[WEB-HACKING] HTML 이벤트 속성 모음 & XSS 응용

🔒정보보안/웹 보안

[WEB-HACKING] HTML 이벤트 속성 모음 & XSS 응용

Janger 2021. 11. 15. 08:24

728x90

아래의 이벤트 속성들은 모두 Script(자바스크립트)의 값만을 받고 있으며, 사용자가 특정 조건을 만족하게 되면 이벤트가 발생을 하게 됩니다.

[Window Event Attributes]

onafterprint

onbeforeprint

onbeforeunload

onerror

onhashchange

onload

onmessage

onoffline

ononline

onpagehide

onpageshow

onpopstate

onresize

onstorage

onunload

[Form Events]

onblur

onchange

oncontextmenu

onfocus

oninput

oninvalid

onreset

onsearch

onselect

onsubmit

[Mouse Events]

onclick

ondblclick

onmousedown

onmousemove

onmouseout

onmouseover

onmouseup

onmousewheel

onwheel

[Drag Events]

ondrag

ondragend

ondragenter

ondragleave

ondragover

ondragstart

ondrop

onscroll

[Clipboard Events]

oncopy

oncut

onpaste

[Media Events]

onabort

oncanplay

oncanplaythrough

oncuechange

ondurationchange

onemptied

onended

onerror

onloadeddata

onloadedmetadata

onloadstart

onpause

onplay

onplaying

onprogress

onratechange

onseeked

onseeking

onstalled

onsuspend

ontimeupdate

onvolumechange

[Misc Events]

ontoggle

생각보다 정말 많은 속성들이 존재를 하는데요. 아무리 웹 개발을 오래 한다고 해도 위의 속성들을 전부 사용하는 것은 어려운 일입니다.

이를 악용하여 해커는 위의 다양한 속성들을 이용해 XSS(Cross-Site Scripting)을 시도해 볼 수 있다는 사실..

공개 게시판이나 쪽지, Q/A를 작성을 하는 에디터 영역에 다양한 태그들과 함께 아래의 속성들을 함께 첨부할 수가 있습니다.

저의 개인 사이트에서 실습을 해보았습니다.

[XSS 테스트]

아래의 속성들을 클립보드에 복사를 해 Q&A 게시판에 붙여 넣기를 한 다음에 글을 업로드합니다.

그렇게 되면 사이트가 필터링을 하는 키워드와 필터링을 하지 않는 키워드들을 확인할 수 있게 됩니다.

ex) onloadstart -> on-loadstart

위의 필터링을 거치지 않은 속성인 onplay 속성을 사용해 비디오 태그와 함께 게시글을 업로드를 해보게 되면,

특정 조건을 만족했을 경우에(비디오를 실행을 시켰을 때) 자바스크립트 코드가 정상적으로 실행을 하는 것을 확인할 수 있습니다.

위의 공격을 막을 수 있는 방법은 위의 이벤트 속성의 키워드들을 찾아내서 필터링을 거친다거나, 아니면 더 안전한 방식으로 미리 허용된 태그만 사용할 수 있는 것처럼 태그 부분에는 이벤트 속성 값이 아예 오지 못하도록 제거를 시키면 됩니다.

HTML Event Attributes.txt

0.00MB

더욱 자세한 이벤트 속성 정보를 확인하고 싶다면:

https://www.w3schools.com/tags/ref_eventattributes.asp

728x90