[취약점] Relative Path Overwrite

Relative Path Overwrite (RPO)

Relative Path Overwrite (RPO)는  상대 경로의 URL을 덮어써서 의도하지 않은 동작을 수행하는 공격 방법이다.

서버와 브라우저가 상대 경로를 해석하는 과정에서 발생하는 차이점을 이용하는 것이다. 

Relative Path Confusion이라고도 불린다. 

 

RPO를 웹에서 이야기할 땐 link, script 등 resource를 읽어오는 과정에서 Host가 포함되지 않은 URL을 Relative URL이라고 하고, 이를 Overwrite할 수 있는 경우에 resource의 주소 등을 조작하여 공격자가 원하는 액션으로 유도할 수 있게 된다. (대표적으로 XSS)

Path Description Example

Absolute URL	Host가 포함된 URL	<script src = "https://www.hahwul.com/file.js”>
Relative URL	Host가 포함되지 않은 URL	<src=”/file.js”>

 

절대 경로 / 상대 경로

• 절대 경로 (Absolute Path): URL이나 파일 시스템에서 최상위 시작점 (루트)으로부터의 전체 경로를 명시합니다. 웹에서 이는 도메인 이름 뒤의 최상위 경로인 '/' (슬래시)로 시작합니다. 예를 들어, <script src="/app/main.js"></script>에서 src 속성은 도메인의 루트 경로로부터 시작하는 절대 경로를 나타내고, 이는 웹 서버의 최상위 디렉토리에서 /app/main.js 파일을 찾도록 합니다.
• 상대 경로 (Relative Path): 현재 문서의 위치를 기준으로 경로를 지정합니다. 만약 현재 문서가 http://example.com/docs/article.html일 때, 상대 경로 app/main.js는 http://example.com/docs/app/main.js를 참조하게 됩니다. 이 경우에는 <script src="app/main.js"></script>처럼 맨 앞에 슬래시가 없습니다. 현재 문서의 위치(이 경우는 /docs/)에서 app/main.js를 찾게 됩니다.

url rewrite 기능을 사용하면 웹 어플리케이션 스크립트명 이하의 경로를 별도로 지정해도 같은 페이지가 조회되는 경우가 존재한다. 기본적으로 웹 서버에 URL을 요청할 때, URL 내의 경로는 웹 서버가 해당 리소스를 찾기 위한 지침으로 사용된다. 이때, 웹 서버는 URL rewrite 기능을 이용하여 특정 패턴의 경로를 다른 경로로 재지정할 수 있다.

예를 들어, /index.php/somepath의 요청을 받았을 때, 웹 서버는 URL의 /index.php 부분만을 처리하여 해당 스크립트를 실행할 수 있으며, /somepath는 무시할 수 있다.

 

그러나 이 때 만약 웹 페이지 내부에서 다른 자원을 참조하는 경우, 새로운 문제가 발생할 수 있다.

예를 들어 다음과 같이 스크립트를 로드하는 태그가 두 개 있을 때,

첫 번째 줄과 두 번째 줄의 차이는 src 속성 맨 앞에 존재하는 /의 차이가 있다.

<script src="/app/main.js"></script>
<script src="app/main.js"></script>

 

첫 번째 줄은 앞에 존재하는 /에 의해 스크립트 로드 시 최상위 경로부터 시작하여 탐색 (절대 경로)하고 로드한다.

반면에 두 번째 줄의 스크립트는 현재 경로에서 시작하여 탐색 (상대 경로)하고 로드한다.

 

- http://host/rpo.php에 요청한 경우 (즉, 현재 위치가 최상위 경로와 일치할 때)

rpo.php에 위 두 스크립트 태그를 작성한 후 http://host/app/main.js 와 같이 접근 시 같은 경로에 존재하는 /app/main.js를 로드한다.

https://learn.dreamhack.io/575

- http://host/rpo.php/에 요청한 경우 (즉, 현재 위치와 최상위 경로가 다를 때)

그러나 URL에 추가로 슬래시(/)가 포함되어 http://host/rpo.php/와 같이 요청될 경우, 상대 경로를 사용하는 두 번째 <script> 태그가 문제를 일으킬 수 있다.

이 경우, 브라우저는 /rpo.php/를 현재 디렉토리로 간주하고, /rpo.php/app/main.js 경로로 자원을 요청하게 된다. 

https://learn.dreamhack.io/575

 

즉, index.php의 페이지 내용을 자바스크립트의 내용으로써 사용할 수 있게 된다.

 

Relative Path Overwrite (RPO) 공격 방법

RPO는 일반적으로 자바스크립트나 스타일시트 코드를 로드하는 과정에서 경로 해석의 문제로 인해 발생한다.

따라서 임포트하는 페이지의 내용을 조작시킬 수 있다면 공격자가 의도한 자바스크립트, 스타일시트 코드를 로드시킬 수 있다.

 

자바스크립트와 연계

만약 RPO 취약점으로 로드하는 자바스크립트 코드의 앞 부분을 공격자가 조작할 수 있다면, XSS 공격으로의 연계가 가능하다. 예를 들어 공격자가 RPO 취약점을 통해 원래 /static/script.js로 로드되어야 할 파일을 /USER_INPUT/static/script.js의 형태로 로드할 수 있을 때 서버에서 /USER_INPUT/static/script.js가 포함된 채로 반환한다면 XSS 공격이 가능하다.

이 경우 공격자는 USER_INPUT 부분을 조작하여 index.php/;alert(1);//static/script.js와 같은 형태로 경로를 구성한다면 해당 내용이 script 태그의 src로 들어가 alert(1); 이라는 코드를 실행하는 것이 가능하다. 여기서 ;를 사용하여 statement가 끝이라는 것을 알려주고 //를 이용하여 자바스크립트에서 해석할 수 없는 단순 문자열을 주석 처리한다. 이처럼 자바스크립트는 로드하는 코드 내에서 에러가 발생할 경우, 전체 코드를 실행하지 않기 때문에 문법 에러가 발생하지 않도록 신경써야 한다.

 

CSS와 연계

스타일시트의 특징 중 하나로 올바르지 않은 문법을 만나면 무시하고 올바른 문법이 나올 때까지 다음 문법으로 넘어간다는 특징이 존재한다.

즉, RPO 취약점을 이용해 올바르지 않은 스타일시트 페이지를 임포트하도록 하고, 해당 페이지 내 일부분에 유효한 CSS 문법을 삽입할 수 있다면 이를 CSS Injection으로 연계할 수 있다.

스타일시트를 이용한 공격은 자바스크립트와 다르게 문법에 맞지 않는 코드가 나와도 정상적으로 나머지 코드를 실행할 수 있기 때문에 자바스크립트를 이용한 XSS 공격보다 좀 더 제약조건이 줄어든다. 만약 자바스크립트를 이용한 XSS 공격이 까다롭다면, CSS Injection으로 공격하는 것도 좋은 예시이다.

실제로 과거 구글에서 RPO 취약점을 이용해 CSS Injection으로 연계하여 구글 버그바운티 포상을 제공한 이력도 존재한다.

 

base-uri 미지정

만약 임의의 태그를 삽입할 수 있고, 페이지 내에 RPO 취약점이 존재한다면, 공격자가 원하는 스크립트를 로드할 수 있다. 공격자는 자신의 서버를 base 주소로 설정하고 로드되는 스크립트 파일과 같은 이름의 악성 스크립트를 생성하여 실행시킬 수 있다.

 

 

[참고]

https://learn.dreamhack.io/575

https://www.hahwul.com/cullinan/rpo