쿠키를 탈취한 후 악용할 수 있는 대표적인 보안 공격 : XSS, CSRF

XSS(Cross Site Scripting) : 게시판이나 웹 메일 등에 자바스크립트와 같은 스크립트 코드를 삽입해 개발자가 고려하지 않은 기능이 작동하게 하는 치명적인 공격. (대부분이 웹 해킹 공격 기법과 다르게 권한이 없는 사용자가 악의적인 용도로 웹 사이트에 스크립트를 삽입하는 공격 기법)

 

 

XSS는 웹 애플리케이션이 사용자로부터 입력받은 값을 제대로 검사하지 않고 사용할 경우 나타나며, 공격에 성공시 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되어, 의도치 않은 행동을 수행시키거나 쿠키, 세션 토큰 등의 민감한 정보를 탈취한다.

 

 

XSS 공격은 크게 Reflected XSS, Stored XSS, DOM Based XSS 세 가지로 분류할 수 있다.

 

 

1. Reflected XSS

공격자가 미리 XSS 공격에 취약한 웹 사이트를 탐색하고, XSS 공격을 위한 스크립트를 포함한 URL을 사용자에게 노출시킨다. 사용자가 해당 URL을 클릭할 경우, 취약한 웹 사이트의 서버에 스크립트가 포함된 URL통해 Request를 전송하고, 웹 서버에서는 해당 스크립트를 포함한 Response를 전송하게 된다.

 

 

2. Stored XSS

웹 사이트의 게시판에 스크립트를 삽입하는 공격 방식으로, 공격자는 게시팜에 스크립트를 삽입한 후, 공격자가 해당 게시글을 클릭하도록 유도한다. 게시글의 URL을 사용자에게 노출하고, 사용자가 게시글을 확인함으로써 URL에 대한 요청을 서버에 전송하게 된다. 웹 서버에서 스크립트를 포함한 Response를 전송하여 공격이 수행된다.

 

 

 

XSS의 위험성

• 쿠키 정보 및 세션 ID 획득 : 공격자가 XSS에 취약한 페이지 및 게시판에 XSS 공격을 수행함으로써 해당 페이지를 이용하는 사용자의 쿠키 정보나 세션 ID를 획득할 수 있고, 만약 세션 ID 등을 쿠키에 포함하는 경우, XSS 공격을 통해서 페이지 사용자의 세션 ID를 획득해 사용자인 척 가장할 수 있다.
• 시스템 관리자 권한 획득 : XSS 취약점이 있는 웹 서버에 다양한 악성 데이터를 포함시킨 후, 사용자의 브라우저가 악성 데이터를 실행하게 할 수 있다.
• 거짓 페이지 노출 : XSS 공격에 취약한 페이지일 경우, 원래 페이지를 변조하여 거짓 페이지를 노출시켜 이를 통해 개인 정보 유출 등의 위험이 있다.
• 악성코드 다운로드 : XSS 공격은 악성 스크립트 자체로 악성 프로그램을 다운로드 할 수 있다.

 

 

XSS 방지법

XSS 공격은 IPS, IDS, 방화벽으로 불가능하며, 단순히 문자를 필터링하는 수 밖에 없다.

• script 문자 필터링 : XSS 공격이 사용자의 입력값에 대한 검증이 제대로 이루어지지 않아 발생하는 것이므로 서버 측에서 입력값을 필터링해주어야 한다. PHP의 eregi 함수를 하용하면 XSS 공격에 주로 사용되는 문자들을 필터링 가능하다.
• htmlentities 사용 : PHP 함수 중 htmlentities 라는 함수를 사용하여 모든 특수문자를 HTML 엔티티로 변환한다.

 

 

CSRF(Cross-site Request Forgery) : 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다. -> 공격자가 만든 악성 웹 사이트를 통해 사용자는 자신도 모르는 사이 공격을 수행한다.

 

 

CSRF를 이해하기 위해서는 Cookier와 Session을 알아야한다.

 

사용자가 특정 서버에 로그인하면 일반적으로 다음과 같은 작업들이 수행된다.

 

1) 서버는 로그인 시 인증된 사용자의 정보를 세션에 저장하고, 이를 찾을 수 있는 세션 ID를 만든다.

