Race condition in applicazioni PHP

Race condition in applicazioni PHP

Davide Marrone
davide@skebby.com

Chi sono?

Sviluppatore PHP dal 2000
Fondatore & CTO di Skebby

http://phpday.it - #phpday - davide@skebby.com Race condition in applicazioni PHP

Attivit` “underground”
a


Sommario

1 Introduzione
Race condition
Un esempio in un’applicazione tradizionale
Race condition in applicazioni web

2 Race condition in PHP
Analisi di un’applicazione vulnerabile
Individuazione automatica di race condition
Vulnerabilit` legate alle race
a

3 Exploiting di una race condition
Realizzazione di un attacco
Soluzioni per evitarle


Introduzione Race condition in PHP Exploiting Race condition Esempio Applicazioni web

Race condition

Cosa sono?
Comportamento anomalo dovuto ad una dipendenza tra
eventi temporali non previsti
Si veriﬁcano se il risultato di alcuni passi di computazione
dipende dall’ordine con cui lo scheduler imposta l’esecuzione
dei singoli thread
Nascono da un uso improprio di risorse condivise da parte di
uno o pi` processi che non usano appropriati meccanismi di
u
sincronizzazione



Esempio di Race condition




Possibili interleaving

x=1
y = 12




Possibili interleaving

x=1
y = 12

x=1
y=6



Concorrenza nelle applicazioni web

Le applicazioni web sono composte tipicamente da diﬀerenti
script che eseguono un task sequenziale ben deﬁnito
Gli script possono accedere a risorse condivise (es., database)
Istanze multiple degli script sono eseguite concorrentemente
Le race condition sono un problema ben noto ma il loro
impatto sulle applicazioni web non ` stato esplorato a fondo
e



Concorrenza nelle applicazioni web

Le applicazioni web sono composte tipicamente da diﬀerenti
script che eseguono un task sequenziale ben deﬁnito
Gli script possono accedere a risorse condivise (es., database)
Istanze multiple degli script sono eseguite concorrentemente
Le race condition sono un problema ben noto ma il loro
impatto sulle applicazioni web non ` stato esplorato a fondo
e

Problema
I programmatori web non considerano le loro applicazioni come
entit` multi-thread o multi-processo
a
Esecuzioni parallele impreviste possono portare a
comportamenti inattesi
Le primitive di sincronizzazione sono usate raramente



Funzionamento delle applicazioni web
Richiesta singola

browser web

richiesta pagina

server web
nuovo processo/thread

interprete

script

DB query



Richieste multiple in parallelo

browser web1 browser web2

richiesta pagina richiesta pagina

server web
nuovo processo/thread nuovo processo/thread

interprete interprete

script script

query DB query



Richieste multiple in parallelo

browser web1 browser web2

richiesta pagina richiesta pagina

server web
nuovo processo/thread nuovo processo/thread

interprete interprete

script
accesso concorrente al script
DB

query DB query


Introduzione Race condition in PHP Exploiting Esempio Rilevazione automatica Vulnerabilit`
a

PHP - risorse condivise

Sessioni => accesso gestito correttamente da PHP
Filesystem => ci deve pensare il programmatore (es, ﬂock)
Database => ci deve pensare il programmatore


a

PHP - risorse condivise

Sessioni => accesso gestito correttamente da PHP
Filesystem => ci deve pensare il programmatore (es, ﬂock)
Database => ci deve pensare il programmatore

Sessioni in PHP


a

Esempio script vulnerabile

1 $query = mysql_query(’SELECT credito FROM Utente ’
.’WHERE id = ’. $id);
2 $riga = mysql_fetch_assoc($query);
3 if($riga[’credito’] >= 80) {
4 <esecuzione dell’operazione di trasferimento credito>
5 $nuovoCredito = $riga[’credito’] - 80;
6 mysql_query(’UPDATE Utente SET credito = ’ . $nuovoCredito
.’ WHERE id = ’ . $id);
7 }

P1 P2 Database
Linea Dati Linea Dati ID Credito
50 450
12 100
96 750
35 110
... ...


