[긴급] 대법원 영문사이트에도 XSS 취약점 발견!

얼마전에 갑상선 암 수술 요새 너무 많이 받아서 의사들이 그만받으라고 성명을 냈던걸로 압니다. 갑상선 암 작은 것들은 있어도 사는데 지장없다. 라구요.. 의사들이 왜 이런 미친짓을 했을까요. 암은 어마어마하게 무시한 것인데 말입니다. 위의 기사에 XSS 취약점에 대한 내용이 정확히 그정도 수준입니다. 수술은 해야겠는데.. 꺼름칙하고 언제 커질지도 모르니.. 이건 한국인 생각.. 그러니, 의사들이 갑상선 검사 그만하라고 발벗고 나섰던겁니다.

"죄송하지만, XSS 를 언급하고 싶으면, 이정도는 되어야 합니다. 이마저도 쪽팔린 기술을 언급한겁니다. 제발 좀 참고하십시오. 이마저도 쪽팔린기술이라는 내용 보시고..
http://powerhacker.net/download/attachments/2195544/mail_qq_com_xss_vulnerability_written_by_AmesianX.pdf?version=1&modificationDate=1432909140135&api=v2"

정의로 따지자면 AmesianX님말씀이 맞지만 피싱으로 악용가능하단점에서 ZZZ님 말씀도 맞네요. 그런데 그거가지고 반쪽지식어쩌구 하시는건 잘못된거같네요

지적할때 상대를 무시하는건 아닌듯.
생각이 다를수있는거가지고 반쪽지식은 좀 아닌듯 ㅋㅋ

ZZZ님 말씀대로 타겟이 저 페이지에 접속한다면 공격이 성공하는거라 공감은 가지만
사회공학해킹이 되기때문에 저도 AmesianX 님의 말씀에 동의합니다. (물론 패치는 해야겠죠.)

기사에 나온 코드는 예제이죠.. 저렇게 공격하는 경우는 극히 드물죠...페이지 리다이렉션을 시켜서 다른 웹페이지에서 쿠키값을 인자로 받도록 공격합니다. 즉, 내가 쓴 글을 내가 보는게 아니라, 다른 사람이 스크립트가 들어가 있는 페이지를 열었을때...(물론 그렇게 만들어줘야겠죠) 해당 쿠키 수집 및 CSRF 공격 등이 가능합니다. 뭐...너무 당연한 애기를 괜히 적었나..ㅡ.ㅡ;; 쩝!!

AmesianX 님은 XSS에 대해서 반쪽만 아시는 분이시군요..ㅋㅋ..저도 현직 해커로써, 그닥 XSS 공격에 대해서는 고객사에서 별로 언급하고 싶지는 않는 사람이지만, 님께서 지적하시는 부분은 정말 반쪽만 아시는 지식으로 작성하신 내용이라 좀 많이 아쉽군요.

