XSS 3강_웹 서비스 분석, 취약점 분석, 익스플로잇

1. 웹 서비스 분석

#### 1. 엔드포인트:/vuln ``` @app.route("/vuln") def vuln(): param = request.args.get("param", "") # 이용자가 입력한 vuln 인자를 가져옴 return param # 이용자의 입력값을 화면 상에 표시 ```

• 위는 vuln페이지를 구성하는 코드다. 코드를 살펴보면 이용자가 전달한 param 파라미터의 값을 출력한다.
  
  

2. 엔드포인트:/memo

@app.route('/memo') # memo 페이지 라우팅
def memo(): # memo 함수 선언
    global memo_text # 메모를 전역변수로 참조
    text = request.args.get('memo', '') # 사용가 전송한 memo 입력값을 가져옴
    memo_text += text + '\n' # 사용가 전송한 memo 입력값을 memo_text에 추가
    return render_template('memo.html', memo=memo_text) # 사이트에 기록된 memo_text를 화면에 출력

• 다음은 memo페이지를 구성하는 코드다. 코드를 살펴보면, 이용자가 전달한 memo파라미터 값을 render_template함수를 통해 기록하고 출력한다.
  
  

3. 엔드포인트:/flag

def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome("/chromedriver", options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True
    
def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)
    
@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'
        return '<script>alert("good");history.go(-1);</script>'

- 다음은 flag 페이지를 구성하는 코드다. - 코드를 살펴보면, 메소드에 따른 요청마다 다른 기능을 수행하는 것을 알 수 있다. - `Get`: 이용자에게 URL을 입력받는 페이지를 제공 - `Post`: `params`파라미터에 값과 쿠키에 flag를 포함해 `check_xss`함수를 호출한다. `check_xss`는 `read_url`함수를 호출해 vuln 엔드포인트에 접속한다.
### 2. 취약점 분석S
- vuln과 memo 엔드포인트는 이용자의 입력값을 페이지에 출력 - memo는 `render_template`함수를 사용해 memo.html을 출력 - `render_template`함수는 XSS가 발생하지 않으나 vuln은 이용자가 입력한 값을 페이지에 그대로 출력하기 때문에 XSS가 발생
``` @app.route("/vuln") def vuln(): param = request.args.get("param", "") # 이용자가 입력한 vuln 인자를 가져옴 return param # 이용자의 입력값을 화면 상에 표시 ```
### 3. 익스플로잇
- 따라서 /vuln엔드포인트에서 발생하는 XSS 취약점을 통해 임의 사용자의 쿠키를 탈취해야 한다. - 탈취한 쿠키를 전달받기 위해 외부에서 접근 가능한 웹 서버를 사용하거나 문제에서 제공하는 memo 엔드포인트를 사용 가능

1. 쿠키 탈취: memo 페이지 사용

• flag엔드포인트에서 다음과 같은 익스플로잇 코드를 입력하면 memo 엔드포인트에서 임의 사용자의 쿠키 정보를 확인 가능

2. 쿠키 탈취: 웹 서버 사용

• 외부에서 접근 가능한 웹 서버를 통해 탈취한 쿠키 확인 가능
• 해당 서비스에서 제공하는 Request Bin 기능은 이용자의 접속 기록을 저장하기 때문에 해당 정보 확인 가능(URL 접속기록 저장)

tools.dreamhack.games