24. 관리자 페이지 노출(AE)

 

관리자 페이지 주소가 추측하기 쉬운 주소로 되어있거나 관리자 페이지에서의 관리자 아이디가 단순한 경우에 해커로부터의 정보탈취 및 변조가 가능한 취약점을 의미 합니다.

일반 사용자가 사용하는 웹 기능에서의 정보를 관리하고, 오류를 처리하기 위한 관리자 기능이 노출된 경우라 보면 되겠습니다.

 

 

#방법1

동작중인 웹 사이트에서 admin, manager, master, system, administrator 등의 명칭의 폴더 및 파일의 관리자 페이지가 존재하는지 확인 하여야 합니다.

이러한 접속 주소는 올바르지 않는 모습이라 할 수 있습니다.

가급적 "관리", "권한", "시스템" 이라는 명칭의 주소를 포함하지 않아야 합니다.

XX사이트의 웹 에디터 실행모습입니다..admin에 1234로 입력하니 들어가지네요;;;

 

#방법2

일반사용자가 사용하는 웹 어플리케이션 서버와, 관리자 사이트가 동작하는 웹 어플리케이션 서버가 같은 운영체제를 사용하는 경우에 추측하기 쉬운 포트(1433, 3000, 8080, 8443, 8888 등) 접속을 시도하여 관리자 페이지가 노출되는 경우를 방지하여야 합니다.

이를 위해서는 잘 사용하지 않는 포트를 사용하도록 해야 합니다.

 

#방법3

관리자 기능을 다른 어플리케이션으로 분리하는 것 입니다.

가령 일반사용자가 사용하는 웹 주소가,

http://1.2.3.4:80 또는 https://1.2.3.4 이라면, 관리자 가능은 해당 어플리케이션과 같은 운영체제에 동작하지 말고,

https://5.6.7.8 이러한 형식으로 운영체제를 하나 더 추가하여 다른 어플리케이션으로 운용하는 것 입니다.

또한 분리한 관리자 어플리케이션 https://5.6.7.8 에서는 특정 IP만 허용하여 오직 인가된 인원의 접근만 가능하게 제한을 두는 것도 바람직한 기능이라 볼 수 있습니다.

 

 

이상으로 관리자 페이지 노출(AE)에 대해서 간단하게 살펴보았습니다.

궁금한점 또는 틀린 부분은 언제든 연락주세요! 👻