울지않는벌새 : Security, Movie & Society

수원시 미술 관련 웹사이트 관리자 모드 노출

벌새::Security

수원시에 위치한 미술 관련 웹사이트의 허술한 개인 정보 관리와 관리자 모드가 웹 상에서 노출되어 있는 부분을 확인하였습니다.

해당 웹사이트는 회원 가입을 통하여 일반 회원과 작가 회원으로 구분하여 회원을 관리하고 있는 가입형 웹사이트입니다.


해당 웹사이트의 사이트맵 구성을 살펴보면 가입되어 있는 회원 주소록은 사이트 로그인과 관계없이 공개되어 있습니다.


실제 회원 주소록에 공개된 실명, 유무선 전화 번호, 주소는 작가 회원의 정보로 확인되었습니다.


더욱 큰 문제는 위와 같이 관리자 페이지가 그대로 노출이 되어 실제 사이트맵을 관리자의 아이디와 비밀번호 계정을 알지 못하더라도 수정할 수 있는 옵션을 보실 수 있습니다.


해당 사이트에서 회원 가입을 한 일반 회원의 실명, 아이디, 연락처, 이메일 주소가 그대로 공개되는 문제점이 발견되었습니다.


위와 같이 해당 웹사이트의 관리자 로그인에서 아이디와 비밀 번호를 몰라도 관리자 화면이 웹상에 노출된다는 것은 보안에 큰 헛점이 있어 보입니다.

그나마 다행인 것은 회원의 가입 비밀번호는 공개되어 있지 않았기에 불행 중 다행이 아닐까 생각됩니다.

예전에는 이런 취약점이 노출된 문제 사이트를 인터넷 침해사고 대응 지원센터에 신고를 해서 수정토록 하였는데 그 곳의 반응이 느리고 답변도 부실하고 해서 이제는 하지 않고 있습니다.