본문 바로가기

벌새::Security

보안을 무시하는 홈페이지 제작

반응형
사용자 삽입 이미지

위의 특정 업체 홈페이지를 제작하면서 제작업체에서 테스트를 위한 관리자 모드를 인터넷 상에 그대로 노출한 것으로 보입니다.

사용자 삽입 이미지

관리자 모드의 로그인 화면에 접속을 하면 자동으로 아이디와 비밀번호가 입력되고 있습니다.

테스트를 위해 비밀번호를 다른 번호로 입력하면 로그인이 되지 않지만, 관리자 로그인 화면에서 제공하는 그대로 로그인을 시도하면 다음과 같이 정상적으로 관리자 권한을 획득할 수 있습니다.

사용자 삽입 이미지

관리자 모드에서 현재 홈페이지의 회원 정보를 보겠습니다.

사용자 삽입 이미지

가입일이나 나이 등 표시된 부분이 모두 거짓 정보인 것을 봐서는 현재 제작이 되고 있거나 제작 중 포기된 것으로 추정됩니다.

사용자 삽입 이미지

실제 환경설정에서 해당 관리자의 비밀번호를 변경할 수도 있습니다.

아무리 홈페이지 제작에서 테스트를 위한다고 하지만 이렇게 특정 계정을 노출시키는 것은 위험합니다.
728x90
반응형