AmesianX / 연락이 왜 이리 힘드노 ^^

이러한 언급을 하지 않아도 될 것을 반드시 한번씩 걸고 넘어가는 것은 다
그만한 이유가 있습니다. 아닌 것은 아닌 것 입니다. 아닌 것을 맞다고 한번
"정" 에 휩쓸리어 말을하면, 영원히 아닌 것이 맞게되어 결국 그 것이 자기
자신에게 고스란히 속박으로 되돌아올 수 있다는 겁니다.
삶을 살다보면 이런경우들이 비일비재하게 많습니다. 분명히 최초에 잘못되어
갈때 바꿀 수 있는 기회가 주어집니다. 그때, "정" 에 이끌려 날카로운 판단을
하지 못하고 한번 봐주게되면, 그것이 룰이 되어버립니다. 정에 이끌려 내린
판단으로 통과된 기술은 어느순간에 룰로 변모될 수 있으며, 그 룰은 다시
잣대가 되어 통과시킨 장본인들에게 들이밀어지게 됩니다.
통과시킨 사람들은 이번 한번만 귀찮으니까 그냥 넘어가야지.. 내지는 한번만
그냥 봐주자.. 혹은 내가 아는 사람이니까 쉬쉬해야지.. 같은 공적판단을
내리지 못하고 한번 넘겨버린 것이 칼날이 되어 자기들 목을 치러 온다는 것
입니다. 자, 보시죠.. 통과시킬때는 분명 그때 한번만 눈감아주자 였었겠죠..
다음부터는 두번다시 이런건 택도없다라고 생각하면서 말입니다. 그런데 어느
날 갑자기 자기네들이 "공"을 지키지 못하고 한번 통과시켜준 기술이 떡하니
나타나더니 이제부터 너네들은 이 기술을 준수하고 따라라.. 라고 말한다면
어떨거 같습니까? 완전히 어벙찔겁니다. 어벙찌다 못해 기가차고 완전 폭발해
버릴겁니다. 아마, 억울하고 분하고 답답해서 땅을칠지도 모릅니다. 그리고
이렇게 말하겠죠.. 그때 내가.. 조금만 더 냉철하게 판단해서 통과시키지
않도록 끝까지 싸웠다라면.. 지금 이 어이없는 기술이 나의 목에 칼날로 되돌아
오지는 않을텐데.. 라고 말하게 될겁니다.
이런일들은 삶을 살다보면 정말 부지기수로 진짜 많이 발생한다는 겁니다.
이것을 일컬어 우리는 "왜곡" 이라고 부릅니다. 이 "왜곡" 의 정도가 심해질
수록 썩게되는 것이구요. 일종의 닭이 먼저냐 달걀의 먼저냐 문제처럼 교과서를
만든 사람들에게 교과서대로 안한다고 무능력한 존재들이라고 짤라버리는 것과
다를바 없는 그런 격이 발생하는 가장 큰 이유가 "정" 인 것이죠.. 아닌것을
아니라고 말하지 못한 죄.. 틀린것을 맞다고 눈감아 준 죄.. 이 죄로 말미암아
발생할 수 있는 일의 끝은 결국 스스로 썩은 똥물에서 영원히 지내야 할 것이
라는 점.. 이게.. 지금 우리 사회의 모든 분야에서 발생하고 있는 문제점이라고
생각합니다. 역시나 이 분야에서도 마찬가지이구요.. 한국이 정 많은 사회이고
인간스러운 사회인 것은 맞습니다. 그리고 그게 가장 큰 장점이지만, 기술쪽인
부분이나 기타 논리성이 강조되어야 할 분야에서 만큼은 상당히 부작용으로
발생하는 면이 많은게 사실입니다. 아닌것을 아니라고 말하지 못하는 상황..
즉, "공" 과 "사" 가 분리되지 않는 사회이기 때문이죠.. 미국영화 "페임"
이라는 영상물을 보시면 아무리 친한 선생과 제자 사이에서도 결국, 진학문제를
판단할때 선생은 인정에 의한 통과보다는 학생을 위한 탈락을 결정하는 모습을
보이는 장면이 있죠. 이것은 근본적으로 그 나라의 교육문제인 것입니다.
왜 미국이 선진국이고 경찰국가라고 자청하는데 그것이 현실화되고 있는 것일
까요? 음모론때문에? 아닙니다.. 적어도.. 걔네들은 하나만은 확실합니다.
틀린것을 맞다고 말하지 않으며, 이치에 맞지않는 것에 동의를 표시해주지
않는 그들의 문화 때문입니다.(문화: "글월문"이 사용되죠? 즉, 그들의 문자
영어 때문에 국민들의 판단을 내리는 수준이 높아진 것임. 영어 문법구조가
그것을 증명하고 있죠. 그들의 문법은 판단력을 위한 구조를 갖고 있으니까..)
저는, 아닌것을 그리고 틀린것을 고치지 못하고 싸움에서 패배함으로 인해서
얼마전까지도 굉장히 고통속에서 삶을 살아와야 했었습니다. 이미 이 바닥은
승자들이 차지하고 있고, 대부분의 싸우던 사람들은 다 떠나갔거나 저처럼
백기를 든 상태이니까요.. 그래도 틀린 것을 틀렸다라고 말할 자존심은 버리지
않았습니다. 비록 입에 풀칠을 하기위해서.. 스트레스 더 받다가는 죽을것
같아서 살려고.. 백기를 들기는 했지만.. 백기를 든 것이 결코 틀린 것을 맞다
라고 인정하는 것이 아니라는 것..!! 단지, 아닌 것을 Ignore 는 해주겠다는
의미이지만, 절대로 그것을 맞다고 하지는 않는다는 의미의 "백기투항" 인
셈입니다. 이미, 이 바닥은 썩을대로 썩어버린 상황에서 더이상 지원군도 없이
혼자서 싸울수도 없는 노릇이고.. 그렇다고해서 이런 기사를 보고 그냥 지나쳐
넘어갈 것이라고 판단하면 큰 오산입니다. 저는 오프라인과 온라인의 이중인격
을 지닌 사람입니다. 인간 박영호는 이런 기사를 보고 지나칠 수 있을지 모릅
니다. 하지만 AmesianX 는 절대로 이런내용을 보고 지나치지 못합니다. 그것이
제가 지키는 "소신" 입니다.. 비록 싸움에는 패했어도.. 누군가는 이런 글들을
읽어보면서 무엇이 진정으로 맞는 것인가를 반드시 한번씩은 생각해 볼 것이며,
스스로 맞다고 생각한다면 "저항군" 동지가 될 것이기에.. 그들이 싸워서 맞는
것을 지켜나가야 "정화" 가 될 것이며, 그렇게 되어야 우리나라도 떳떳하게
해외의 해커들과 수준을 나란히 할 수 있는 것이죠.
누군가는 읽어볼 것이고 판단을 할 겁니다.. 하지만.. 한가지는 분명합니다..
절대로, "인" 과 "정" 에 의해 오판을 내리는 일은 스스로 안에서 일어나지
않을 것이라는 점. 그렇다면, 그것이 진실인 것입니다. 그 말을 할 수 있는
것이 용기인 것이구요. 진실은 항상 이기고 승리하죠. 굴복하면 반드시 그것이
자기목을 베는 날이 온다는 것쯤은.. 인생을 살다보면 자연스레 알 것임..
거짓말이란 절대적인게 아니라 자기안에 진실에 반대되는 말을 할때 그것이
거짓말이 되는 것임. 즉, 자기안에 믿는 것이 불가능한 것이나 그 어떤 것일
지라도 믿는다면 그것을 말하는 것이 사실이며, 그것과 반대되는 말을 하게
되면 거짓이 되는 것임. 그래서 인간은 진실만을 말하며 살때 그것이 반드시
진실이 되며.. 본인도 역시.. 진실만을 말하고 있을뿐.. 거짓을 말하고 있지
않는 겁니다. 누군가는 판단을 스스로 내리길 바랍니다. 이미, 해외에서는
굳이 고민안해도 자연스럽게 판단을 내릴 수 있는 일들이 국내는 왜 이렇게
어려운 걸까요..? 그냥 까놓고 말해서 좀 제대로 하면 깔끔하고 쿨하게 박수
쳐주고 끝나면 되는일 아닌가.. 제발 그렇게 하도록 해달란 말임.. 제발..
답답하다눈..

