DOM-based vulnerabilities

🔎 What is DOM?

DOM(Document Object Model)은 HTML, XML과 같은 마크업 언어를 객체 모델(트리 노드)로 변환하여 Javascript, Java와 같은 프로그래밍 언어에서 접근 가능하게 하며, 웹 브라우저에 렌더링할 수 있도록 해주는 인터페이스 입니다.

웹 브라우저 동작 원리

1. 사용자가 웹페이지를 요청하면 서버는 HTML, CSS, JavaScript등의 문서들을 브라우저로 응답한다.
2. 이때 렌더링 엔진은 응답받은 문서들을 파싱한 뒤 트리를 생성한다. 트리를 생성하기 위해 필요한 두 모델이 바로 DOM(Document Object Model)과 CSSOM(Cascading Style Sheets Object Model)이다. 렌더링 엔진은 HTML과 CSS를 파싱하여 각각 DOM tree와 CSSOM tree를 생성한다.
3. 자바스크립트는 렌더링 엔진이 아닌 자바스크립트엔진에 의해 파싱된다. 파싱한 결과를 노드 트리에 적용한다.
4. 이를 기반으로 렌더 트리를 생성한다.
5. 이렇게 생성된 렌더 트리를 기반으로 웹 브라우저는 사용자에게 필요한 정보를 페이지에 렌더링한다.

렌더링 엔진이 브라우저에 렌더링 하기 위해 필요한 이 과정을 CRP(Critical Rendering Path)라고 한다.
렌더링 엔진이 HTML 문서를 파싱하고 태그들을 DOM tree로 변환시키는 과정은 다음과 같다.

<html>
<head>
  <title>Understanding the Critical Rendering Path</title>
  <link rel="stylesheet" href="style.css">
</head>
<body>
  <header>
      <h1>Understanding the Critical Rendering Path</h1>
  </header>
  <main>
      <h2>Introduction</h2>
      <p>Lorem ipsum dolor sit amet</p>
  </main>
  <footer>
      <small>Copyright 2017</small>
  </footer>
</body>
</html>

위와 같은 태그 구조를 아래와 같은 tree node로 변환시킨다.

DOM

위와 같은 구조의 트리노드를 DOM이라고 한다.

CSSOM

CSSOM도 마찬가지로 트리노드로 표현되며, DOM, CSSOM, Javascript를 모두 합친 결과가 바로 렌더 트리이다.

🔎 What is taint flow?

많은 DOM 기반 취약점은 클라이언트 측 코드가 공격자가 제어할 수 있는 데이터를 조작하는 방법과 관련된 문제로 역추적 될 수 있습니다.
이러한 취약점을 악용하거나 완화하려면 먼저 Source와 Sink 간의 흐름에 대한 기본사항을 알고 있어야 합니다.

Source

Source는 잠재적으로 공격자가 제어할 수 있는 데이터를 허용하는 JavaScript 속성입니다.
Source의 예로는 location.search 쿼리 문자열에서 입력을 읽기 때문에 공격자 입장에서 비교적 쉽게 컨트롤할 수 있습니다.
궁극적으로 모든 재산은 공격자의 잠재적인 소스에 의해 컨트롤 될 수 있습니다. 여기에는 referring URL(eocument.referrer 문자열에 노출),유저 쿠키(document.cookie 문자열에 노출), 웹 메시지가 포함됩니다.

Sinks

Sink는 잠재적으로 위험한 JavaScript함수 또는 DOM 개채로, 공격자가 컨트롤하는 데이터가 전달될 경우 원하지 않는 영향을 끼칠 수 있습니다.
예를 들어 eval() 함수는 JavaScript로 전달되는 인수를 처리하기 때문에 Sink입니다.
HTML sink의 예로는 공격자가 악의적인 HTML을 주입하고 JavScript를 실행시킬 수 있는 document.body.innerHTML가 있습니다.

기본적으로 DOM 기반 취약점은 웹 사이트가 Source에서 Sink로 데이터를 전달할 때 발생하며, Sink는 클라리언트 세션의 컨텍스트에서 안전하지 않은 방식으로 데이터를 처리합니다.

가장 일반적인 소스는 location 개채와 함께 액세스되는 URL입니다.

goto = location.hash.slice(1)
if (goto.startsWith('https:')) {
  location = goto;
}

Source가 안전하지 않은 방식으로 처리되기 때문에 해당 코드는 DOM 기반 Open Redirection에 취약합니다.
해당 코드는 아래와 같이 URL을 구성하여 취약점을 악용하여 피해자가 해당 URL을 방문하면 JavaScript는 location 속성 값을 https://www.evil-user.net 으로 설정하여 피해자를 리다이렉션 합니다.

https://www.innocent-website.com/example#https://www.evil-user.net

• Common sources

taint-flow에 취약점에 사용할 수 있는 일반적인 소스입니다.

document.URL
document.documentURI
document.URLUnencoded
document.baseURI
location
document.cookie
document.referrer
window.name
history.pushState
history.replaceState
localStorage
sessionStorage
IndexedDB (mozIndexedDB, webkitIndexedDB, msIndexedDB)
Database

다음과 같은 종류의 데이터도 taint-flow 취약점을 악용하는 소스로 사용할 수 있습니다.

//페이로드 입력시 입력되어 들어가지는값

{"results":[], 
"searchTerm":"\\"-alert(1)}//" }

<><img src=1 onerror=alert(1)>

• Lead to DOM-based vulnerabilities sinks

👀 How to Prevent ?

DOM 기반 공격의 위협을 완전히 제거하기 위해 취할 수 있는 단일 조치는 없습니다.
그러나 일반적으로 DOM 기반 취약점을 피하는 가장 효과적인 방법은 신뢰 할 수 없는 소스의 데이터가 Sink로 전송되는 값을 동적으로 변경하는 것을 방지하는 것 입니다.

애플리케이션의 원하는 기능이 이러한 동작을 피할 수 없을 경우 클라이언트 측 코드 내에서 방어가 구현되어야 합니다. 대부분의 경우 안전하다고 알려진 콘텐츠만 허용하면서 화이트리스트 기반으로 관련 데이터를 검증할 수 있습니다. 다른 경우에는 데이터를 삭제하거나 인코딩 해야합니다.
복잡한 작업일 수 있지만 데이터를 삽입할 컨텍스트에 따라 JavaScript escaping, HTML 인코딩, URL 인코딩 등의 조합이 포함될 수 있습니다.

🐞 BugBounty Write up

📃 References

• PortSwigger DOM-based vulnerabilities
• What, exactly, is the DOM?
• Understanding the Critical Rendering Path
• DOM이란 무엇인가