본문 바로가기

벌새::Analysis

상주시 사이버 정보화 캠퍼스 웹사이트 노출 문제점

728x90
반응형
경상북도 상주시에서 운영하는 것으로 추정되는 상주시 사이버 정보화 캠퍼스(http://cyberedu.sangju.go.kr/)의 웹사이트 문제점에 대해 살펴보도록 하겠습니다.

도메인에서 알 수 있듯이 해당 웹사이트는 정부기관 소속임을 알 수 있습니다.

해당 웹사이트는 상주시 시민들을 위한 정보화 교육을 위해 운영되고 있으며, 서비스를 이용하기 위해서는 회원 가입을 통해 이용할 수 있는 형태입니다.

사용자 삽입 이미지

해당 웹사이트의 게시판, 자료실, 잦은 질문, 시민의 소리 게시판에 접근을 하기 위해서는 반드시 로그인 과정을 거쳐야 합니다.

사용자 삽입 이미지

해당 사이트의 게시판에 있는 게시물의 제목이나 내용을 보기 위해 반드시 로그인을 해야하지만, 현재 사이트의 취약점으로 인해 게시판이 뚫리는 현상이 있습니다.

사용자 삽입 이미지

스크린샷에서 보시는 것처럼 특정 게시물을 로그인을 하지 않은 상태에서 노출되는 것을 확인할 수 있습니다.

특히 해당 게시판의 url 일부를 변경하면 추가적으로 해당 게시판의 내용을 계속적으로 로그인을 하지 않은 상태에서 열람할 수 있습니다.

사용자 삽입 이미지

이와 같은 문제점이 손쉽게 검색을 통해 노출되는 문제로 인해 만약 로봇붓이나 자동화 등록툴로 게시판을 공격한다면 아주 손쉽게 게시판에 각종 광고 등이 등록될 수도 있을 것이라고 추정됩니다.

사용자 삽입 이미지

사이트의 메인 페이지에 초기 접속을 할 경우 nProtect에서 제공하는 보안 서비스를 설치하도록 하면서도 몸통 자체의 문제점에 대해서는 너무 안일하게 만든 웹사이트가 아닐지 우려됩니다.

만약 해당 게시판이 중요한 내부적인 직원용이라면 중요한 정보 노출이 될 수 있는 점을 감안하면 이런 웹구조는 분명 수정되어야 하겠습니다.
728x90
반응형