[12월 18일] 취약점 공격하기

 

🔓 취약점: 세션 고정 및 CSRF를 통한 계정 탈취 (Session Fixation via CSRF)

 

OWASP 분류:

A01:2021 – Broken Access Control

(권한 제어 미흡) 사용자가 자신의 권한 밖의 데이터나 기능에 접근할 수 있는 상태를 의미하며, 요청의 정당성을 검증하는 Anti-CSRF 토큰의 부재와 로그인 시 세션 재발급 미흡이 결합된 상태입니다.

 

원인:

• Absence of Anti-CSRF Token: 중요 요청(로그인, 검색, 설정 변경 등) 시 요청의 출처를 검증하는 고유 토큰이 없음.
• Session Management Failure: 사용자가 로그인을 시도할 때, 기존에 할당된 세션 ID를 파기하고 새로 발급(Regeneration)하지 않음.
• XSS/CSRF Vulnerability: 게시판 등에서 외부 스크립트 실행이 가능하여 사용자의 세션 설정을 강제로 변경할 수 있음.

📌 설명 "공격자가 미리 생성한 세션 ID(DEADBEEF)를 CSRF 공격을 통해 피해자의 브라우저에 강제로 주입하고, 피해자가 해

당 ID로 로그인을 완료하면 공격자가 피해자와 동일한 세션(열쇠)을 공유하여 계정 권한을 완전히 탈취함"

 

 

🔍 공격 도구 및 페이로드 예시

• 공격 세션 ID: PHPSESSID=DEADBEEF-SESSION-2026
• 공격 페이로드: <script>document.cookie = "PHPSESSID=DEADBEEF-SESSION-2026; path=/";</script>
• 피싱 URL: http://192.168.16.43/index.php

 

💥 보안 영향

• 환자 계정 탈취: ID/PW 없이도 피해자의 마이페이지, 진료 내역, 개인정보에 무단 접근 가능.
• 의료 데이터 무결성 파괴: 탈취한 계정을 이용해 기존 진료 예약을 무단으로 취소하거나 진료 기록을 조작.
• 관리자 권한 승격: 관리자가 공격자의 낚시글을 읽을 경우, 관리자 권한을 탈취당하여 시스템 전체가 장악될 위험 존재.

 

🛠️ 대응 방안

• Session Regeneration: 사용자가 로그인을 성공할 때마다 기존 세션 ID를 파기하고 session_regenerate_id(true) 등을 호출하여 새로운 세션 ID를 발급.
• Anti-CSRF Token 적용: 모든 POST 요청 및 상태 변경 요청에 대해 서버에서 생성한 무작위 토큰을 포함하고 검증.
• HttpOnly & Secure Flag: 쿠키 설정 시 자바스크립트가 접근하지 못하도록 HttpOnly 속성을 부여하고, session.use_strict_mode를 활성화하여 서버가 발급하지 않은 세션 ID 거부.

 

 

공격자는 XSS 공격 스크립트를 작성하여

관심을 끌기 쉬운 제목으로 건의사항 게시판에 게시글을 작성합니다.

상대방이 내가 정해둔 세션 ID를 사용하여 로그인하도록 유도함으로써, 서버가 그 세션 ID에 로그인 권한을 부여하게 만듭니다.

해당 스크립트는 세션ID를 고정시키는 스크립트로서, 해당 게시글을 클릭하면 메인페이지로 이동하며, 그 상태로 공격자가 지정한 세션ID를 사용하여 로그인하게됩니다.

 

피해자는 건의사항 게시판에서 흥미로운 게시글을 발견해서 클릭을 하였지만, 메인페이지로 이동됩니다.

 

메인페이지로 이동한 즉시, 세션ID가 공격자가 지정한대로 고정된 것을 확인할 수 있습니다. 이 상태로 피해자는 자신의 ID로 로그인하게 됩니다.

 

로그인 즉시 서버는 세션 ID를 피해자의 계정과 매핑하고 로그인 권한을 부여합니다. 따라서 공격자는 해당 세션 ID만으로도 로그인이 가능하게 됩니다.

 

공격자의 웹페이지의 개발자모드에서 세션ID 값을 'DEADBEEF-SESSION-2026' 으로 수정하였더니, 해당 피해자의 계정으로 로그인된것을 알 수 있습니다. 

 

피해자가 예약한 진료들을 취소합니다