회원 비밀번호 확인 페이지에서 Reflected XSS (필터우회)

작성자 DHG 프로그램 한국CISSP협회 대표홈페이지

WEB 종료됨 중간 40,000 작성일: 2021년 6월 21일 (3년 전) 마지막 업데이트일: 2021년 6월 24일 (3년 전)

취약점 유형

Reflected XSS

상세내용

개요

https://isc2chapter.kr/bbs/member_confirm.php 페이지의 url 파라미터를 통해 XSS가 가능함.

재현 과정

image.png
URI: https://isc2chapter.kr/bbs/member_confirm.php?url=jav%26%23x09;ascript:alert%28confirm_mb_password.value%29;
위 URI에 접속해서 비밀빈호를 입력해보면, 삽입된 코드에 의해 alert가 뜸.

예상되는 취약점 발생 원인

url 파라미터에 대한 검증 미흡 및 javascript 필터링 미흡
jav ascript 입력 시 필터링 우회 가능합니다.
는 탭(Tab)을 유니코드 인코딩하여 나타낸 것입니다.

패치 방법

javascript 를 실행시킬 수 있는 특수문자를 필터링하세요.

예상 결과 및 파급력

해커가 사용자들의 session id나 개인정보 등을 탈취할 수 있음
session id는 httponly가 되어 있지않아 탈취 가능하고,
입력한 비밀번호를 fetch나 XHR 등을 이용하여 해커의 서버로 전송할 수 있습니다.

타임라인

DHG 님이 티켓을 제출했습니다. 2021년 6월 21일 (3년 전)
DHG 님이 댓글을 남겼습니다. 2021년 6월 21일 (3년 전)

음 위에 유니코드 인코딩 된 값이 제대로 출력되지 않는 것 같아 이미지로 다시 설명드리겠습니다.
image.png

DHG 님이 댓글을 남겼습니다. 2021년 6월 21일 (3년 전)

image.png

위 URL에 접속 후 비밀번호 입력란에 비밀번호를 입력 후 확인버튼을 누르면 아래와 같이 해커의 서버로 아이디와 비밀번호 값이 전달되는 것을 확인할 수 있습니다.

image.png

CISSP MANAGER 님이 상태를 '제출됨'에서 '처리중'으로 변경했습니다. 2021년 6월 22일 (3년 전)
CISSP MANAGER 님이 댓글을 남겼습니다. 2021년 6월 22일 (3년 전)

안녕하세요.
확인후 빠른 시일내에 연락 드리겠습니다.

감사합니다.

CISSP MANAGER 님이 댓글을 남겼습니다. 2021년 6월 24일 (3년 전)

안녕하세요.
패치가 완료 되었습니다. 확인 부탁 드립니다.
감사합니다.

DHG 님이 댓글을 남겼습니다. 2021년 6월 24일 (3년 전)

넵 http 관련 문자열로 시작되지 않는 나머지의 경우 ./ 로 시작되게끔 변경되어서 더이상 javascript 가 실행되지 않는 것을 확인하였습니다.
패치가 잘 된 것 같습니다.

CISSP MANAGER 님이 댓글을 남겼습니다. 2021년 6월 24일 (3년 전)

확인 감사합니다.
앞으로도 저희 버그 바운티에 많은 참여 부탁 드립니다.

CISSP MANAGER 님이 보상 40,000 크레딧을 지급했습니다. 2021년 6월 24일 (3년 전)
CISSP MANAGER 님이 공개상태를 '비공개'에서 '전체공개'로 변경했습니다. 2021년 6월 24일 (3년 전)
CISSP MANAGER 님이 상태를 '처리중'에서 '종료됨'으로 변경했습니다. 2021년 6월 24일 (3년 전)