그 많은 피싱 메일이나 피싱 메시지들도 사회적 혼란 현상의 일부입니다.
퍼시스턴트 xss란 공격은 저장되어 있을때 큰 가치를 발휘 하는 것도 사실입니다만 혼란의 위협들이 계속 있는 지금 피싱메일과 피싱메시지로 활용되는 non-persistent xss도 무시 할 수 없는겁니다.

일반적인 사이트도 아닌 신뢰가 생명인 금융기관이나 중요 기관들에 대한 것은 기술적 옳고 그름보다는 어떻게 쓰이느냐에 따라 큰 문제가 되죠.

요즘같이 단축 url이 활성화된 시기에 persistent xss만 중요하다라는 말은 문제 있습니다. 정의라는 것은 과거의 사건을 바탕으로 해서 진리가 됩니다. 미래에 발생되는 위협을 대변하는 것은 아닙니다. 과거의 경험들은 미래의 위험들을 해석하고 풀어가는데 참고가 되는 것이 정답이 되는 것이 아닙니다.

취약성의 기술적 정의 보다는 문제가 어떻게 이용되고 활용 될 수 있는지에 따라 평가와 위험성은 달라져야 할 것입니다. 기술을 기본으로 보는 분들이 주로 범하는 오류중 하나는 과거에 경험을 완전한 진리처럼 받아들인다는 것이죠.

그점에서 완전하지 않은 문제라는 인식은 문제 있어 보입니다.

제가 왠만하면 글을 안쓰려고 했는데요.. 역시나 우려했던 부분이라서 언급하고
가도록 하겠습니다.
XSS 라는 기술은 크로스 사이트 스크립트라는 것으로 교차되는 사이트 간에 스크립트
를 먹이는 기술입니다. 이때 그럼 교차란 무엇인가? 그 것을 제대로 이해하지 못하는
오늘날의 해커들(흔히, 교육으로 양산된 해커들.. 또는 멋모르고 이론은 제쳐두고
오직 기술만 파려는 단순기술 해커들..)은 반드시 한번쯤 실수할 수 있는 부분입니다.

위의 기사에서의 기술상에 문제점은 대체 무엇인가?
XSS 는 왜 의미가 있는가?
XSS 는 어떻게 사용되어지는 것인가?

