[11] XSS(Cross Site Sctript)에 대한 html인코딩 우회 공격
- 2023.11.01 -
해당 블로그의 내용에는 실제로 웹 취약점 진단을 하는 과정이 언급되어 있습니다.
해당 게시글의 내용은 오롯이 필자의 공부와 보다 더 심도 깊은 이해를 위함이며
본 과정을 악용하여 사용하는 2차 피해에 대해서는 행위자가 법적 책임을 질 수 있으며
일어나는 모든 피해에 대해서는 책임지지 않습니다.
나는 여태 XSS 구문을 아주 단순하게 생각했다.
처음에는 구문을 몽땅 긁어와서 자주 쓰이고 눈에 익는 구문들을 사용했었다.
주로 <script>alert(1);</script> 와 같이 <script>태그를 이용한 XSS뿐이였다.
그러다 시간이 지나면서 내가 취약점 진단을 위해 구문을 입력할 때 구문들이 어떻게 바뀌며
입력한 구문들의 변화에 주목하며 치환이라는것을 알았다.
치환도 치환나름이라 어떨때는 그냥 무조건 안되겠구나 하고 넘기는게 대다수였다.
지금 생각해보면 참 단순했다.
그냥 입력해보고 안되면 끝이였으니까.
태그의 다양성은 깨달았지만 그걸 응용할 정도로의 머리까지는 안타깝게도 돌아가지 않았다.
일단 <details> 태그를 이용한 XSS를 시도해보았다.
그 다음, burp를 이용해 전송되는 데이터를 확인해보았다.
역시나 html 인코딩이 되어 대부분의 특수문자들이 치환되고 있었다.
해당 라인을 긁어보니 옆에 디코딩이되어 글자들이 복원되고 있는것을 확인했다.
근데 좀 이상한 문자열도 같이 있다.
HTTP로 인코딩이 되는걸 볼 수는 있는데..
뭔가 이상하다는걸 알 수 있다.
<p> 태그는 디코딩이 정상적으로 되었는데 그 이후 < 부터 또다르게 인코딩이 되고 있다.
그러나 입력할때는 정상적인 문자열로 입력이 되고 있는 상황..
즉 인코딩된 문자열을 다시 디코딩시켜서 일반 문자열로 표현하는 것으로 보이는데
이쪽 입력을 아예 http 인코딩으로 넣어보려고 한다.
burp에 있는 디코더라는 기능을 이용한다.
복호화뿐만아니라 반대로 인코딩하는 기능도 할 수 있다.
조금전 입력한 XSS문자열을 http로 인코딩 하는 과정을 갖는다.
그 결과 동일하게 긁어보았을 때 입력한 구문이 완성되는것을 확인할 수 있다.
XSS가 실행되지 않도록 인코딩되어진 부분에서 우회하여 새로운 XSS가 다시 실행될 수 있는 취약점이 생겼다.
해당 사이트는 현재 필자의 보고로 보안조치가 완료되어진 것을 확인할 수 있었다.
물론, 사전에 이미 협의가 된 상태이기 때문에 이부분은 불법이 아니나
언제나 딱 한걸음만 더 걷거나, 더 빠르게 되면 '사고'가 되고 곧 '사건'으로까지 확대가 된다.
사전에 협의되지 않는 모의해킹은 엄연한 불법이며
필자는 이미 해당 사이트에 이 외 다른 방법으로도 발견된 여러 취약점들이 모두 보완이 된 후 공개한다.
물론, 글과 사진에서 어떤 곳인지 특정 자체가 불가능하지만.
마 치 며
XSS는 단순히 인코딩으로 인해 방어가 쉽게 되는 줄 알았는데
오히려 인코딩 된것도 취약점으로 이어질 수 있다는 걸 깨달았다.
부족한 실력이라 전문가분들이 본다면 코웃음칠만한 게시글이지만
이 작은 배움이 조금 더 다르게 봐야하는 이유를 만들어주는 동기도 되었다.
'Hacking > Penetration Testing & CTF' 카테고리의 다른 글
[10] Sync Breeze 취약점을 이용한 악성코드 업로드(Hive 랜섬웨어) (0) | 2022.11.11 |
---|---|
[9] Kali에서 DOS공격 및 툴 설치와 패킷 탐지 (Xerosploit) (2) | 2022.11.11 |
[8] CTF:Beelzebub Linux Serv-U FTP 취약점 모의해킹 (0) | 2022.09.05 |
[7] CTF:Breakout user,rOOt 텍스트 모의해킹 (0) | 2022.09.01 |
[6] Earth리눅스 취약점 분석 및 모의해킹(w. vulnhub) (0) | 2022.08.27 |
댓글
이 글 공유하기
다른 글
-
[10] Sync Breeze 취약점을 이용한 악성코드 업로드(Hive 랜섬웨어)
[10] Sync Breeze 취약점을 이용한 악성코드 업로드(Hive 랜섬웨어)
2022.11.11 -
[9] Kali에서 DOS공격 및 툴 설치와 패킷 탐지 (Xerosploit)
[9] Kali에서 DOS공격 및 툴 설치와 패킷 탐지 (Xerosploit)
2022.11.11 -
[8] CTF:Beelzebub Linux Serv-U FTP 취약점 모의해킹
[8] CTF:Beelzebub Linux Serv-U FTP 취약점 모의해킹
2022.09.05 -
[7] CTF:Breakout user,rOOt 텍스트 모의해킹
[7] CTF:Breakout user,rOOt 텍스트 모의해킹
2022.09.01