XSS Cheatsheet 정리

1. 기본형

★ script문

<script>alert(1);</script>

   -> 기본형으로 무엇이 있든 제일 먼저 쳐본다. 제일 기본형이라 많은 곳에서 해결해두었지만 처음 보안성 검토 받는곳은 70%는 이 스크립트가 걸리는 것 같다.

 

 

★결과

 

 

 

★해결책

 <script>-> <>로 대치 시킨다(script를 제거)

 

 

2. <script> 대치 우회 스크립트

★ script문

<img onmouseover="alert(2)">

<img src="#" onmouseover="alert(3);">

-> 기본형에서 살짝 변조한 모양으로 script문에 script만 막으면 되지 않을까 싶은 생각을 지워준다. 

많은 곳에서 이미지를 삽입하고 불러올때 사용하는 방법으로 사용하기에 이 스크립트도 잘 이용 된다.

 

 

★결과

★해결책

<img 단어를 변경한다

<img 로 시작하는 단어를 막아야한다. img를 막으면 사람들이 imgage와 같은 단어 쓸때 모두 대치당할 수 있다.

물론 <img를 선의로 사용하는 사람도 있겠지만 그나마 덜 쓸거같은 <img를 막아서 더 큰 문제보다 사소한 문제로 해결하도록 하자

 

 

 

3. img 대치 우회 스크립트

★ script문

"><b onclick=alert(1)>>XSSTEST</b>

  -> 이 스크립트는 개인적으로 제목이나 검색어 부분으로 사용하면 좋다고 생각한다.\

"> 와 같은 부분을 사용하는 이유는 사진 다음으로 설명

 

**** 스크립트 시작에 ">을 넣는 이유는 F12의 개발자 소스를 보면 알 수 있다. 지금은 일단 넣고 봤지만 항상 test글을 써본뒤 F12로 페이지가 구성이 어떤식으로 이루어져있는지 확인 후 진행하자

방금 사이트 예시를 보면 F12로 해당 제목은 다음과 같다.

페이지가 a로 이루어져 anchor를 통해 리다이렉션을 하는 구조인데 이렇다면 시작에 </a>를 삽입해 

</a><b onclick=alert(1)>>XSSTEST</b>를 완성 시켜 만들어보면

결과는 다음과 같은데 둘의 차이는 

130번 글 -> 클릭 시 "1" 알림창을 띄우고 글에 들어가짐

131번 글 -> 클릭시 "1" 알림창을 띄우고 글은 들어가지 못함으로 구분할 수 있다

F12를 클릭해 131번 글 확인시 다음과 같다.

앞에 삽입한 </a>가 페이지 소스에서 인식하여 뒤에 새로운 스크립트를 삽입한 것이다. 

즉 제목 </a> <스크립트문> 이런식으로 넣어도 작동한다는 것이다.

 

 

★결과

★해결책

>alert 단어를 >ale-rt 단어로 변경

문제는 alert를 변조하는 것으로 XSS를 막는 것은 아니다. 공격 하는데 알림창 띄우는게 뭐가 중요하겠냐(DOS도 아니고)

만약 이용자를 알림창을 무한정으로 띄우며 빡치게 만들겠다가 아니면 alert를 막는 것은 실제로는 효과가 없지만

실제 공격자들이 어떤 스크립트문을 이용해서 공격할지 테스트하는 방법을 막을 수 있을 것이다.

 

4. 반응문 보며 공격하기

★ script문

HTML코드면 모두 가능하다. 해당 부분은 prestate방법을 제외하고는 공격에 사용되기 좋을 것이다.

  -> 이 방법을 사용하기 위해 HTML에 대한 이해가 좀 필요하다

 

★ 방법

 

1. 일단 글을 질러보며 HTML코드가 어떻게 리턴되는지 확인한다.

2. 리턴값을 포면 font로 쌓여서 게시글이 표시된다.

3. 선처리 질의문인지 확인하기 위해 font를 막아서 글을 써본다.

 

4. 아까글과 비교시 차이가있다.(font 명령어를 못받았고 F12눌러보면 font가 작동하는것 확인)

 

5. F12를 통해 이래 저래 굴려서 스크립트 실행해본다(해당 구문 실행확인)

 

6. 서버로 진입해도 되는지 확인 위해 해당 방법으로 글을 다시 써본다.

 

 

7. 실행확인

★해결책

선처리 질의문을 통해 먼저 스크립트를 실행 후 입력값이 TXT 형식으로 들어가는게 가장 안전해보인다.

하지만 이방법은 진단자의 능력에 따라 다른방법인만큼 자알 해보자