최근 몇 주전에 모사이트 XSS 취약점을 발견하여 보고하게 되었다.

 

버그바운티를 하면서 공부할때와 리얼월드는 XSS을 찾는 방법이 차이가 있다는 것을 느꼈다.

아직 누군가에게 설명할 정도는 아니지만 초보자의 입장에서 어떻게해서 어떻게 XSS를 발견했는지를 적어보려한다.

 

 

XSS 진단

보통 XSS를 처음 공부하면 <script>alert(1)</script>식의 alert()함수를 터트리는 치트시트로 점검해야한다 생각한다.

 

alert()함수를 터트린 XSS스크립트

 

 

 

하지만 실제 웹사이트에서는 기본적인 것들은 이미 보호가 되어있어 alert()함수를 떡하니 띄어주지 않는다. alert()함수 성공 유무로 XSS를 진단 하는 것은 오래된 사이트가 아니라면 기대하기 힘들다.  alert()함수가 아닌 브라우저의 스트립트 오류를 유도하여 XSS발생 가능성을 확인하는 것이 선행되야한다.

 

XSS는 기본적으로 웹페이지에 의도치않은 스크립트가 삽입되어 발생한다.  XSS가 적용된다는 것은 <>"'--> 등 스크립트에 사용되는 문자에 의해 오류가 발생될 수 있는 환경이라는 것이다. alert()를 띄우는 것은 모든 조건이 맞아야 실행되지만 특정 문자로인한 스크립트 오류는 상대적으로 확인하기 쉽다. 

 

그렇기에 기본 치트시트 보다는 여러환경에서 오류를 확인할 수 있는 XSS polyglots 치트시트를 추천한다.

또한 XSS오류가 발생했는지 개발자도구를 통해 쉽게 확인할 수가 있다. 

 

XSS Polyglots

XSS Polyglots이란 다양한 환경에서 XSS발생 가능성을 확인하기위해 이를 유도하는 구문을 한줄로 정리한 것이다. 

XSS 치트시트는 각 환경에서 alert()를 테스트할 목적으로 각 상황별 여러 가지의 스크립트를 모아 두었다면 XSS Polyglots은 모든 상황에서 쓰일 수 있는 구문을 담기위해 노력한 스크립트라고 생각하면된다.

 

GitHub에서 Polyglots예시를 가져왔다.

github.com/0xsobky/HackVault/wiki/Unleashing-an-Ultimate-XSS-Polyglot

 

0xSobky/HackVault

A container repository for my public web hacks! Contribute to 0xSobky/HackVault development by creating an account on GitHub.

github.com

6가지의 XSS 가능성을 제시한 polyglots 스크립트이다.

jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=alert()//>\x3e

 

다음과 같은 6가지 XSS가능성을 점검한다.

  • jaVasCript:: A label in ECMAScript; a URI scheme otherwise.
  • /*-/*`/*\`/*'/*"/**/: A multi-line comment in ECMAScript; a literal-breaker sequence.
  • (/* */oNcliCk=alert() ): A tangled execution zone wrapped in invoking parenthesis!
  • //%0D%0A%0d%0a//: A single-line comment in ECMAScript; a double-CRLF in HTTP response headers.
  • </stYle/</titLe/</teXtarEa/</scRipt/--!>: A sneaky HTML-tag-breaker sequence.
  • \x3csVg/<sVg/oNloAd=alert()//>\x3e: An innocuous svg element.

많은 상황을 커버 할 수 있는 스크립트를 제작한다면 하나의 스크립트로 한번에 여러가지 XSS가능성을 점검할 수 있을 것이다.

 

XSS Polyglots 활용법

XSS Polyglots이 적용됐는지는 개발자 도구를 통해 쉽게 확인 할 수 있다.

실제 사이트에 적용되는 곳을 찾았다 해도 함부로 공개할 수 없기에 연습용 사이트를 참고했다.

