🤔 몰래 이상한 곳으로!

해킹 알려줄게

21화: Open Redirect

안녕하세요! 오늘 해킹 알려줄게는 Open Redirect 취약점입니다. 이전의 취약점보다는 다소 간단하니 차근차근 살펴보도록 해요! 😄

Redirect가 뭐예요? 🤨

우선 Redirect는 Re + direct로 다시 지정한다는 의미가 있어요.

예를 들어서 ㅇㅇ학교 보안학과 네이버 카페에 가입된 학생 회원만 볼 수 있다고 생각해보죠. 가입된 학생 회원이어도 네이버에 로그인되어 있지 않으면 해당 글의 URL을 입력하여 접근할 때 로그인 페이지로 리다이렉트 됩니다.

Open Redirect 취약점이 뭐예요? 🤨

정상적인 웹 사이트가 사용자에게 고정 URL로 리다이렉션하거나, 사용자가 제공한 매개변수를 기반으로 리다이렉션 URL을 안전하게 구성하면 문제없어요.

하지만, 합법적인 웹 사이트가 사용자가 제공한 매개변수를 기반으로 리다이렉션 URL을 구성하지만 충분히 필터링하거나 검증하지 않는 경우와 사용자가 대상 리다이렉션 URL을 지정하도록 허용한다면 문제가 발생하겠죠.

이 간단한 PHP 코드를 볼까요?

해커가 GET 요청의 url 매개변수 값에 아무 필터링 없이 악의적인 웹사이트 URL을 제공할 수 있고 이 대상 URL이 Location 헤더로 전송되어 사용자를 악의적인 웹 페이지로 이동시키기 때문에 Open Redirect가 발생하게 됩니다.

어떤 문제가 발생하나요?

우선 대표적으로 피싱 공격에 사용됩니다. 피싱공격에 대한 이야기는 [해킹 알려줄게] 사회공학기법에서 다시 볼 수 있어요! 피싱에 대해 간단히 다음과 같이 설명했었어요.

예를 들어서 은행에서 이메일이 와서 위장된 홈페이지에 접속해서 계좌번호, 비밀번호 등 비밀 정보를 입력함으로써 사용자의 정보를 빼내거나, 또는 단지 피해자의 컴퓨터에 악성코드를 설치하는 공격을 말합니다. 중요한 것은 신뢰성 있는 것처럼 가짜 홈페이지를 위장하여 피해자를 불러오게 하는 것이죠. 📓

이처럼 Open Redirect의 피싱 공격은 합법적인 웹 사이트에 대한 사용자의 신뢰를 악용하기 때문에 속아 넘어가기 쉽습니다.

예를 들어, 해커는 https://www.google.com/search?btnI&q=//attacker.com 같은 URL을 생성할 수 있어요. 사용자가 google만 보고 신뢰하며 클릭하기를 기다리는 거죠. 😓

자신이 저런 URL에는 속지 않아! 하시는 분 있나요? 그럼 https://www.google.com/search?btnI&q=//%61%74%74%61%63%6B%65%72%2E%53%6F%6D 는 어때요?

실제 상황은 이렇게 URL 인코딩을 사용하여 위장하고 추가 매개변수의 긴 문자열에 묻혀 있을 수도 있어요.

그리고 저번에 XSS 기억하시나요? [해킹 알려줄게] XSS(Cross Site Scripting)

Open Redirect로 바로 XSS가 또 발생할 수도 있습니다. 😬

javascript: 프로토콜을 허용하는 DOM 기반 리다이렉션의 경우에 JavaScript 코드가 실행될 수 있어요.

버그바운티 플랫폼 HackerOne에 제보된 아주 간단한 취약점 레포트를 예시로 설명해 드릴게요.

XSS and Open Redirect on MoPub Login

MoPub 로그인 페이지 https://app.mopub.com/login?next=https://google.com에서 next 매개변수를 수정하는 것만으로 Open Redirect가 발생합니다. 또한 JavaScript도 실행되어 XSS로 이어질 수 있어요.

아래 사진은 next = javascript:alert("proof of concept");으로 수정하여 실행한 결과입니다.

Open Redirect를 어떻게 막을 수 있나요? 🤔

가장 간단한 방법은 리다이렉트를 사용하지 않는 것이지만, 항상 그럴 수는 없겠죠.

다른 많은 취약점과 마찬가지로 Open Redirect 취약점은 주로 검증되지 않은 사용자 입력으로 발생합니다. 위험을 최소화하려면 사용자에게 권한이 있는지 확인하고, URL이 안전한지 여부를 확인하기 위해 입력을 검증하는 과정이 있어야 합니다. 거부 목록(block list)보다 신뢰할 수 있는 URL 목록, 즉 허가 목록(allow list)을 사용하여 검사하는 편이 좋겠네요.

자세한 권장 사항은 OWASP Unvalidated Redirects and Forwards Cheat Sheet를 참조해주세요!

그럼 다음 주에는 더 유익한 "해킹 알려줄게"로 돌아올게요~ 😎

✏️ 해킹짹짹 뉴스레터에서 다루는 기술들은 오로지 교육적인 목적으로 사용되며, 이를 악용하여 발생하는 모든 책임은 본인에게 있습니다.

by y00n_nms

해킹짹짹 뉴스레터 후원하기(카카오페이)

지속해서 더 좋은 뉴스레터를 제공하기 위한 것으로 긍정적으로 생각해주시면 감사하겠습니다!

카카오뱅크 3333-21-5085994 ㅎㅅㅇ

오늘 전해드린 내용이 마음에 드셨나요?

주위 친구들에게 뉴스레터를 추천해주세요!

다음주에도 알찬 내용으로 돌아오겠습니다. 😙