Reflected XSS

Reflected XSS란 무엇인가?

Reflected XSS는 반사형 XSS로 사용자의 입력값을 받아 동적 페이지를 구성하는 환경에서 발생한다. DOM Based XSS 와의 큰 차이점은 DOM Based XSS는 브라우저단에서 입력값을 받아 동적 페이지를 구성하며 악성 스크립트가 실행된다면, Reflected XSS는 클라이언트 측에서 사용자의 입력값을 받아 서버측에서 동적 웹 페이지를 구성 후 다 클라이언트 측에게 보내고 브라우저단에서 출력된다. 이때 스크립트가실행된다. 이를 구별 하는 방법으로는 Dom을 제어하는 스크립트가 브라우저단의 개발자 도구를 통해 노출되는지 확인하면 된다. 반대로 Reflected XSS는 응답페이지 내에 사용자의 입력값이 실려 노출된된다.

사용자의 입력값이 URL 의 매개변수로 데이터를 받는 기능이 존재할 때 보통 Reflected XSS 취약점이 발생한다.

<http://vulnsite.com/search?term=gift>

위 URL 처럼 사용자가 제공한 입력값을 검색어로 받고 있다.

이 때 입력받은 데이터를 아래와 같은 방식으로 출력된다고 가정해보자.

<p>find for : gift</p>

하지만 이 때 문자열이 아닌 스크립트를 작성하게 되면, 서버에서는 스크립트를 발생시키고

사용자의; 브라우저에서 실행된다.

<p>find for : <script>alert(1)</script></p>

---

Reflected XSS 는 피해자에게 공격자가 제어할 수 있도록 만든 스크립트가 포함된 URL을 전송하고 사용자가 URL에 접속하게 될 경우 발생하게 된다.

Detection

위 사진은 사용자의 입려 값을 받아 결과물을 찾아주는 기능을 한다.

이 때 사용자의 입력 값이 웹 브라우저상에 출력되고 있다. 이는

잠재적인 XSS 취약점으로 볼 수 있으며, DOM Based 혹은 Reflecd로 판단할수 있다.

출력되는 부분에 대해 DevTools 를 사용해 코드를 확인해보면 아래와 같이 확인할 수 있다.

<div class="panel panel-default"><div class="panel-body">"test"에 대한 검색 결과 입니다.</div></div>

이는 서버측에서 동작이 이루어지고, 결과값을 브라우저단에서 실행하게 된다.

이는 Reflected XSS 이다.

우선 일반적으로 안전한 태그들을 사용하여, XSS 취약 여부 판단을 좀 더 해볼 수 있다.

<div class="panel panel-default"><div class="panel-body">"<b>test<b>"에 대한 검색 결과 입니다.</div></div>

위와 같이 <b> 태그를 통해 진입점에 html 태그가 적용 되는지 확인해보면

아래와 같이 <b> 태그가 적용된 걸 알 수 있으며, 소스코드 상에서 <> 및 HTML Entity Encoding등 아무런 대응 방안이 적용되어 있지 않은 걸 확인할 수 있다.

<div class="panel panel-default"><div class="panel-body">"<b>test<b>"에 대한 검색 결과 입니다.</div></div>

이 때 <script>구문을 강제 삽입하여 스크립트를 실행시키게되면, 서버 측에서 스크립트가 동작하고 이에대한 결과가 브라우저에 출력된다.

<div class="panel panel-default"><div class="panel-body">"<script>alert(1)</script>"에 대한 검색 결과 입니다.</div></div>