콘텐츠로 이동

AE: 19. 관리자페이지 노출

분류: Web Application(웹)

중요도: 상

개요

점검 내용

외부에서 접근 가능한 관리자 페이지의 존재 여부 및 접근 통제 미흡 확인

점검 목적

관리자 페이지에 대한 접근 통제를 강화하여, 비인가자의 무단 접근 및 권한 탈취를 방지하기 위함

보안 위협

관리자 페이지가 추측 가능한 URL(예: /admin, /manager)로 노출되어 있거나, 접근 통제가 미흡할 경우 공격자가 손쉽게 접근하여 관리자 권한을 획득하거나 시스템을 장악할 수 있음

참고

참고

소스코드 및 취약점 점검 필요

점검 대상 및 판단 기준

대상

웹 애플리케이션

판단 기준

✅ 양호: 관리자 페이지의 URL이 유추하기 어렵고, 특정 IP만 접근 가능하도록 통제되어 있는 경우

❌ 취약: 유추하기 쉬운 URL로 관리자 페이지 접근 또는 계정 로그인이 가능한 경우

조치 방법

유추하기 어려운 이름(포트 번호 변경 포함)으로 관리자 페이지를 변경하여 비인가자가 접근할 수 없도록 하고, 근본적인 해결을 위해 지정된 IP만 관리자 페이지에 접근할 수 있도록 제한함. 단, 부득이하게 관리자 페이지를 외부에 노출해야 하는 경우, 관리자 페이지 로그인 시 2차 인증(OTP, VPN, 인증서 등)을 적용

조치 시 영향

일반적인 경우 영향 없음

점검 및 조치 사례

점검 방법

  1. 유추하기 쉬운 URL, 포트 등 접속을 시도하여 관리자 페이지가 노출되는지 확인 (예: /admin, /manager, /master, /system 등)

  2. 추측하기 쉬운 관리자 계정(admin, adm, administrator, manager 등) 및 비밀번호를 입력하여 로그인 가능한지 확인

조치 방법

  1. 일반 사용자의 접근이 불필요한 관리자 로그인 페이지 주소를 유추하기 어려운 URL 및 포트로 변경

  2. 관리자 페이지에 접근 가능한 IP를 지정하여 지정된 IP만 관리자 페이지에 접근 가능하도록 제한

  3. 부득이하게 관리자 페이지를 외부에 노출해야 하는 경우, 관리자 페이지 로그인 시 2차 인증(OTP, VPN, 인증서 등)을 적용

  4. 지정된 IP만 관리자 페이지에 접근 가능하도록 제한하고, 관리자 페이지의 하위 페이지 URL을 직접 입력하여 접근하지 못하도록 페이지 별 세션 검증 필요