a


.’ WHERE id = ’ . $id);
7 }

P1 P2 Database
2 (id: 12, credito: 100) ⊥ ⊥ 50 450
12 100
96 750
35 110
... ...


a


.’ WHERE id = ’ . $id);
7 }

P1 P2 Database
2 (id: 12, credito: 100) ⊥ ⊥ 50 450
4 (id: 12, credito: 100) 1 ⊥ 12 100
96 750
35 110
... ...


a


.’ WHERE id = ’ . $id);
7 }

P1 P2 Database
2 (id: 12, credito: 100) ⊥ ⊥ 50 450
4 (id: 12, credito: 100) 1 ⊥ 12 100
4 (id: 12, credito: 100) 2 (id: 12, credito: 100) 96 750
35 110
... ...


a


.’ WHERE id = ’ . $id);
7 }

P1 P2 Database
2 (id: 12, credito: 100) ⊥ ⊥ 50 450
4 (id: 12, credito: 100) 1 ⊥ 12 100
5 (id: 12, nuovo: 20) 4 (id: 12, credito: 100) 35 110
... ...


a


.’ WHERE id = ’ . $id);
7 }

P1 P2 Database
2 (id: 12, credito: 100) ⊥ ⊥ 50 450
4 (id: 12, credito: 100) 1 ⊥ 12 20
6 (id: 12, nuovo: 20) 4 (id: 12, credito: 100) ... ...


a


.’ WHERE id = ’ . $id);
7 }

P1 P2 Database
2 (id: 12, credito: 100) ⊥ ⊥ 50 450
4 (id: 12, credito: 100) 1 ⊥ 12 20
6 (id: 12, nuovo: 20) 4 (id: 12, credito: 100) ... ...
⊥ ⊥ 6 (id: 12, nuovo: 20)

a

Architettura per la rilevazione di race condition
Individuazione di race condition relative al database

Applicazione Web
Analizzatore Query interdipendenti
Oﬀ-line
Logger di query

Euristiche

DB Race


a

Analizzatore oﬀ-line
Idea
registrare le query SQL eseguite dall’applicazione
le query interdipendenti possono portare ad una race condition


a

Idea

Algoritmo per l’identiﬁcazione di query interdipendenti
Query registrate: Q = q1 , q2 , . . . , qn
∀q ∈ Q calcolo degli insiemi use(q) e def(q)
Identiﬁcazione query interdipendenti:
(qi , qj ) ∈ Q 2 : use(qi ) ∩ def(qj ) = ∅ ∧ i < j


a

Idea

Algoritmo per l’identificazione di query interdipendenti
Query registrate: Q = q1 , q2 , . . . , qn
∀q ∈ Q calcolo degli insiemi use(q) e def(q)
Identificazione query interdipendenti:
(qi , qj ) ∈ Q 2 : use(qi ) ∩ def(qj ) = ∅ ∧ i < j

Query1 Query2
SELECT credito UPDATE Utente = usati
FROM Utente SET credito = 20 = definiti
WHERE id = 12; WHERE id = 12;


a

Euristiche

Alcune condizioni presenti nelle clausole WHERE possono portare
a falsi positivi:
Query1 Query2
SELECT id DELETE = usati
FROM Sessione FROM Sessione = deﬁniti
WHERE scadenza <= 123; WHERE scadenza > 123;


a

Euristiche

Alcune condizioni presenti nelle clausole WHERE possono portare
a falsi positivi:
Query1 Query2
SELECT id DELETE = usati
FROM Sessione FROM Sessione = definiti
WHERE scadenza <= 123; WHERE scadenza > 123;

Soluzioni
Interrogazione dinamica del DB intersecando le due condizioni
presenti nelle clausole WHERE (→ efficiente ma non
completo)
Constraint solver (→ risposta completa ma poco efficiente e
non supporta tutti i costrutti SQL)


a

Il tool realizzato

Caratteristiche
Implementato per applicazioni PHP, il modulo di analisi `
e
indipendente dal linguaggio
Sono analizzate le interazioni tra istanze multiple dello stesso
script


a

Il tool realizzato

Caratteristiche
Implementato per applicazioni PHP, il modulo di analisi `
e
indipendente dal linguaggio
Sono analizzate le interazioni tra istanze multiple dello stesso
script

