XSS(Cross-site Scripting) 공격

📌CS/Web

XSS(Cross-site Scripting) 공격

dar0m! 2021. 4. 25. 20:25

개념

Cross-site Scripting의 약자로 게시판이나 웹 메일 등에 스크립트 코드를 삽입해 개발자가 고려하지 않은 기능이 작동하게 하는 웹 해킹 공격 기법이다. 주로 사용자를 대상으로 한 공격이다.

SQL injection과 함께 웹 상에서 가장 기초적인 취약점 공격 방법의 일종이다.

주로 CSRF를 하기 위해서 사용되기 때문에 종종 CSRF와 혼동되는 경우가 있으나, XSS는 스크립트를 실행시키는 것이고, CSRF는 특정한 행동을 시키는 것이므로 다르다.

(CSS는 Cascading Style Sheets의 약어로 사용되고 있어 XSS라고 한다.)

종류

Reflected XSS
Stored XSS

1. Reflected XSS

Reflected XSS 공격 순서 ( 출처 : https://4rgos.tistory.com/1 )

보통 URL 파라미터(특히 GET 방식)에 스크립트를 넣어 서버에 저장하지 않고 그 즉시 스크립트를 만드는 방식이다.

공격자는 스크립트 삽입시 실행이되는 취약점이 존재하는 페이지를 미리 탐색한 후, XSS 공격을 위한 스크립트가 포함된 URL을 공격 대상자에게 노출시키는 방법으로 수행할 수 있다.

후술된 내용 대부분은 Stored XSS라고 생각하면 된다. Reflected XSS의 경우 브라우저 자체에서 차단하는 경우가 많아 상대적으로 공격을 성공시키기 어렵다.

2. Stored XSS

Stored XSS 공격 순서 ( 출처 : https://4rgos.tistory.com/1 )

웹 사이트의 게시판이나 댓글, 닉네임 등 스크립트가 서버에 저장되어 실행되는 방식이다. 공격자는 게시판에 스크립트를 삽입한 후 공격 대상자가 해당 게시글을 클릭하도록 유도한다.

공격자는 XSS 공격에 취약한 웹 사이트를 탐색하고 XSS공격을 위한 스크립트를 포함한 게시글을 웹 사이트에 업로드한다. 게시글의 URL을 사용자에게 노출하고 사용자가 게시글을 확인하면 URL에 대한 요청을 서버에 전송한다. 웹 서버에서 스크립트를 포함한 응답이 사용자에게 전송되어 공격이 수행된다.

XSS 피해 사례

쿠키 정보 및 세션 ID 획득
- 세션 ID 등을 쿠키에 포함하는 경우, XSS 공격을 통해 사용자의 세션 ID를 획득해 공격자가 불법적으로 정상 사용자인척 할 수 있다.
시스템 관리자 권한 획득
- 다양한 악성 데이터를 포함시킨 후 사용자의 브라우저가 악성 데이터를 실행하게끔 유도할 수 있다. 이로 인해 사용자의 시스템을 통제하여 중요 정보가 탈취될 수 있다.
악성코드 다운로드 (유도)
- 악성 스크립트 자체로 악성 프로그램을 다운로드할 수는 없지만, 악성 스크립트가 포함된 URL 클릭을 유도해 악성 프로그램을 다운받는 사이트로 리다이렉트할 수 있다.
거짓 페이지 노출
- <img> 태그를 사용해 원래 페이지와는 전혀 관련 없는 페이지를 표시할 수 있다.
- 개인 정보 유출 등의 위험이 있다.

XSS 방지법

IPS, IDS, 방화벽으로도 방지할 수 없기 때문에 단순히 문자를 필터링하는 것과 같은 방법만이 존재한다.

필터 제작
- XSS 공격은 입력값에 대한 검증이 제대로 이루어지지 않아 발생하는 취약점이다. 따라서 모든 입력값에 대해 필터링해야 한다.
  - HTML 코드가 아닌 단순 문자로 인식하게 한다. (HTMLEntities)
  - 모든 특수문자를 HTML 엔티티로 변환한다.
  - HTML 엔티티는 '&약어;' 및 '&#숫자;' 형태로 표현하는 것을 의미한다.
    - <와 >를 각각 '<'와 '>' 로 변환
BBCode 사용
- 따로 필터를 만들기 어려운 경우 사용할 수 있다. 만들기 편하고, 안정성도 높은 편이다.
쿠키의 보안 옵션 사용
- 쿠키 생성시 '보안 쿠키'라는 파라미터를 지정하면 TLS 상에서만 사용하게 할 수 있다.
콘텐츠 보안 정책(CSP) 사용
- 스크립트 실행에 대한 정책(조건)을 설정해 예방하는 방법
- 출처가 자기 서버인 스크립트만 실행될 수 있도록 한다.

참고

저작자표시 비영리 변경금지