2) 서버는 저장된 세션 정보를 클라이언트(브라우저)가 사용할 수 있도록 sesssionID를 통한 Set-Cookie 헤더에 담아서 전달한다.

3) 클라이언트(브라우저)는 전달된 sessionID를 쿠키에 저장한다.

4) 클라이언트(브라우저)는 해당 도메인을 가진 서버로 요청 시 쿠키에 저장된 sessionID를 자동으로 전달한다.

5) 서버는 쿠키에 담긴 sessionID를 통해 인증된 사용자인지 여부를 확인한다.

 

*세션이란, 사용자의 요청에 따른 정보를 웹 서버가 세션 아이디 파일을 만들어 서비스가 돌아가고 있는 서버에 저장하는 것.

*쿠키란, 사용자의 정보를 사용자의 컴퓨터의 메모리에 저장하는 것.(ID나 비밀번호를 저장하거나 방문한 사이트를 저장하는데에 사용된다)

 

 

 

CSRF 공격을 시도하기 위해서는 아래와 같은 조건이 필요하다.

• 사용자가 보안이 취약한 서버로부터 이미 인증을 받은 상태여야 한다.
• 쿠키 기반으로 서버 세션 정보를 획득할 수 있어야 한다.
• 공격자는 서버를 공격하기 위한 요청 방법에 따라 미리 파악하고 있어야 한다. 예상치 못한 파라미터가 있으면 불가능하다.

 

 

위 조건이 만족되면 CSRF 공격이 다음과 같은 과정으로 수행될 수 있다.

 

1) 사용자는 보안이 취약한 서버에 로그인한다.

2) 로그인 이후 서버에 저장된 세션 정보를 사용할 수 있는 sessionID가 사용자 브라우저 쿠키에 저장된다.

3) 공격자는 서버에 인증된 브라우저의 사용자가 악성 스크립트 페이지를 누르도록 유도한다.

4) 사용자가 악성 스크립트가 작성된 페이지 접근 시 쿠키에 저장된 sessionID는 브라우저에 의해 자동적으로 함께 서버에 요청된다.

5) 서버는 쿠키에 담긴 sessionID를 통해 해당 요청이 인증된 사용자로부터 온 것으로 판단하고 처리한다.

 

 

CSRF 방어 방법

• Referer 검증 : 서버에서 사용자의 요청에 Referrer 정보를 확인하는 방법이 있다. 요청 헤더(request header)에서 Referer 정보를 확인가능하며, 보통의 경우 host와 Referer 값이 일치하므로 둘을 비교한다.
• CSRF 토큰 검증 : 임의의 CSRF 토큰을 만들어 세션에 저장한다. 요청하는 페이지에 hidden 타입 input 태그를 이용해 토큰 값을 함께 전달한 후, 서버에서 세션에 저장된 CSRF 토큰 값과 요청 파라미터에 담긴 토큰 값을 비교한다.
• Double submit Cookie 검증 : 브라우저의 Same Origin 정책을 이용하는 방법으로, Same Origin이 아닐 경우 Javascript로 쿠키 값을 확인하거나 수정하지 못한다는 점을 이용한다. 클라이언트에서 Javascript로 임의의 생성한 토큰을 쿠키와 요청 헤더에 각각 담아서 서버에게 전달한다. 서버는 전달받은 쿠키와 요청 헤더에서 각자 토큰 값을 꺼내어 이를 비교한다. 이때, 쿠키에 저장된 토큰 정보는 이후에 재사용하지 못하도록 만료 처리한다.

 

* Referer 요청 헤더는 현재 요청을 보낸 페이지의 절대 혹은 부분 주소를 포함한다. 만약 링크를 타고 들어온 경우 해당 링크를 포함하고 있는 페이지 주소가, 다른 도메인이 리소스 요청을 보내는 경우라면 해당 리소스를 사용하는 페이지의 주소가 이 헤더에 포함된다.

내 블로그를 구글에서 검색하고 구글 검색 결과 페이지에서 해당 링크를 클릭해 접속하면, 이 경우 Referer 값은 검색 결과 페이지의 URL이 아닌, 실제로 사용자가 클릭한 링크의 URL이 된다.