[DVWA] CSP Bypass (Low)

CSP (Content Security Policy)

신뢰된 웹 페이지 컨텍스트에서 악의적인 콘텐츠를 실행하게 하는 XSS, Click Jacking, 그리고

기타 Code Injection 공격을 예방하기 위해 도입된 컴퓨터 보안 표준

 

 

페이지 화면

[DVWA - CSP Bypass]

- 외부 소스로부터 스크립트를 포함시킬 수 있다고 한다!

- URL을 해당 입력 폼에 포함하여 Include 버튼을 누르면 되는 방식인듯 하다.

 

먼저 URL을 입력하기 전에 소스코드부터 살펴보도록 하자!

 

 

소스코드

[CSP Bypass 페이지 - 소스코드]

- $headerCSP의 주석 부분으로 self와 pastebin.com, hastebin.com과 jquery 그리고 구글 애널리틱스를

  허용한다고 작성되어 있다.

- 나는 self로 JavaScript를 작성하여 js 파일이 위치한 경로를 URL로 삽입하는 방식으로 실습을 진행했다!

- 사실 pastebin.com을 이용하여 Include를 해보았지만, 어찌된 영문인지 스크립트가 잘 실행이 되지 않았다…

 

 

JavaScript 파일 작성

[csp_bypass.js]

- vi [생성할 js 파일 이름] 을 이용하여 임의의 js 파일을 생성하였다.

- 간단히 alert 함수를 이용하여 Script를 작성하였다!

 

 

URL을 통한 해당 파일 접근

[csp_bypass.js - 웹 브라우저로 탐색]

- 웹 루트 디렉토리에 생성한 csp_bypass.js 파일이 정상적으로 로드된다.

- 이제 해당 URL을 Include 하여보도록 하자!

 

 

입력 폼에 csp_bypass 경로 입력 후 Inlcude

[csp_bypass.js의 내용부 스크립트 실행]

- Include 시 csp_bypass.js 의 Script가 실행되는 것을 확인할 수 있다!