간단한 겁니다. XSS 는 교차 스크립트 기술입니다. 그럴려면 교차되는 상황을 전제
하고 따지고 들어가야 한다는 것입니다. 자.. 먼저, 위에서 스크립트를 누가 보는
것이죠? 누가 봐야 합니까? 해커가 직접 입력하고 해커가 봅니까? 아니죠? 해커가
입력한 것은 교차를 타고 다른 사람의 PC 에 보여져야 하죠? 당근 그렇게 되어야죠?
해커가 자기화면에서만 작동되면 그게 해킹이라고 말하면 참 웃긴거 아닌가요..?
교차스크립트의 의미는 거기에 있는 겁니다. 즉, 자기가 입력하고 남에게 보여져야
한다라는 것이죠..? 이 짓을 왜하는 것인지 근본적인 생각을 하지 못한다면 위와
같은 XSS 가 나오게됩니다. 어처구니 없는 XSS 인데요.. 왜냐면.. 해커가 왜 도대체
왜 XSS 코드를 보여주려고 할까요? 왜 그런걸 자꾸 발견하려 할까요?
간단하지 않나요? 그냥 아무 서버에 http://abc.com/xss.html 를 열람하게 하는게
더 편할 수도 있지않을까요? 아마도 그렇게 된다면 훨씬 더 많은 일을 할 수 있을
테고말입니다..(더한짓도 가능하단 얘기임..)
위에 보면 url 구조에서 검색키워드 부분에 그냥 스크립트를 박았고 그 입력한 내용
이 그대로 뿌려지면서 스크립트가 실행된 것입니다. 즉, 입력한게 그대로 보인꼴인
데요.. 이런류의 XSS 는 사실상 취약점으로 인정되지 않습니다.
왠줄 아십니까?
모든 XSS 공격에는 반드시 저장개념이 성립되지 않으면 반드시 인정될 수 없다라는
것입니다.(왜? 자기가 입력하고 자기가 XSS 실행을 보는 꼴이면, 다른방식도 충분히
많다. 그리고 남이 자기가 전달해 준 XSS를 보고 실행될 수 있다라면, 반드시 그와
동일한 수준의 사용자액션이 필요한 다른 많은 방식들이 더 존재할 수 있다. 즉,
방식이 후졌다.. 라는 얘기임..)
그래서 XSS 라는 기술에는 반드시 한가지 전제조건이 생기게 되었다는 것입니다.
이 부분을 좀 웹해킹을 즐기는 많은 어린해커들과 교육기관을 통해 양성되는 전자동
해커들이 좀 봤으면 좋겠습니다.
요약해 드리죠.
XSS 라는 것은 반드시 영구저장되어야만 그 가치가 있다라는 것입니다. 즉, 위에서는
검색입력 부분에 입력한 XSS 코드가 저장되어야만 한다라는 것입니다. 저 URL 을
누군가에게 더져줘서 클릭을 유도할 것이라면 그보다 더 심한 짓도 가능하다라고
위험수준을 같다라고 보는 것이죠. 그럴꺼면 해커가 자기서버로 접근하게 만들면
더 심한 공격도 가능한데 굳이 저런짓을 안한다는 것입니다.
즉, XSS 는 불특정다수를 노릴수 있는 가치가 있을때만이 기술로서 인정된다는
것입니다. 그럴려면 위에 XSS 코드는 반드시 서버쪽에 저장이 되어야만 합니다.
그게 안되면.. 자기만 보기 편한 XSS 코드가 되는 것일뿐 현실에서는 전혀 위험을
발휘할 수 없다는 것입니다. 즉, 위험성 거의 없음.. 이렇게 되는 것이죠..
왜냐? 저장이 되지 않으므로.. 아무 의미가 없다.
이게 저만의 의견일거 같습니까?
기술을 깊이 연구하고 독학을 하는 대부분의 언더그라운드의 해커들은 아는 내용이
지만, 깊이 고찰하길 싫어하고 이론은 갖다 쓰레기통에나 버리길 원하는 무작정
실행형 해커들은 이런실수를 흔히 범하기가 쉽습니다. 왜냐면.. 해킹은 할 지언정
그 해킹이 진짜로 현실에서 발휘할 수 있는 해킹인지 고찰하지 않으니까요..
이 XSS 가 상당히 쉬운 해킹이지만 반대로 상당히 어려운 해킹으로 파고드는 영역
입니다. 그래서 겉으로 보이는 것만 이해한 해커들은 이런 실수를 범하기 굉장히
쉽다는 것입니다.
제가 말하는게 저만의 의견이 아니며 국제적으로 인정받는 해커들의 의견이라는 것을
확인해보고 싶으시다면 http://www.exploit-db.com/submit/ 를 방문하신 뒤에 첫번째
항목인 Submission Entry Rules 을 읽어보시기 바랍니다.
거기에 보면 가장 첫 번째 항목의 글귀로 이렇게 적혀있습니다.
1) We will not accept non-persistent XSS vulnerabilities
우리는 영구적이지 않은 XSS 취약점은 받지 않는다라고 말입니다. 이들이 왜 받지
않느냐고요? 제가 앞에서 다 설명을 했지요.. 클라이언트의 액션이 서버로 저장되지
않는 XSS 라는 것은 교차의 의미가 살아있지 않다라는 말 이게 핵심입니다.
(교차란 세션의 교차를 의미하지만 그 위험성이 살아있으려면 서버에 영구저장되어
해커대신 접근하는 의미의 교차가 더 맞는 이야기라는 소리임.)
이걸 제대로 이해하지 못하는 해커들이 의외로 많더군요.. 이거 이해 못하면 어디가서
웹해킹한다고 명함내밀면 손짤림..