Race condition trovate
Applicazione Categoria Query Race
Drupal 7.0 CMS 13416 63 (3)
phpBB 3.0.8 forum 3136 58 (4)
WordPress 3.1 blog/CMS 3729 82 (3)
Magento 1.5.0.1 carrello virtuale 9453 61 (2)


a

Race condition relative alla sicurezza

Tipo di vulnerabilit`
a
Dipendenti dalle applicazioni, alcuni esempi:
Risorse limitate
Voti multipli su sondaggi
Raggiro delle protezioni contro il brute forcing
Elusione dei controlli anti-ﬂooding


a

Race condition relative alla sicurezza

Tipo di vulnerabilit`
a
Dipendenti dalle applicazioni, alcuni esempi:
Risorse limitate
Voti multipli su sondaggi
Raggiro delle protezioni contro il brute forcing
Elusione dei controlli anti-ﬂooding

Race condition in applicazioni closed-source
Individuazione dei pattern di programmazione e di race
condition dall’interfaccia pubblica
Analisi di due applicazioni reali per l’invio di SMS, entrambe
sono risultate vulnerabili


Introduzione Race condition in PHP Exploiting Realizzazione di un attacco Contromisure

Come realizzare un attacco

Obiettivo
Per sfruttare una race condition ` necessario che le richieste
e
vengano processate dal web server quasi contemporaneamente



Come realizzare un attacco

Obiettivo
Per sfruttare una race condition ` necessario che le richieste
e
vengano processate dal web server quasi contemporaneamente

Fattori che inﬂuenzano la riuscita di un attacco
Interleaving scelto dallo scheduler
Carico attuale del sistema
Latenza introdotta dalla rete
Tempo necessario al server per la creazione della connessione
Tempo impiegato per l’elaborazione dei dati ricevuti dal client



Strategie per realizzare un attacco 1/2

Strategia base - “Parallela”
Viene creato un thread per ogni richiesta da eﬀettuare
Viene inviato tutto il corpo della richiesta HTTP




Strategia base - “Parallela”
Viene creato un thread per ogni richiesta da eﬀettuare
Viene inviato tutto il corpo della richiesta HTTP

Strategia “2-fasi”
Nella prima fase viene creato un thread per ogni richiesta e
viene eﬀettuata la connessione al server web
Nella seconda fase viene inviata tutta la richiesta HTTP




Strategia “2-fasi ottimizzata”
Nella prima fase viene creato un thread per ogni richiesta




Viene eﬀettuata la connessione al server web




Su ogni connessione viene inviata la richiesta HTTP ad
eccezione dell’ultimo carattere con ﬂush dei dati




Viene inviato l’ultimo carattere: LF per una GET o l’ultimo
byte del request body per una POST




Viene inviato l’ultimo carattere: LF per una GET o l’ultimo
byte del request body per una POST

Confronto tra le strategie - 100 richieste HTTP
Strategia Ritardo Min. Ritardo Max. Ritardo Medio
Parallela 8.537 ms 7039.140 ms 2538.249 ms
2-fasi 6.353 ms 3023.917 ms 1217.697 ms
2-fasi ottimizzata 1.468 ms 2932.940 ms 903.534 ms



Come si risolve il problema?

Premessa
Mysql dalla versione 3.23 ﬁno alla versione 5.5.4 ha avuto come
engine di default MyISAM che non supporta le transazioni




Premessa

MyISAM
LOCK TABLES => problemi prestazioni, lock intera tabella




Premessa

MyISAM
GET LOCK() => permette per` un solo lock per connessione
o




Premessa

MyISAM
o

InnoDB
START TRANSACTION => transazioni ACID




Premessa

MyISAM
o

InnoDB
START TRANSACTION => transazioni ACID
SELECT ... FOR UPDATE => per bloccare altri lettori prima
delle select


Grazie per l’attenzione!

http://joind.in/3022
Davide Marrone - davide@skebby.com

Race condition in applicazioni PHP

Recommended

Recommended

More Related Content

Similar to Race condition in applicazioni PHP

Similar to Race condition in applicazioni PHP (20)

Race condition in applicazioni PHP