XSS(Cross-Site Scripting)

XSS (크로스 사이트 스크립팅)

이번 면접에서 XSS가 무엇인지 설명해 달라는 질문을 받고 보안적 이슈라고만 알고 있었던 부분에 반성하며 기록해본다.😅

 

 

XSS란 ?

웹 상에서 가장 기초적인 취약점 공격 방법이다. 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법을 말하며 공격에 성공하게 될 경우 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되고, 의도치 않은 행동을 수행시키거나 쿠키, 세션 토큰 등의 정보를 탈취한다.

 

공격 방법 ⚔️

Stored XSS (저장형 크로스 사이트 스크립팅)

Stored Xss 공격은 보안이 취약한 서버에 악성스크립트를 저장하여 발생시킨다.

서버에 악성 스크립트를 저장하는 방법은 여러가지가 있겠지만 대표적인 방법은 게시판, 사용자 프로필, 댓글 등을 통해 서버에 저장한다.

 

예시)

출처: https://xss-game.appspot.com/level2

해당 사이트는 xss 공격을 해볼 수 있도록 간단하게 테스트 하라고 만든 사이트 인것 같다.

레벨2 문제를 보면 글을 입력하면 내가 쓴글이 서버에 저장 되는 형식이다. 이건 Stored XSS 의 조건인 서버에 내가 쓴 스크립트를 저장할 수도 있다는 뜻이다.

출처: https://xss-game.appspot.com/level2

<script>alert('1')</script> 를 입력하고 Share status! 를 눌러봤지만 아무것도 나오지않는다. 서버에 script 태그를 사용하는것을 막아놓은 것으로 보인다.

출처:https://xss-game.appspot.com/level2

기존에 있던 게시글을 살펴보면 텍스트 안에서 html태그 사용이 가능한것을 확인할 수 있다. 즉 html 태그를 서버에 저장할 수 있다는건데 img 태그를 이용하면 onerror 이벤트를 통해 내 스크립트를 서버에 저장할 수 있다!

출처:https://xss-game.appspot.com/level2

 

Reflected XSS (반사형 크로스 사이트 스크립팅)

Reflected XSS는 특정 파라미터 값을 통해서 공격하는 방식으로 검색, 에러메시지, URL 등 사용자가 입력한 값이 페이지에 반사되어 노출되는 경우 해당 URL에 공격코드를 포함시켜 피싱메일 등을 통하여 전달하는 방식으로 공격합니다.

출처:https://xss-game.appspot.com/level1

출처:https://xss-game.appspot.com/level1

input창에 입력한 값이 URL에 그대로 적용되는 모습을 볼 수있다. 이 태그에 악의적 스크립트를 추가하여 URL을 복사한 후 메일로 보내게 되면 링크를 클릭 시 악성 스크립트가 실행되게 된다.

출처:https://xss-game.appspot.com/level1

출처:https://xss-game.appspot.com/level1

alert 스크립트를 넣은 테스트사이트 : https://xss-game.appspot.com/level1/frame?query=%3Cscript%3Ealert(%27%EC%BF%A0%ED%82%A4%ED%83%88%EC%B7%A8%27)%3C/script%3E

 

만약 위 링크가 악의적 스크립트가 있는 코드였고 메일로 보내졌을때 클릭했다면 내 브라우저의 쿠키를 탈취당할 수 있다.

 

Dom Based XSS (돔 기반 크로스 사이트 스크립팅)

DOM 기반 XSS 공격은 보안에 취약한 JavaScript 코드로 DOM 객체를 제어하는 과정에서 발생. 즉 http 응답 값에는 악성 스크립트가 포함되지 않아 서버측이 아닌 브라우저에서 발생하는 공격이다.

해당 공격도 동일하게 피싱메일 등을 통해 전달된 링크를 클릭 시 실행하게 되는데 위에 반사형 XSS와 조금 다르다.

 

반사형 XSS : URL주소와 함께 악성 스크립트가 서버에 전달 -> 서버는 URL에 담김 스크립트 문자열을 추출 -> 서버에서 응답할 HTML 문서에 악성스크립트를 그대로 담아 비정상 HTML을 전달해줌.

 

돔 기반 XSS : 서버로 부터 정상적인 HTML 문서 전달받음 -> 브라우저가 HTML 파싱 -> 파싱 중 URL에 담긴 스크립트를 추출 -> 악성 스크립트 실행

 

해당 공격은 참고할만한 예시 사이트를 찾게되면 추가하겠다.

 

대응 방안 🛠️

1. 입력값 검증

입력데이터의 길이를 제한하거나 지정된 문자또는 형식으로 입력되었는지 확인하고 규칙을 벗어난 입력값들은 무효화 시키는 방법.

 

2. 출력값 검증

사용자가 입력한 값이 출력될 때 <, >, & 등등 내용에 있는 HTML, 또는 스크립트 구문으로 해석될 가능성이 있는 값들을 HTML entitycode 로 변환하는 방법.

 

3. 보안  라이브러리 사용

AntiXSS, OWASP ESAPI 등 XSS 취약점을 예방해주는 라이브러리 등을 활용한다.

 

XSS공격 방지 7계명

1. 허용된 위치가 아닌 곳에 신뢰할 수 없는 데이터가 들어가는 것을 허용하지 않는다.
2. 신뢰할 수 없는 데이터는 검증을 하여라
3. HTML속성에 신뢰할 수 없는 데이터가 들어갈 수 없도록 해라
4. 자바스크립트에 신뢰할 수 없는 값이 들어갈 수 없도록 해라
5. CSS의 모든 신뢰할 수 없는 값에 대하여 검증해라
6. URL파라미터에 신뢰할 수없는 값이 있는지 검증해라
7. HTML코드를 전체적으로 한번더 검증해라

XSS 공격은 워낙 다양하고 많아 모든 예방이 불가능하다고 한다. 개발자의 꾸준한 관리와 감시가 필요한 부분인 것 같다.