe. JesteĈmy zdania, Ĕe jest to bardzo
waĔne. SpotykaliĈmy siö z wieloma aplikacjami, gdzie projektanci uwaĔali czas za informa-
cjö, której nie da siö odgadnñè. UĔywano go w identyfikatorach sesji, tymczasowych nazwach
plików, tymczasowych hasäach i numerach kont. Osoba przeprowadzajñca symulowane ataki
powinna wiedzieè, Ĕe czasu nie wolno uznaè za nieprzewidywalny. Planujñc „interesujñce”
przypadki testowe dla okreĈlonego pola wejĈciowego, moĔna znacznie zawöziè zbiór do-
puszczalnych wartoĈci testowych, jeĈli siö wie, Ĕe informacje te dotyczñ czasu z niedawnej
przeszäoĈci lub z najbliĔszej przyszäoĈci.

Milisekundy a losowo

ļë

Nie dajmy siö nikomu przekonaè, Ĕe wartoĈci wyraĔone w milisekundach sñ nieprzewidywalne.
Intuicyjnie moĔna oczekiwaè, Ĕe nikt nie bödzie w stanie przewidzieè, kiedy uĔytkownik przeĈle

Ĕñdanie do serwera WWW. W zwiñzku z tym, jeĔeli program czyta zegar i wyodröbnia z tej
wartoĈci tylko milisekundy, kaĔda z tysiñca moĔliwoĈci (0 – 999) powinna byè jednakowo
prawdopodobna. Intuicja podpowiada nam „tak”, ale prawdziwa odpowiedĒ brzmi „nie”.
Okazuje siö, Ĕe niektóre wartoĈci sñ znacznie bardziej prawdopodobne od innych. Z róĔnych
wzglödów (na przykäad dokäadnoĈè odmierzania odcinków czasu przez jñdro systemu ope-
racyjnego — zarówno Unix, jak i Windows — dokäadnoĈè zegara, przerwania i wiele innych)
zegar jest bardzo zäym generatorem liczb losowych. Znacznie dokäadniejszy opis tego zjawi-
ska zamieszczono w rozdziale 10. ksiñĔki autorstwa Johna Viega i Gary’ego McGrawa Building
Secure Software (Addison-Wesley).

Tester nie powinien ufaè Ĕadnemu systemowi oprogramowania, który do generowania lo-
sowych wartoĈci wykorzystuje czas. JeĈli odkryjemy takie elementy w testowanych pro-
gramach, powinniĈmy natychmiast rozwaĔaè takie kwestie jak: „A co siö stanie, jeĈli komuĈ
uda siö odgadnñè tö wartoĈè” lub „Jak zachowa siö aplikacja, jeĈli dwie pozornie losowe
wartoĈci okaĔñ siö takie same?”.

4.9. Programowe kodowanie warto

ļci oznaczajécych czas

_

93

4.9. Programowe kodowanie warto

ļci oznaczajécych czas

Problem

UstaliliĈmy, Ĕe w naszej aplikacji jest wykorzystywany czas w interesujñcy sposób. Chcemy teraz
wygenerowaè specyficzne wartoĈci w specyficznych formatach.

Rozwi

ézanie

Do wykonania tego zadania idealnie nadaje siö Perl. Do wykonywania operacji na warto-
Ĉciach czasu w formacie systemu Unix bödziemy potrzebowali moduäu

Time::Local

. Bödzie

nam równieĔ potrzebny moduä

POSIX

, który udostöpnia funkcjö

strftime

. Oba sñ moduäami

standardowymi. W listingu 4.3 zaprezentowano cztery róĔne formaty czasu i sposoby mani-
pulowania nimi.

Listing 4.3. Kodowanie ró

Ĕnych wartoĈci czasowych w Perlu

#!/usr/bin/perl
use Time::Local;
use POSIX qw(strftime);
# 1 czerwca 2008, 17:32:11 i 844 milisekundy .
$year = 2008;
$month = 5; # Miesi

ące są numerowane, począwszy od 0!

$day = 1;
$hour = 17; # w celu zapewnienia lepszej czytelno

Łci skorzystamy z 24-godzinnego

zegara
$min = 32;
$sec = 11;
$msec = 844;

# Czas w formacie UNIX (liczba sekund od 1 stycznia 1970 roku) 1212355931
$unixtime = timelocal( $sec, $min, $hour, $day, $month, $year );
print "UNIX\t\t\t$unixtime\n";

# Wype

ániamy danymi kilka wartoĞci (wday, yday, isdst), które bĊdą potrzebne do wykonania funkcji strftime.

($sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst) = localtime($unixtime);

# YYYYMMDDhhmmss.sss 20080601173211.844
# Wykorzystujemy funkcj

Ċ strftime(), poniewaĪ uwzglĊdnia ona numerowanie miesiĊcy od zera, które jest typowe dla Perla.

$timestring = strftime( "%Y%m%d%H%M%S",
$sec, $min, $hour, $mday, $mon, $year, $wday, $yday, $isdst );
$timestring .= ".$msec";
print "YYYYMMDDhhmmss.sss\t$timestring\n";

# YYMMDDhhmm 0806011732
$timestring = strftime( "%y%m%d%H%M",
$sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst );
print "YYMMDDhhmm\t\t$timestring\n";

# POSIX wed

áug standardu jĊzyka "C" Nie Cze 1 17:32:11 2008

$gmtime = localtime($unixtime);
print "POSIX\t\t\t$gmtime\n";

94

_

Rozdzia

ĥ 4. Kodowanie danych w internecie

Dyskusja

Aby dowiedzieè siö wiöcej na temat moĔliwych sposobów formatowania czasu, moĔna sko-
rzystaè z poleceþ

perldoc

Time::Local

lub

man strftime

.