위의 스크립트에서 alert() 제외하고 XSS를 찾아보겠다.

사용한 스크립트이다.

jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk= )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=//>\x3e

 

xss-quiz.int21h.jp/

 

XSS Challenges (by yamagata21) - Stage #1

XSS Challenges Stage #1 Notes (for all stages): * NEVER DO ANY ATTACKS EXCEPT XSS. * DO NOT USE ANY AUTOMATED SCANNER (AppScan, WebInspect, WVS, ...) * Some stages may fit only IE. Ranking (optional): If you want to participate in ranking, please register

xss-quiz.int21h.jp

svg상황에서 XSS발생 가능성이 있다는 것을 확인할 수 있다.

 

스크립트를 적용한 이미지

이렇게 대놓고 적용된다고 안뜨더라도 스크립트의 영향으로 오류가 발생하였다면 크롬 개발자 도구에서 콘솔창에 오류가 있는 페이지를 띄어준다. 마땅한 예시를 찾는다면 업데이트를 하겠다.

 

 

정리

XSS Polygolts -> 오류발생 or 스크립트 발생 확인 -> 검증 스크립트 유도

기본적인 XSS 진단은 3가지 프로세스를 사용하여 XSS취약점을 발견하였다.

XSS를 잘 적용하기위해선 발생가능한 환경을 잘 파악해두는 것이 첫번째이다.

예전에 비해 웹사이트 보안이 강화되어 찾기 어렵게 됐지만 아직 잘 찾아보면 한두개는 존재하는 것 같다.

찾는데 시간이 오래걸리지만 찾으면 용돈도 되고 스펙도 되니 모두 잘 노력해서 찾아보자

Stage #19


풀이

더보기

href에 자바스크립트를 넣으면 풀린다.

javacript:alert(document.domain)

정답

 javacript:alert(document.domain)

 

 

 

XSS Challenges CLEAR!!

 

 

'CTF > XSS Challenges' 카테고리의 다른 글

[XSS Challenges] Stage #15  (0) 2020.11.21
[XSS Challenges] Stage #12  (0) 2020.11.19
[XSS Challenges] Stage #10  (0) 2020.11.19
[XSS Challenges] Stage #9  (1) 2020.11.19
[XSS Challenges] Stage #8  (0) 2020.11.19

Stage #15


풀이

더보기

document.write()는 자바스크립트 출력물이다.

 

Stage #15는 <>를 필터링하고 있지만 document.write()는 \x3c,\x3e를 <>로 해석한다.

console 출력 결과

 이를 이용하여 스크립트를 작성한다.

정답

  \\x3cimg src=1 onerror=alert(document.domain)\\x3e

 

 

 

 

 

 

 

'CTF > XSS Challenges' 카테고리의 다른 글

[XSS Challenges] Stage #19  (0) 2020.11.21
[XSS Challenges] Stage #12  (0) 2020.11.19
[XSS Challenges] Stage #10  (0) 2020.11.19
[XSS Challenges] Stage #9  (1) 2020.11.19
[XSS Challenges] Stage #8  (0) 2020.11.19

Stage #12


풀이

더보기

힌트를 보자

<>"'를 필터링하는 것을 알 수 있다.

 

<>"를 사용하지 않고 XSS를 실행시켜야한다.

<>는 STAGE 6번을 이용하면 사용하지 않을 수 있지만 "를 사용을 안 할 수는 없다.

 

IE에서는 " 대신 숫자키[1] 옆에있는 `을 사용할 수 있다.

IE에서 다음과 같은 스크립트를 입력한다.

 

정답

 ` ` onfocus= alert(document.domain); autofous

 

 

 

 

 

 

'CTF > XSS Challenges' 카테고리의 다른 글

[XSS Challenges] Stage #19  (0) 2020.11.21
[XSS Challenges] Stage #15  (0) 2020.11.21
[XSS Challenges] Stage #10  (0) 2020.11.19
[XSS Challenges] Stage #9  (1) 2020.11.19
[XSS Challenges] Stage #8  (0) 2020.11.19

Stage #10

 


 

풀이

더보기

domain이란 문자열을 제거하고 있다.

