Exercise: XSS
드림핵 워게임 XSS-1를 통해 XSS를 연습하도록 할 것이다.
파이썬 Flask 프레임워크로 구현되어 있다. 이번 문제는 다른 사용자의 쿠키를 탈취해야 하기 때문에, 다른 사용자가 방문하는 시나리오가 필요하다.
문제 목표 및 기능
이번 문제의 목표는 XSS를 통해 임의 사용자의 쿠키를 탈취하는 것이다.
문제에서의 네 가지 페이지
| 페이지 | 설명 |
| / | 인덱스 페이지 |
| /vuln | 이용자가 입력한 값을 출력한다. |
| /memo | 이용자가 메모를 남길 수 있으며, 작성한 메모를 출력한다. |
| /flag | 전달된 URL에 임의 이용자가 접속하게끔 한다. 해당 이용자의 쿠키에는 FLAG가 존재한다. |
웹 서비스 분석
엔드포인트: /vuln
@app.route("/vuln")
def vuln():
param = request.args.get("param", "") # 이용자가 입력한 vuln 인자를 가져옴
return param # 이용자의 입력값을 화면 상에 표시vuln 페이지를 구성하는 코드이다. 코드는 사용자가 전달한 xss 파라미터의 값을 출력한다.
엔드포인트: /memo
@app.route('/memo') # memo 페이지 라우팅
def memo(): # memo 함수 선언
global memo_text # 메모를 전역변수로 참조
text = request.args.get('memo', '') # 사용가 전송한 memo 입력값을 가져옴
memo_text += text + '\n' # 사용가 전송한 memo 입력값을 memo_text에 추가
return render_template('memo.html', memo=memo_text) # 사이트에 기록된 memo_text를 화면에 출력memo 페이지를 구성하는 코드이다. 사용자가 전달한 memo 파라미터 값을 render_template 함수를 통해 기록하고 출력한다.
엔드포인트: /flag
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
try:
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome("/chromedriver", options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
# return str(e)
return False
driver.quit()
return True
def check_xss(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param")
if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'GET
사용자에게 URL을 입력받는 페이지를 제공한다.
POST
params 파라미터에 값과 쿠키에 FLAG를 포함해 check_xss 함수를 호출한다. check_xss는 read_url 함수를 호출해 vuln 엔드포인트에 접속한다.
취약점 분석
vuln 함수
@app.route("/vuln")
def vuln():
param = request.args.get("param", "") # 이용자가 입력한 vuln 인자를 가져옴
return param # 이용자의 입력값을 화면 상에 표시vuln과 memo 엔드포인트는 이용자의 입력값을 페이지에 출력한다.
memo는 render_template 함수를 사용해 memo.html을 출력한다. render_template 함수는 전달된 템플릿 변수를 기록할 때 HTML 엔티티코드로 변환해 저장하기 때문에 XSS가 발생하지 않는다.
그러나 vuln은 사용자가 입력한 값을 페이지에 그대로 출력하기 때문에 XSS가 발생한다.
익스플로잇
문제를 해결하기 위해선 /vuln 엔드포인트에서 발생하는 XSS 취약점을 통해 임의 이용자의 쿠키를 탈취해야 한다. 탈취한 쿠키를 전달받기 위해서는 외부에서 접근 가능한 웹 서버를 사용하거나 문제에서 제공하는 memo 엔드포인트를 사용할 수 있다.
공격에 사용할 수 있는 속성
| 속성 | 설명 |
| location.href | 전체 URL을 반환하거나, URL을 업데이트할 수 있는 속성값이다. |
| document.cookie | 해당 페이지에서 사용하는 쿠키를 읽고 쓰는 속성값이다. |
쿠키 탈취
memo 페이지 사용
flag 엔드포인트에서 다음과 같은 익스플로잇 코드를 입력하면, memo 엔드포인트에서 임의 이용자의 쿠키 정보를 확인할 수 있다.
<script>location.href = "/memo?memo=" + document.cookie;</script>
XSS 공격은 주로 사용자의 입력값이 출력되는 페이지에서 발생하며, 해당 공격을 통해 타 이용자의 브라우저에 저장된 쿠키 및 세션 정보를 탈취할 수 있다.
이런 문제점은 악성 태그를 필터링하는 HTML Sanitization을 사용하거나 엔티티코드로 치환하는 방법으로 해결할 수 있다.