NAVER Band XSS 취약점

이 친구랑 네이버 취약점 찾기로 경쟁이 붙어서 찾은 자습시간에 찾은 취약점이다. 네이버에서 운영하는 작은 카페 개념의 BAND 에서 찾은 Stored XSS 취약점이다. 

네이버 BAND Stored XSS 취약점

공격 벡터 

최근에 SSRF 공격 기법을 제대로 활용하는 방법을 알게 되어 URL 을 갖고 놀다가 발견하였다. 아래 사진처럼 링크를 입력했다. 

링크 뒤에 " 도 있다. 근데 링크에는 http://dimitrust.oa.to/ 라는 값밖에 안들어간다. "(더블쿼터)가 아무런 필터링 없이 그대로 HTML로 들어간 것이다. 

HTML 소스를 보면 위와 같이 들어가 있다. 이 때 HTML Attribute를 쇼쇼쇽해서 XSS를 할 수 있다. onclick이나 onmouseover같은 속성을 사용하면 된다. 

Exploit 

http://dimitrust.oa.to/"/onmouseover="confirm(document.cookie)"/asdf=" 

이렇게 입력하면 HTML Attribute Injection? 이런게 가능하다. onmouseover 덕분에 confirm() 함수를 <a> 태그에 마우스가 올려질 때마다 실행할 수 있다. 

HTML 코드를 보면 아래처럼 들어가 있다. 

http://dimitrust.oa.to/"/onmouseover="confirm(document.cookie)"/asdf="

음.. 생각보다 쉽게 찾은 취약점이라서 뭔가 덤덤하다. 

역시 이번에도,,,포상금은 없었다...