[보안 해킹] 홈페이지 보안 취약점 - 실명인증 취약점 ■ 취약점 설명 및 사례 ⑴ 취약점 설명 - 실명인증 우회 취약점은 사용자 본인 확인 과정상에서 취약한 프로그램을 악용하여 사용자 정보를 변조하는 것임 - 실명인증 취약점을 통해 관리자로 위장하여 개인정보를 수집하거나 홈페이지 가입 시 제공하는 포인트 등을 악용하는 등의 공격이 발생 가능함 ※ 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 의거, 국가기관, 지방자치단체 및 공공단체 등에서 운영하는 게시판은 사용자 본인을 확인하기 위한 방법 및 절차가 마련되어야 함 ⑵ 사례 ① OO기관은 정상적으로 실명인증을 받은 후 개인정보 입력 시 이름과 주민등록번호를 변조 하여 전송하면 변조된 이름으로 회원가입이 가능 ■ 점검방법 ⑴ 웹 프록시(Proxy..

[보안 해킹] 홈페이지 보안 취약점 - 계정관리 취약점 ■ 취약점 설명 및 사례 ⑴ 취약점 설명 - 회원가입 시에 안전한 패스워드 규칙이 적용되지 않아서 취약한 패스워드로 회원 가입이 가능할 경우 무차별 대입공격을 통해 패스워드가 누출 될 수 있는 취약점 ⑵ 사례 ① OO학교는 취약한 사용자 계정 생성으로 인해, 추측을 통한 사용자 계정의 이용이 가능 - 계정, 비밀번호 유추를 통해서 admin 계정으로 로그인 시도 - admin 계정의, 비밀번호 admin1234로 로그인에 성공 ■ 점검방법 ⑴ 로그인 페이지에서 추측 가능한 계정으로 로그인 시도 예) master, webmaster, admin, administrator, root, manager, test, masterweb) ① "test" 계정(..

[보안 해킹] 홈페이지 보안 취약점 - 취약한 파일 존재 ■ 취약점 설명 및 사례 ⑴ 취약점 설명 - 웹 루트 하위에 내부 문서나 백업파일, 로그파일, 압축파일과 같은 파일이 존재할 경우 파일명을 유추하여 파일명을 알아내고, 직접 요청하여 해킹에 필요한 서비스 정보를 획득할 수 있는 취약점 ⑵ 사례 ① OO서비스는 웹 서버 개발 시 개발·보수 등의 이유로 임시 페이지로 인해 시스템 정보가 노출 ② OO기관은 테스트용으로 사용했던 페이지가 존재 ■ 점검방법 ⑴ 웹서버의 가상 디렉토리로 이동하여 다음에 제시되는 확장자의 파일을 찾아 불필요한 정보가 포함 되었는지 여부를 판단 ※ 문서파일일 경우 내용에 개인정보 등의 주요정보 존재여부 확인 필요 구 분 검색할 파일의 형식(확장자) 압축파일 .zip, .rar,..

[보안 해킹] 홈페이지 보안취약점 - 디렉토리 노출 취약점 ■ 취약점 설명 및 사례 ⑴ 취약점 설명 - 서버내의 모든 디렉토리 혹은 중요한 정보가 포함된 디렉토리에 대해 인덱싱이 가능하게 설정되어 중요파일 정보가 노출될 수 있는 취약점 ⑵ 사례 ① OO기관의 일부 페이지에서 디렉토리 나열 취약점이 존재하여 내부구조를 확인할 수 있음 ② OO대학은 일부 페이지에서 디렉토리 나열 취약점이 존재하여 웹서버 내 파일 목록 열람 가능 ■ 점검방법 ⑴ 직접 점검방법 ① 점검 대상 웹 사이트의 하위 디렉토리 정보를 사전에 모두 확인 ② 웹 루트(Root)의 모든 하위 디렉토리에 대해서 웹 브라우저에 해당 주소를 입력하여 디렉토리 리스팅 취약점 존재여부를 점검 ※ 참고사항 http://test.co.kr/ 이란 웹서버..

[보안 해킹] 홈페이지 보안취약점 - 관리자페이지 노출 취약점 ■ 취약점 설명 및 사례 ⑴ 취약점 설명 - 관리자페이지가 인터넷을 통해 접근 가능할 경우, 공격자의 주 타켓이 되어, 공격자의 SQL 인젝션, Brute-Force공격 등 다양한 형태의 공격의 빌미를 제공하게 되는 취약점 ⑵ 사례 ① OO기관의 경우 관리자 외의 IP에서 관리자페이지로 접근이 가능함. 소스보기로 관리프로그램 로그인 페이지 확인 가능 ② OO병원은 유추하기 쉬운 URL을 사용하여 관리자페이지의 임의 접근이 가능 ■ 점검방법 - 직접 점검하는 방법으로 점검하고, 구글 웹사이트를 활용하여 추가 점검 ⑴ 직접 점검하는 방법 ① 관리자 페이지 위치를 알지 못할 경우 일반적으로 많이 사용하는 관리자 페이지 명을 입력하여 관리자 페이지가..