주요정보통신기반 웹 취약 분석 평가 방법 24번째 항목인 관리자 페이지 노출(Administrator page Exposure/AE)다.
웹 취약 분석 평가 방법은 총 28가지로 이제 거의 막바지에 도달했다.
취약점 내역들을 슥 훑어보니 깊게 해야될 만한 취약점 없이 전부 다 라이트하게 볼 만한 취약점들이다. (오늘 안에 정리가 끝날지도..??)
관리자 페이지 노출은 정말 말 그대로 일반 사용자들에게 관리자 페이지가 노출되는 취약점이다. 관리자 페이지를 너무 유추하기 쉽게 설정해놓은 경우, 예를 들어 admin, manager 등으로 페이지를 만드는 경우를 들 수 있다.
거기에 더해 관리자 계정을 충분히 게싱할 수 있게 설정한 경우도 이와 마찬가지로 볼 수 있다.
내 기억상으로 tomcat이 이런 취약점이 있었던 것으로 기억하고 아마 기기나 서버 설정이 초반에 관리자 계정과 비밀번호가 굉장히 쉽게 설정해놔서 이와 같은 취약점에 항상 노출이 되어 있을 것이다.
AE의 보안설정방법
- 일반 사용자의 접근이 불필요한 관리자 로그인 페이지 주소를 유추하기 어려운 이름으로 변경하고 관리자 페이지 접근 포트도 변경함
유추가 힘들게끔 관리자 페이지 주소를 설정하는 것이다. 근데 여기서 포트의 변경?? 권고는 하는데 이걸로 보안을 신경쓴다 라고 생각하면 절대 안된다. 포트 번호와 페이지 주소를 다르게 설정하는 것은 그냥 유추하기 어렵게끔 하는 방법일 뿐 누군가가 허락없이 접속하는 것을 방지해주지 못한다. 참고로 포트 번호 따위 백날 다르게 설정해봐야 스캐너 한 번 훑으면 걍 보인다. 이건 왜 권고사항인지 모르겠음. 뭐 안하는 거보다야 나으니까~
+ 페이지 주소를 어렵게 설정하는 것은 보안을 신경쓰는게 맞음. 헷갈리지 말기
- 관리자 페이지의 하위 페이지 URL을 직접 입력하여 접근하지 못하도록 페이지마다 세션 검증이 필요함
- 관리자 페이지 이외에도 특정 사용자만 접근 가능한 페이지들은 정상적인 프로세스에 따라 접근할 수 있도록 페이지마다 세션 검증이 필요함
- 웹 방화벽을 이용하여 특정 IP만 접근 가능할 수 있도록 룰셋 적용
이런 것들이 보안을 신경쓴다 볼 수 있다. 세션이나 IP 룰셋으로 특정 사용자(들)만 사용이 가능할 수 있게 조취해주는 것.
'주요정보통신기반 웹 취약점 분석·평가 항목' 카테고리의 다른 글
| 위치 공개(PL) (0) | 2025.05.26 |
|---|---|
| 경로 추적(PT) (0) | 2025.05.26 |
| 파일 다운로드(FD) (0) | 2025.05.26 |
| 파일 업로드(FU) (0) | 2025.05.26 |
| 프로세스 검증 누락(PV) (0) | 2025.05.26 |
