[웹 퍼저] CVE 케이스 분석하기 (feat.XSS)

팀원들과 웹 모의해킹을 위한 1-day 취약점을 분석하는데, XSS가 제일 흔하기도 하고 개인적으로 공부할 겸 맡아서 찾아보기로 했다.

CVE를 검색해보면 대부분 취약점에 대한 정보나 무슨 버전이 취약하다, 패치되었다와 같은 사실만 있고 공격 분석하기에 공부하기에 좋은 링크는 많이 없었다 몇번 찾다보니 나름 루틴이 생겨 써보려고 한다.

 

1. 윈스 취약점 정보 페이지

https://wins21.co.kr/kor/promotion/information.html?depth1=8

WINS

많은 CVE가 있지는 않지만 (최근에는 업데이트가 잘 안되고 있는 듯 하다..) 한글로 정리되어서 보기 편하고 취약점에 대한 분석도 써져있으며, 비교적 서치하기 쉬운 CVE들을 정리해둔 느낌이다. 여기서 하나 골라서 구글링으로 심화 검색 하는 편

 

2. NIST나 CVE.mitre.org 사이트

취약점 정보를 가장 신뢰성 있게 접근할 수 있는 두 사이트. 그래서 CVE 코드를 검색하면 가장 최상단에 뜬다. 아무래도 어떤 어플리케이션이나 사이트에서 발견되었는지를 확인하기에 좋았다.

 

3. CVE 코드를 달고 있는 github 링크들

github를 검색해보면 높은 확률로 poc 코드나 페이로드, 혹은 자동 탐지기까지(!!)도 올려두는 경우가 많다. 그래서 자주 애용하는 편

https://github.com/adarshvs/CVE-2020-3580/tree/main

GitHub - adarshvs/CVE-2020-3580: Automated bulk IP or domain scanner for CVE 2020 3580. Cisco ASA and FTD XSS hunter.

XSS CVE 검색하다가 Automated Scanner도 있길래 정말 유용하게 참고할 수 있었다.

 

4. 추가 검색어 붙여서 구글링

poc나 Redirected XSS, parameter 등 검색어를 추가하면서 검색하면 원하는 정보를 더 많이 얻을 수 있다. 당연하고 별거 아닌 사실이지만 꽤 큰 도움이 됐다.

 

5. 참고로 chat GPT는..

간단한 표면 정보를 얻기에는 GPT만한게 없어서 CVE를 검색해보면... 생각보다 얼렁뚱땅한 결과를 많이 받을 수 있다. 최신 CVE의 경우 2022년 1월 이후로 업데이트되지 않아서 잘 모르겠다고 대답할 때도 있고.. 하여튼 GPT는 적어도 CVE 검색할 때 좋은 검색 수단은 아닌듯

 

---

XSS (Cross Site Scripting)

악의적인 사용자가 웹 어플리케이션에 악성 스크립트를 삽입하여 다른 사용자의 브라우저에서 실행되도록 하는 공격 기법이다. 주로 웹 어플리케이션에서 입력을 받아서 화면에 출력할 때 발생하며, 제대로 된 입력값 검증이나 escape을 하지 않은 경우에 발생할 수 있다.

 

- Stored XSS

공격자가 악성 스크립트를 웹 어플리케이션의 데이터베이스나 저장 공간에 저장하고, 이를 불러올 때 사용자 브라우저에서 실행되도록 하는 공격. 주로 게시글, 댓글, 프로필 등에 악성 스크립트가 저장됨.

 

- Reflected XSS

공격자는 XSS가 동작하는 URL에 악성 스크립트를 삽입해 특정 입력을 웹 어플리케이션에 전달하고, 서버가 이를 처리할 때 악성 스크립트를 포함하여 응답을 생성하도록 하는 공격. 이때, 공격 링크를 누르는 사용자의 브라우저에서 스크립트가 실행됨.

 

- DOM-based XSS

DOM(Document Object Model)을 조작하여 공격하는 것으로, 클라이언트 측 스크립트가 실행될 때 발생함. 주로 자바스크립트가 동적으로 페이지를 조작하는 경우 발생.