[Bee-box] Change Secret

이번 포스팅은 'Change Secret' 입니다.

 

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요.

 

---

 

난이도 하

 

페이지 접속!

이 페이지는 비밀번호 힌트를 새로 설정하는 기능을 제공한다.

새로운 힌트를 입력란에 경고창으로 출력하는 스크립트 코드를 입력한다.

ex) <script>alert("Hello world~");</script>

 

 

 

 

입력 후 change버튼을 클릭하면

성공적으로 힌트가 변경되었다고 알려준다.

 

 

오타 났어요.. alert입니다.

 

 

비밀번호 힌트를 확인할 수 있는 페이지로 이동해서, 입력 한 스크립트 코드가 실행되었는지 확인해보자.

 

 

SQL인젝션의 LoginForm 페이지에서 로그인 하면 비밀번호 힌트를 출력한다.

 

 

 

페이지에 접속 후 로그인 하면 힌트를 출력한다.

 

비밀번호 힌트를 변경한 'bee' 사용자로 로그인 해보자.

 

 

 

힌트를 변경한 것처럼, 경고 창이 뜬다.

 

 

 

 

이번에는 새로운 힌트 설정을 할 때, 사용자의 쿠키값을 경고창으로 출력하는 스크립트 코드를 입력해보자.

 

<script>alert(document.cookie);</script>

 

 

 

 

입력 후 확인해보면

 

 

 

 

sqli페이지에서 Your secret이라는 힌트 부분이 출력되지 않는이유는 스크립트 코드를 넣었기 때문에,

힌트 부분이 보이지 않는 것이다.

 

만약 hello를 힌트로 그냥 주고, 확인해보면 bee로 로그인 했을 때 hello라는 힌트가 출력된다.

 

 

 

xss_stored_3.php 페이지는 사용자의 아이디를 웹 페이지 소스 코드에 노출한다.

 

 

 

 

hidden 타입으로 정의된 login 변수에 다른 사용자의 아이디를 입력하고 그 사용자의 비밀번호 힌트를 수정한다면?

 

다른 사용자가 자신도 모르게 정보가 유출될 수 있는 것이다.(쿠키 값 노출등..)

 

새로운 계정을 추가 해보고 그 아이디를 hidden value로 준 다음, 비밀 번호 힌트를 바꿔보겠다.

 

 

---

1. 계정 추가하기

 

 

 

Create user로 새로운 계정 생성

 

 

 

 

생성이 완료됨.

 

 

 

체크 해보기. 

haeun1 의 시크릿 힌트 123 모두 정상적으로 로그인 됨.

 

 

2. 다른 사람 계정으로 pw힌트 변경하기.

 

 

공격자 입장에서 value값을 haeun1로 바꾼다면, haeun1계정의 password힌트가 변경되는 것이다.

 

 

 

변경 후 change!

 

 

3. 다른 계정으로 로그인 해보기

 

haeun1계정으로 로그인 했더니, 힌트가 변경됨.

 

 

 

이전과 다르게 secret부분이 지워짐 (스크립트 코드를 입력하였기 때문에)

 

 

 

대응방안

 

난이도 상에서는 비밀번호 힌트 입력칸에 스크립트 코드를 입력하여도 스크립트 코드가 실행되지 않고

문자열로 아래처럼 출력된다.

 

 

 

페이지 소스를 확인해보았더니 xss_check_3함수를 사용하여 입력 데이터를 우회한다.

함수 내부에는 htmlspecialchars() 함수를 호출하여 입력 데이터를 UTF-8로 인코딩 한다.

 

 

 

내용을 살펴보니 utf-8로 인코딩을 해준다.

데이터를 htmlspecialchars를 통해 받은 data(입력데이타)를 인코딩 해주는 함수인데

 

 

http://b.redinfo.co.kr/56

 

 

위와 같이 특수문자를 html엔티티로 변환시킨다.

 

 

http://b.redinfo.co.kr/56

 

 

두번째 인자는 위를 보면 될것 같다.

 

하여튼 문자로 인식하게 방어 하면 된다!

 

즉 실행되는 웹 공간을 막기위해 htmlspecialchars함수를 사용

--> pw힌트는 db에 저장됨 (여기서 sql injection을 막아야함) --> mysqli_real_escape__string함수 사용

 

 

이렇게 이 페이지에서 변경한 비밀번호 힌트는 MYSQL 의 데이터 베이스에 저장되므로

secret 변수를 다시 우회한다.

mysqli_real_escape_string()함수를 이용하여, 기호에 \(백슬래시)를 붙여 SQL인젝션 공격을 방어한다.

또한 htmlspecialchars()함수로 HTML에 사용되는 기호를 UTF-8로 반환하고 HTML코드에 사용되는 문자들을

HTML 엔티티 코드로 변환한다.

 

그 다음 MySQL 업데이트 셋 구문을 사용하여 위험 문자가 변환된 secret변수를 데이터 베이스에 저장한다.

 

 

 

 

 

난이도 상에서는 다른 사용자의 비밀번호 힌트를 변경하지 못하도록 정보를 hidden -> value가 아닌,

token으로 받아 다른 사용자로 접근할 가능성을 막는다.