[Dreamhack] Web Hacking STAGE 3

STAGE 3. Background: Cookie & Session

 

쿠키 🍪

 

HTTP 프로토콜 특징

1) Connectionless

: 하나의 요청에 하나의 응답을 한 후 연결을 종료하는 것

2) Stateless

: 통신이 끝난 후 상태 정보를 저장하지 않는 것

 

이러한 특성을 갖는 HTTP에서 상태를 유지하기 위해 쿠키가 탄생함.

 

쿠키

: Key와 Value로 이뤄진 일종의 단위로, 서버가 클라이언트에게 쿠키를 발급하면, 클라이언트는 서버에 요청을 보낼 때마다 쿠키를 같이 전송함. 서버는 클라이언트의 요청에 포함된 쿠키를 확인해 클라이언트를 구분할 수 있음. 

: HTTP에서 상태를 유지하기 위해 사용하는 Key-Value 형태의 값

 

쿠키의 용도

1) 클라이언트의 정보 기록

ex) 웹 서버는 각 클라이언트의 팝업 옵션을 기억하기 위해 쿠키에 해당 정보를 기록하고, 쿠키를 통해 팝업 창 표시 여부를 판단함

2) 클라이언트의 상태 정보 표현

- 웹 서버에서는 수많은 클라이언트의 로그인 상태와 이용자를 구별해야 하는데, 이때 클라이언트를 식별할 수 있는 값을 쿠키에 저장해 사용함

 

쿠키가 없는 통신의 경우

 

쿠키가 있는 통신의 경우

 

쿠키는 클라이언트의 브라우저에 저장되고 요청에 포함되는 정보임.

따라서 악의적인 클라이언트는 쿠키 정보를 변조해 서버에 요청을 보낼 수 있음.

ex) 공격자가 타 이용자 사칭해 정보 탈취

 

세션

: 쿠키에 인증 상태를 저장하지만 클라이언트가 인증 정보를 변조할 수 없게 하기 위해 사용함.

: 인증 정보를 서버에 저장하고 해당 데이터에 접근할 수 있는 키(유추할 수 없는 랜덤한 문자열)를 만들어 클라이언트에 전달하는 방식으로 작동함. 해당 키를 일반적으로 Session ID라고 함. 브라우저는 해당 키를 쿠키에 저장하고 이후에 HTTP 요청을 보낼 때 사용함. 서버는 요청에 포함된 키에 해당하는 데이터를 가져와 인증 상태를 확인함.

: 쿠키에 포함된 Session ID를 사용해 서버에 저장된 세션 데이터에 접근하는 방식

 

쿠키 vs. 세션

쿠키 - 데이터 자체를 이용자가 저장함

세션 - 서버가 저장함

 

쿠키 적용법

쿠키는 클라이언트에 저장됨

-> 클라이언트가 저장된 쿠키를 조회, 수정, 추가할 수 있음. 만료 시간 지정도 가능. 만료 시간 이후에는 클라이언트에서 쿠키가 삭제됨.

 

쿠키는 서버와 클라이언트 둘 다 설정할 수 있음.

 

서버 - HTTP 응답 중 헤더에 쿠키 설정 헤더(Set-Cookie)를 추가하면 클라이언트의 브라우저가 쿠키를 설정함.

HTTP/1.1 200 OK

Server: Apache/2.4.29 (Ubuntu)

Set-Cookie: name=test;

Set-Cookie: age=30; Expires=Fri, 30 Sep 2022 14:54:50

GMT;

...

 

클라이언트 - 자바스크립트를 사용해 쿠키를 설정함.

document.cookie = "name=test;"

document.cookie = "age=30; Expires=Fri, 30 Sep 2022 14:54:50 GMT;"

 

크롬 Console 활용

 

크롬 Application 활용

크롬 페이지에서 우클릭 - 검사 - Application 탭 - Cookies

 

연습: 드림핵 세션

 

세션 하이재킹

: 타 이용자의 쿠키를 훔쳐 인증 정보를 획득하는 공격. 공격자가 이용자의 쿠키를 훔칠 수 있으면 세션에 해당하는 이용자의 인증 상태를 훔칠 수 있음.

---

STAGE 3. Exercise: Cookie

 

/

- 이용자의 username을 출력하고 관리자 계정인지 확인함

- 요청에 포함된 쿠키를 통해 이용자를 식별함

- 만약 쿠키에 존재하는 username이 admin일 경우 FLAG를 출력함

 

/login 

- username, password를 입력받고 로그인함

- GET : username과 password를 입력할 수 있는 로그인 페이지를 제공함

- POST : 이용자가 입력한 username과 password 입력 값을 users 변숫값과 비교함

 

취약점 분석

- 이용자의 계정을 나타내는 username 변수가 요청에 포함된 쿠키에 의해 결정되어 문제가 발생함. 쿠키는 클라이언트의 요청에 포함되는 정보로, 이용자가 임의로 조작할 수 있음. 서버는 별다른 검증 없이 이용자 요청에 포함된 쿠키를 신뢰하고, 이용자 인증 정보를 식별하기 때문에 공격자는 쿠키에 타 계정 정보를 삽입해 계정을 탈취할 수 있음.

 

익스플로잇

- 쿠키에 존재하는 username을 admin 문자열로 조작해야 함. 개발자 도구를 사용하면 쿠키의 정보를 확인하거나 수정 가능함. username을 admin으로 변경해 서버에 요청하면 FLAG 획득 가능.

