19 смертных грехов, угрожающих безопасности программ
Шрифт:
И наконец, противник может получить контроль над файлами, к которым обращается программа. Если приложению доступна некоторая конфиденциальная информация (например, имена других пользователей или системная база данных паролей), то вряд ли вы захотите показывать ее противнику. Наткнуться на такую ловушку можно, в частности, если приписать в начало имени файла, полученного из не заслуживающего доверия источника, некий «зашитый» в программу путь, например в случае Unix–машины – «/var/myapp/». Если библиотечные функции умеют разрешать относительные пути, то противник может подсунуть, например, такое имя: «../../etc/passwd». Это плохо, если приложению разрешено читать системные
Греховность C/C++ в Windows
В следующем фрагменте разработчик рассчитывал на нормального пользователя, полагая, что тот укажет обычное имя файла, но забыл, что бывают и другие представители рода человеческого. Если такой код является частью серверной программы, то дело может закончиться плохо. Ведь если противник задаст имя устройства (например, порта принтера: lptl), то сервер перестанет отвечать до тех пор, пока устройство не вернет управление по тайм–ауту.
void AccessFile(char * szFileNameFromUser) {
HANDLE hFile =
CreateFile(szFileNameFromUsers,
0, 0,
NULL,
OPEN_EXISTING,
0,
NULL);
Греховность C/C++
Следующий код дает классический пример гонки за доступ к файлу. Между обращениями к access(2) и ореп(2) операционная система может переключиться на другой процесс. Если в течение этого промежутка времени файл /tmp/splat будет удален, то приложение завершится аварийно.
#include «sys/types.h»
#include "sys/stat.h"
#include "unistd.h"
#include "fcntl.h"
const char *filename = "/tmp/splat";
if (access(filename, R_OK) == 0) {
int fd=open(filename, O_RDONLY);
handle_file_contents(fd);
close(fd);
} else {
// обработать ошибку
}
Греховность Perl
И снова программа обращается к файлу по имени. Она определяет, разрешено ли читать файл пользователю, запустившему сценарий, и если это так, то читает его содержимое. Греховность, как и в предыдущем примере на C/C++, заключается в том, что между проверкой и чтением файл мог исчезнуть.
#!/usr/bin/perl
my $file = "$ENV{HOME}/.config";
read_config($file) if -r $file;
Греховность Python
А здесь ошибка не так очевидна:
import os
def safe_open_file(fname, base="/ver/myapp"):
# Убрать \'..\' и \'.\'
fname = fname.replace(\'../\', \'\');
fname = fname.replace(\'./\', \'\');
return open(os.path.join(base, fname))
Программа пытается воспрепятствовать атаке с проходом по каталогам. Но есть две проблемы. Во–первых, удаление недопустимых символов в данном случае представляется неверной стратегией. Если обнаружено две точки, то почему сразу не завершить программу – ведь этого не должно быть?
Во–вторых, метод replace не достигает той цели, которую поставил перед собой автор кода. Что произойдет, если противник подсунет такую строку: «…/….///»? А вот что:
□ При первом обращении к replace будут произведены две замены и останется «…///».
□ При втором обращении к replace
будет произведена одна замена и останется «../».Сюрприз!
Родственные грехи
Если говорить о гонках, то этот грех очень близок к греху 16, но проблематика доступа к файлам не исчерпывается одними лишь гонками. Прочитав эту главу, сразу же познакомьтесь с грехом 16.
Где искать ошибку
Вашу программу можно заподозрить в грехе, если:
□ она обращается к файлам, имена которых задаются извне;
□ она обращается к файлам исключительно по именам, а не по описателям или дескрипторам;
□ она открывает временные файлы в общедоступных каталогах, причем имя временного файла можно предсказать.
Выявление ошибки на этапе анализа кода
Простейший способ обнаружить этот грех во время анализа кода – найти все функции ввода/вывода, в особенности те, где используются имена файлов. Выявив такую функцию, задайте себе следующие вопросы:
□ Откуда поступает имя файла? Можно ли ему доверять?
□ Используется ли это имя файла более одного раза для проверки существования и манипулирования файлом?
□ Находится ли файл в той части файловой системы, к которой потенциально может иметь доступ противник?
□ Может ли противник задать имя так, чтобы оно указывало на файл, к которому он не должен иметь доступа?
Вот перечень типичных функций и операторов ввода/вывода, которые следует искать в программе.
Использование этих функций не обязательно приводит к каким–либо проблемам. Например, в современных системах Unix самые популярные функции создания временных файлов атакам не подвержены. Но если ваша программа работает в слегка устаревшей системе, то неприятности возможны.
Тестирование
Самый простой способ найти ошибки типа «это не файл» и «проход по каталогам» – подать на вход приложения случайные имена файлов и посмотреть, как оно будет реагировать. В частности, попробуйте такие имена:
□ AUX
□ CON
□ LPT1
□ PRN.TXT
□..\..\AUX
□ /dev/null
□ /dev/random
□ /dev/urandom
□ ../../dev/random
□ \\servername\c$
□ \\servername\ipc$
Проверьте, не зависнет ли приложение, не завершится ли оно аварийно. Если это случится, значит, вы нашли место, где программа ожидает только «честного» имени файла! Посмотрите также, можете ли вы обратиться к файлам, к которым не должны иметь доступа, например к файлу /etc/passwd в Unix.
Как и для многих других грехов, описанных в этой книге, наиболее продуктивный способ выявления ошибок – это качественный анализ кода с точки зрения безопасности.Примеры из реальной жизни
Следующие примеры взяты из базы данных CVE .
CAN–2005–0004
Сценарий mysqlaccess, входящий во многие версии MySQL, позволяет локальному пользователю затереть произвольный файл или прочитать содержимое временных файлов путем атаки с организацией символической ссылки на временный файл. Частично в ошибке повинна функция POSIX::tmpnam, которая возвращает предсказуемое имя временного файла! Если противник сможет создать символическую ссылку на конфиденциальный файл с таким же именем, то во время запуска сценария привилегированным пользователем этот файл будет затерт.