README.md

CVE-2024-29041 | Open Redirect

화이트햇 스쿨 3기 (19반) - 정민석 (@j93es) / Blog Link

요약

아래 Express 버전에서 req.location() 혹은 내부적으로 req.location()을 이용하는 req.redirect()에서는 헤더의 Location에 값을 넣기 전, encodeurl()이라는 함수를 이용하여 인코딩합니다. 이러한 과정에서 리디렉션 화이트리스트를 우회할 수 있는 가능성이 발생합니다.

• < 4.19.2
• >= 5.0.0-alpha.1, < 5.0.0-beta.3

PoC 구성

먼저 normal-app, vuln-app 2개의 express 서비스를 제작하였습니다. 두 서비스는 모두 query의 q에 있는 url을 파싱한 후, Location 헤더에 넣어 응답을 반환합니다.

// index.js
const express = require("express");
const app = express();
const port = 3000;

app.use(function (req, res) {
  res.location(req.query.q).end();
});

app.listen(port, () => {
  console.log(`Example app listening at http://localhost:${port}`);
});

각 app의 package.json에 express 버전을 명시하였습니다. vuln-app은 4.19.0, normal-app은 패치가 완료된 4.19.2로 구동됩니다.

환경 구성 및 실행

8002에는 취약한 버전의 Express가, 8003 포트에는 안전한 버전의 Express가 구동됩니다.

# 이미지 빌드
make build

# 컨테이너 실행
make up

# 종료
make down

# 로그 보기
make logs

# 컨테이너 재시작
make restart

# 컨테이너 및 이미지 제거 가능
make clean

# 이미지 제거 후 재빌드
make rebuild

결과

요청

패치 내역1과 패치 내역2의 테스트 코드를 참고하여 요청 URL을 선정하였습니다.

curl -i -X GET "http://localhost:8003?q=http://google.com%5C%5C@apple.com"

안전한 Express 서버(8003 포트)

취약한 Express 서버(8002 포트)

정리

http://localhost:8003?q=http://google.com%5C%5C@apple.com 요청 시 Location 헤더에, 첫 번째 URL인 http://google.com\\@apple.com에서는 이중 백슬래시(\)가 브라우저나 파서에 따라 단일 백슬래시로 해석될 수 있고, 이후 @ 기호가 나오면 앞의 부분이 사용자 인증 정보로 해석되고 실제 도메인은 apple.com으로 처리될 가능성이 있습니다. 두 번째 URL인 http://google.com\%5C@apple.com에서는 %5C가 백슬래시의 URL 인코딩 형태이지만, 이미 백슬래시(\)로 이스케이프되어 있어 전체 문자열이 \%<5C@apple.com으로 해석될 가능성이 높습니다. 이 경우 URL 파싱 오류가 발생하거나 의도한 리다이렉션이 제대로 작동하지 않을 수 있습니다. 이러한 유형의 URL은 URL 스푸핑이나 오픈 리다이렉트 취약점 등 보안 문제를 일으킬 수 있습니다.