OsobliwoĈci obsäugi czasu w Perlu

ChociaĔ Perl jest bardzo elastyczny i z caäñ pewnoĈciñ jest dobrym narzödziem do
wykonywania tego zadania, charakteryzuje siö pewnymi osobliwoĈciami. Podczas
wykonywania operacji na wartoĈciach czasowych podobnych do tych, które poka-
zaliĈmy w powyĔszym przykäadzie, naleĔy zwróciè szczególnñ uwagö na wartoĈci
miesiöcy. Z pewnych trudnych do wyjaĈnienia powodów liczenie miesiöcy rozpo-
czyna siö od 0. Zgodnie z tym styczniowi odpowiada liczba 0, natomiast lutemu 1.
WäaĈciwoĈè ta nie dotyczy dni. Pierwszy dzieþ miesiñca ma numer 1. Co wiöcej, na-
leĔy zwróciè uwagö na sposób kodowania roku. Numer roku odpowiada liczbie lat,
które upäynöäy od roku 1900. Tak wiöc dla roku 1999 wartoĈè ta wynosi 99, nato-
miast dla roku 2008 jest to liczba 108. Aby uzyskaè prawidäowy numer roku, do tej
wartoĈci naleĔy dodaè 1900. Pomimo caäego szumu wokóä roku 2000 w dalszym ciñgu
moĔna spotkaè serwisy WWW, które pokazujñ daty typu 28-06-108.

4.10. Dekodowanie warto

ļci ViewState jýzyka ASP.NET

Problem

Jözyk ASP.NET dostarcza mechanizmu, dziöki któremu stan moĔe byè zapisywany po stronie
klienta zamiast po stronie serwera. Przeglñdarka WWW moĔe przesyäaè z kaĔdym Ĕñdaniem
jako pola formularzy nawet stosunkowo rozbudowane obiekty opisu stanu (po kilka kilo-
bajtów). Mechanizm ten nosi nazwö ViewState. Obiekt opisu stanu jest przechowywany jako
pole wejĈciowe formularza

__VIEWSTATE

. JeĈli aplikacja korzysta z mechanizmu ViewState, to

naleĔy przeanalizowaè sposób, w jaki informacje przekazane tñ drogñ sñ wykorzystywane
przez logikö reguä biznesu, i opracowaè testy obejmujñce wykorzystanie zmodyfikowanych
danych ViewState. Aby moĔna byäo opracowywaè testy wokóä zmodyfikowanych danych
ViewState, trzeba zrozumieè sposób posäugiwania siö danymi ViewState w aplikacji.

Rozwi

ézanie

NaleĔy pobraè aplikacjö ViewState Decoder z witryny Fritz Onion (http://www.pluralsight.com/
tools.aspx). Najprostszy sposób jej uĔycia polega na skopiowaniu adresu URL aplikacji (lub okre-

Ĉlonej strony) do adresu URL. Na rysunku 4.4 pokazano zrzut z ekranu pochodzñcy z wersji
2.1 aplikacji ViewState Decoder oraz niewielki fragment wyniku jej dziaäania.

Dyskusja

Czasami programowi nie udaje siö pobraè informacji ViewState ze strony WWW. W rzeczywisto-

Ĉci nie jest to duĔy problem. Wystarczy przejrzeè Ēródäo strony WWW (patrz: receptura 3.2)
i poszukaè ciñgu

<input type= "hidden" name="__VIEWSTATE"…>

. NaleĔy skopiowaè wartoĈè

tego pola wejĈciowego i wkleiè do dekodera.

Czytaj dalej...

4.10. Dekodowanie warto

ļci ViewState jýzyka ASP.NET

_

95

Rysunek 4.4. Dekodowanie danych przesy

äanych za pomocñ mechanizmu ViewState jözyka ASP.NET

Gdyby w przykäadzie pokazanym na rysunku 4.4 byäa nasza aplikacja, moĔna by na tej podsta-
wie znaleĒè kilka potencjalnych ĈcieĔek testowania. W danych ViewState sñ adresy URL. Czy
mogñ one zawieraè kod JavaScript lub kierowaè uĔytkownika do innego, zäoĈliwego serwisu
WWW? A co z róĔnymi liczbami caäkowitymi?

JeĈli aplikacja wykorzystuje ASP.NET i mechanizm ViewState, naleĔy odpowiedzieè sobie na
kilka istotnych pytaþ:

x

Czy jakiekolwiek dane z pola ViewState sñ wstawiane do adresu URL lub kodu HTML
strony w czasie, gdy serwer jñ przetwarza?

Zwróèmy uwagö na adresy URL widoczne na rysunku 4.4. Co by siö staäo, gdyby äñcza na-
wigacyjne do strony w tej aplikacji pochodziäy z danych ViewState? Czy haker zdoäaäby na-
käoniè kogoĈ do wizyty w zäoĈliwym serwisie WWW poprzez wysäanie mu „skaĔonych”
informacji ViewState?

x

Czy pole ViewState jest zabezpieczone przed moĔliwoĈciñ modyfikowania?

ASP.NET dostarcza kilku sposobów zabezpieczania pola ViewState. Jeden z nich to zastoso-
wanie prostego skrótu. Dziöki niemu serwer moĔe wykryè sytuacjö wyjñtkowñ w przy-
padku nieoczekiwanej modyfikacji pola ViewState. Drugi to zastosowanie mechanizmu