 

>>> Cookie 문제를 통해, 서버가 검증 없이 쿠키를 신뢰하고 인증 정보를 식별할 때 발생할 수 있는 문제점에 대해서 알아보았음. 해당 취약점을 이용하여 다른 계정의 권한을 획득할 수 있었음.

>>> 이러한 문제점은 세션을 사용해 해결할 수 있음. 세션은 인증 정보를 서버에 저장하고, 랜덤한 키를 클라이언트에게 발급함. 클라이언트는 해당 키를 포함해 서버에 요청하고, 서버는 저장한 세션 키와 대응하는 클라이언트인지 확인하므로 안전한 서비스를 구현할 수 있음.

 

---

STAGE 3. cookie

 

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for

app = Flask(__name__)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

users = {
    'guest': 'guest',
    'admin': FLAG
}

@app.route('/')
def index():
    username = request.cookies.get('username', None)
    if username:
        return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')
    return render_template('index.html')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:
            resp = make_response(redirect(url_for('index')) )
            resp.set_cookie('username', username)
            return resp 
        return '<script>alert("wrong password");history.go(-1);</script>'

app.run(host='0.0.0.0', port=8000)

admin으로 로그인하면 FLAG가 출력되는 것 같다.

users 딕셔너리를 보고, username guest, password guest로 로그인을 시도해봤다.

개발자 도구를 사용해 쿠키를 살펴보면,

 

index() 를 보면, username 을 쿠키 값에서 가져오고 있으므로, 쿠키 값을 admin으로 바꿔보았다.

새로고침한 결과, 플래그를 얻을 수 있었다.

---

STAGE 3. session-basic

 

쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다.

admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다.

 

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for

app = Flask(__name__)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

users = { #3개의 계정
    'guest': 'guest',
    'user': 'user1234',
    'admin': FLAG
}

session_storage = {
}


@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')


@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            pw = users[username] #입력받은 username의 패스워드를 pw에 저장
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password: #패스워드가 일치할 경우
            resp = make_response(redirect(url_for('index')) ) #index로 응답 만들기
            session_id = os.urandom(32).hex() #난수 생성 후 hex 값을 session_id에 저장
            session_storage[session_id] = username #로그인한 username의 세션 설정
            resp.set_cookie('sessionid', session_id) #쿠키 생성
            return resp 
        return '<script>alert("wrong password");history.go(-1);</script>'


@app.route('/admin')
def admin():
    return session_storage


if __name__ == '__main__':
    import os
    session_storage[os.urandom(32).hex()] = 'admin' #admin의 세션 설정
    print(session_storage)
    app.run(host='0.0.0.0', port=8000)

session_storage[session_id]가 admin과 같을 때 FLAG 출력. 

pw == password 일 때 index

set_cookie() 로 이름이 session_id 이고 값이 문자열 session_id 인 쿠키를 생성

@ : 장식자(decorator)를 나타내며, flask에서 url 연결에 활용됨

/admin 에 접근하면 session_storage 를 리턴함

 

guest로 로그인

 

/admin으로 이동

 

user로 로그인

 

쿠키 값을 변경

 

새로고침 후, 플래그가 출력되었다.

 

---

 

STAGE 3. Mitigation: Same Origin Policy

 

브라우저가 웹 서비스에 접속할 때 브라우저는 자동으로 쿠키를 헤더에 포함시켜 요청을 보냄

-> 포털 사이트, SNS와 같은 웹 서비스에 한 번 로그인한 후 일정 기간은 로그인하지 않아도 바로 서비스 사용 가능

 

악의적인 페이지가 클라이언트의 권한을 이용해 대상 사이트에 HTTP 요청을 보내고, HTTP 응답 정보를 획득하는 코드를 실행할 수 있음 -> 정보 유출과 같은 보안 위협이 생길 수 있는 요소가 됨.

따라서 클라이언트는 가져온 데이터를 악의적인 페이지에서 읽을 수 없도록 해야 함.

 

동일 출처 정책 (Same Origin Policy, SOP) 

: 현재 페이지의 출처가 아닌 다른 출처로부터 온 데이터를 읽지 못하게 하는 브라우저의 보안 메커니즘

- Same Origin일 때만 정보를 읽을 수 있도록 해줌

- 데이터를 쓰는 것은 문제 없이 동작함

 

클라이언트 사이드 공격

: SOP를 우회하기 위한 공격

 

오리진 구성 요소

1) 프로토콜 (Protocol, Scheme)

2) 포트 (Port)

3) 호스트 (Host)

 

>>> 구성 요소가 모두 일치해야 동일한 오리진

ex) https://same-origin.com/ 과 비교

https://same-origin.com/frame.html -> Path만 다르므로 Same Origin

https://cross.same-origin.com/frame.html -> Host가 다르므로 Cross Origin

 

* window.open()

: 새로운 창을 띄우는 함수

 

* object.location.href

: 객체가 가리키고 있는 url 주소를 읽어오는 코드

 

교차 출처 리소스 공유 (Cross Origin Resource Sharing, CORS)

: SOP의 제한을 받지 않고 Cross Origin의 데이터를 처리할 수 있도록 해주는 메커니즘

 

직접 예제 코드들을 따라서 타이핑 해보면서 하나씩 원리를 이해하고 넘어가는 것을 추천한다는데 하나도 안 했죵?ㅎ ㅎ