정보보안 스터디 - 5주차 7일 - XSS 공격 시나리오 / 실사례

xss 공격으로 뭘 할 수 있을까요?

 

가능한 목적

 

1. 쿠키/세션ID 탈취 > 도용
2. 악성코드를 다운받는 사이트로 리다이렉트
3. beef 가짜페이지 노출 (피싱 사이트)
4. stored XSS공격으로 홈페이지 변조를 해서 DDOS 서비스 거부공격이 가능.
5. 시스템자체에 악성코드가 공격할 수 있고,방문자에게 뿌릴 수 도 있다.

 

 

실제 공격 사례 

 

1. UPS 물류회사 사칭.

공격자는 영수증과 인보이스가 UPS에서 보낸것처럼 사칭했습니다.

사용자들에게 피싱 메일을 보내면 사용자들은 UPS.com 접속, 악성페이로드 다운 받습니다.

2. 트위터

클릭안하고 마우스만 올려도 음란사이트로 이동

3. 야후

이메일에 사용되는 세션 쿠키를 빼내, 계정에 접속하고

메일 읽거나 전송하는 익스플로잇을 700~1500달러에 판매했습니다.

(크롬 등 브라우저에 내장된 XSS 필터 우회가능)

4. 홈페이지 모양을 변조

관리자 권한은 다양한 방법으로 탈취당할 수 있습니다.

SQL 삽입으로 계정알아내거나, XSS로 세션탈취하거나, 웹쉘을 업로드하여 내부 html파일 변조, 서버계정이 유출되어 FTP나 SSH로 접속 후 파일 바꿔치기 등

관리자 권한이 탈취당했을 때 메인화면에 사진,제목이 등록되어 노출됩니다.

>> HTML삽입코드를 이용해서 메인사이트 전체가 LOCK 사진으로 바뀌었습니다.

(서버내에서 redirect)

Q&A사이트 조심해야합니다.

5. myspace 

samy라는 사람은 방문자들이 자동으로 본인을 친구 추가하고

관련 메세지 띄어 100만명 친구를 얻습니다.

 

 

 

 

예방법

 

1. HTML이아닌 문자로 인식하게
2. 모든 특수문자를 HTML entity로 필터링 (<>를 &lt; &gt;)
3. BBcode로 직접 필터 만들기
4. 쿠키 생성 시 보안쿠키.
5. 출처가 서버인 스크립트만 실행될 수 있도록