이번 시간에는 웹 취약점 중 하나인 관리자 페이지 노출 취약점에 대해 알아보고, 해당 취약점에 대응하기 위해서는 어떻게 해야하는지 해당 취약점으로 인해 발생할 수 있는 보안 위협으로는 어떤 것들이 있는지 알아보도록 하겠습니다.
관리자 페이지 노출 취약점이란 ?
- 이름 그대로 관리자 페이지가 노출 되어져 있는 경우를 의미합니다.
- 즉, 일반 사용자가 접근하여서는 안되는 관리자 페이지가 인터넷 상에 노출되어져 관리자 페이지 주소를 추측하는 등 외부에서 접근이 가능한 경우를 의미하는 취약점입니다.
- 위 사진을 보면 아무런 제약 없이 누구나 관리자 페이지에 접근할 수 있는 것을 확인할 수 있는데 이렇게 관리자 페이지가 노출이 된 경우 관리자 페이지 노출 취약점이 있다고 판단합니다.
관리자 페이지가 노출이 될 경우 발생할 수 있는 보안 위협
위 사진과 같이 관리자 페이지가 노출 됨으로 인해 발생할 수 있는 보안 위협에 대해 알아보도록 하겠습니다.
- 관리자 페이지가 노출이 된 자체만으로 공격자들의 주 타겟이 된다.
- 무차별 대입 공격(Brute Force) 또는 SQL Injection 같은 공격으로 인해 로그인을 우회하여 접속하거나 비밀번호가 유출 될 수도 있다.
- 이미 위와 같은 공격에 당했을 경우 웹 서버에 저장된 민감한 정보가 유출되거나 중요한 정보들이 유출될 수 있다.
관리자 페이지 노출 취약점 대응 방안
- 근본적인 문제를 해결하려면 비인가된 사용자가 관리자 페이지에 접근할 수 없도록 지정된 IP 또는 IP 대역에서만 접근할 수 있도록 접근 제한을 하는 것이 가장 좋은 방법이다.
- 하지만 부득이하게 관리자 페이지를 노출해야 할 경우 하위 URL 을 유추하기 어려운 이름으로 변경하고, 접근할 수 있는 포트 번호 또한 변경한 후 중요한 파일이 저장 된 웹 서버의 경우에는 2차 인증을 거치는 방법 등을 사용하여 비인가된 사용자가 접근하기 힘들게 하는 방법이 해당 취약점에 대응할 수 있는 방안이다.
※ 만약 기술적인 문제 또는 다양한 여러 상황들로 인해 해당 문제 해결이 불가능 할 것이라 판단된 경우에는 해당 문제를 수용 할 필요가 있을 수도 있다. 이런 상황에서는 해당 문제를 수용하고, 관리적인 부분을 이용해 해당 문제를 풀어나갈 수 있도록 해야할 것이다.
'CERT > 웹 취약점' 카테고리의 다른 글
| [웹 취약점]계정 관리 취약점의 정의 및 대응 방안 (0) | 2023.04.08 |
|---|---|
| [웹 취약점]취약한 파일 존재 취약점 정의 및 대응 방안 (0) | 2023.04.08 |
| [웹 취약점] 불필요한 Method 허용 취약점의 정의 및 대응 방안 (0) | 2023.04.01 |
| [웹 취약점]시스템 관리 취약점의 정의 및 대응 방안 (0) | 2023.04.01 |
| [웹 취약점]디렉터리 나열(Directory Listing) 취약점의 정의 및 대응 방안 (0) | 2023.04.01 |
