[보안 해킹] 홈페이지 보안취약점 - 관리자페이지 노출 취약점

[보안 해킹] 홈페이지 보안취약점 - 관리자페이지 노출 취약점

 

 

 

■ 취약점 설명 및 사례

    ⑴ 취약점 설명

        - 관리자페이지가 인터넷을 통해 접근 가능할 경우, 공격자의 주 타켓이 되어, 공격자의 SQL 인젝션, Brute-Force공격 등 다양한 형태의 공격의 빌미를 제공하게 되는 취약점

 

    ⑵ 사례

        ① OO기관의 경우 관리자 외의 IP에서 관리자페이지로 접근이 가능함. 소스보기로 관리프로그램 로그인 페이지 확인 가능

 

        ② OO병원은 유추하기 쉬운 URL을 사용하여 관리자페이지의 임의 접근이 가능

 

 

■ 점검방법

    - 직접 점검하는 방법으로 점검하고, 구글 웹사이트를 활용하여 추가 점검

 

    ⑴ 직접 점검하는 방법

        ① 관리자 페이지 위치를 알지 못할 경우 일반적으로 많이 사용하는 관리자 페이지 명을 입력하여 관리자 페이지가 존재하는지 점검

            예) 관리자 페이지 주소

                http://admin.test.co.kr

                http://www.test.co.kr/admin

                http://www.test.co.kr/manager

                http://www.test.co.kr/master

                http://www.test.co.kr/system

                http://www.test.co.kr/adm

        ② 사용자 인증을 통과하여 페이지에 접속한 후 인증과정 없이 중간 페이지에 접속을 시도하여 접속이 가능한지 점검

 

 

        ③ 웹서버 내부 파일명을 알고 있을 경우 웹서버에서 관리자 페이지로 이용되는 웹페이지(파일) 목록을 확인하여 웹 브라우저를 통해 직접 접속을 시도

 

 

    ⑵ 구글 검색엔진을 통한 점검 방법

        ① 구글고급검색(https://www.google.co.kr/advanced_search) 사이트에 접속

        ② 도메인 설정에 해당 웹서버 주소를 입력하고 검색어 입력란에는 다음의 검색어를 각각 입력하여 ID/PW 및 관리자 웹서버(관리자 로그인 등) 노출 페이지를 검색

 

          예) 비밀번호 검색

               구글고급검색페이지에 "다음 단어 모두 포함:"에 아래의 내용을 포함

                   login|login

                   password|passcode|비밀번호|"your password is"|"당신의 비밀번호는"

                   admin|administrator

              ※ 검색어는 공백(빈칸)이 포함되지 않아야함. 공백을 포함하기 위해서는 인용부호(")를 이용함

                   (예. "your password is")

■ 대응방안

    ⑴ 웹 서버 내에서의 조치

        ① 홈페이지 관리자 페이지는 관리용으로 지정된 디렉토리에만 보관하여 운영

        ② 홈페이지 관리자 페이지에 임의의 사용자가 접근할 수 없도록 접근권한을 설정하여, 접근할 수 있는 권한을 가진 단말기만 접근 가능 하도록 설정

            - 윈도우즈 서버의 [인터넷 서비스 관리자(ISS)] 조치방법

              : 설정 -> 제어판 -> 관리도구 -> "인터넷 서비스 관리자" 실행 -> "인터넷정보서비스"에서 관리자(admin)디렉토리를 선택한 후 마우스 오른쪽 클릭 -> 등록정보 -> 디렉토리보안 -> IP주소 및 도메인 이름제한 -> "편집"을 통해 관리자 IP만 등록 "확인"을 통해 임의 사용자 접근을 제한함

            - 유닉스 및 리눅스의 [아파치(Apache] 조치방법

              : 아파치 웹서버의 설정 파일인 httpd.conf 파일에서 "Directory"내의 AllowOverride를 찾아 AutoConfig 또는 All을 추가함

               예) /usr/local/www/admin 폴더를 192.168.0.10만 허용하고 모두 차단할 경우

                    <Directory "/usr/local/www/admin/">

                         Order allow,deny

                         Deny from all

                         allow from 192.168.0.10

                    </Directory>

               ▶ 웹서버의 웹 관리자 메뉴의 접근을 특정 네트워크 대역으로 제한하여 IP주소까지 인증 요소로 체크하도록 웹 관리자 사용자 인터페이스를 개발

               ▶ 홈페이지 관리자 페이지는 주소를 직접 입력하여 인증과정 없이 접속하지 못하도록 관리자 페이지 각각에 대하여 관리자 인증을 위한 세션 관리를 수행

 

    ⑵ 구글 검색기에 노출된 경우의 조치

        ① 구글에 노출된 홈페이지 관리자 페이지 정보의 캐시 삭제를 요청

        ② 웹서버에 노출 방지 표준(인터넷검색엔진배제표준)을 이용하여 개인정보가 포함된 주소를 지정하는 robots.txt 파일을 만들어 가상서버의 최상단 폴더에 저장하거나 해당 페이지의 HTML 안에 메타태그를 입력

※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853

문의 사항 남기기