 

domain 문자열 사이에 domain문자를 남기면 필터링 된 후 domain이라는 문자만 남는다.

 ex) do(domain)main

 

정답

"><script>alert(document.dodomainmain);</script>

 

 

 

 

 

 

 

'CTF > XSS Challenges' 카테고리의 다른 글

[XSS Challenges] Stage #15  (0) 2020.11.21
[XSS Challenges] Stage #12  (0) 2020.11.19
[XSS Challenges] Stage #9  (1) 2020.11.19
[XSS Challenges] Stage #8  (0) 2020.11.19
[XSS Challenges] Stage #7  (0) 2020.11.19

Stage # 9


풀이

더보기

UTF-7을 인코딩을 이용하여 푸는 문제다.

UTF-7이란 메일 시스템이 아스키 값으로 전송 되니때문에 이를 해결하기위하여 모든 문자를 아스키코드로 변환하하는 것이다.

 

이를 이용하여 XSS 스크립트문을 UTF-7으로 변경하고 인코딩된 스크립트문을 실행하면 풀어진다.

 

현재 chrome, IE, FireFox는 UTF-7을 지원하지 않으므로 풀 수가 없었다. ㅡ.ㅡ

 

 

 

 

 

 

'CTF > XSS Challenges' 카테고리의 다른 글

[XSS Challenges] Stage #12  (0) 2020.11.19
[XSS Challenges] Stage #10  (0) 2020.11.19
[XSS Challenges] Stage #8  (0) 2020.11.19
[XSS Challenges] Stage #7  (0) 2020.11.19
[XSS Challenges] Stage #6  (0) 2020.11.17

Stage #8


풀이

더보기

URL을 입력하면 링크를 만들어준다.

href값이 들어간 경우 Javasript:를 사용하면 자바스크립트가 실행된다.

정답 :

Javascript:alert(document domain);

 

 

 

 

 

 

'CTF > XSS Challenges' 카테고리의 다른 글

[XSS Challenges] Stage #10  (0) 2020.11.19
[XSS Challenges] Stage #9  (1) 2020.11.19
[XSS Challenges] Stage #7  (0) 2020.11.19
[XSS Challenges] Stage #6  (0) 2020.11.17
[XSS Challenges] Stage #5  (0) 2020.11.17

Stage # 7

 


풀이

더보기

7번 

6번문제에 "가 추가적으로 필터가 된다.

"><script>alert(document.domain)</script> 를 입력해보았다.

<>"가 필터링되어 XSS가 실행 되지않는다.


<>가 &gl,&lt로 필터링된다

<>"를 사용하지 않고 XSS를 실행 시켜야 한다.

 

6번이랑 정답이 똑같다.

XSS에 "를 사용하지 않았으므로 6번이랑 정답이 똑같다.

event handler를 사용하면 할 수 있다. 

" onfocus =alert(document.domain); autofocus

REF

portswigger.net/web-security/cross-site-scripting/cheat-sheet

 

Cross-Site Scripting (XSS) Cheat Sheet - 2020 Edition | Web Security Academy

Interactive cross-site scripting (XSS) cheat sheet for 2020, brought to you by PortSwigger. Actively maintained, and regularly updated with new vectors.

portswigger.net

 

'CTF > XSS Challenges' 카테고리의 다른 글

[XSS Challenges] Stage #9  (1) 2020.11.19
[XSS Challenges] Stage #8  (0) 2020.11.19
[XSS Challenges] Stage #6  (0) 2020.11.17
[XSS Challenges] Stage #5  (0) 2020.11.17
[XSS Challenges] Stage #4  (0) 2020.11.17

+ Recent posts