안녕하세요. 더 넓은 IT를 위한 WIDE Network! 입니다.
본 포스팅에서는 웹 서버에서 관리자 페이지를 숨겨야 하는 이유에 대해서 알아보도록 하겠습니다.
예를 들어서, 제가 사이트를 운영합니다.
해커가 제 사이트를 공격하고자 마음을 먹었을때, 관리자 페이지가 노출되었다면 거의 99%이상 공격에 성공할겁니다.
관리자 페이지를 알면 뭐하나, ID와 PW를 모르는데 라고 생각하시는 분들이 계실지도 모르겠습니다.
그러나 이 경우에는 SQL injection 과 같은 쿼리공격에 뚫려버릴 수 있기 때문에 큰 오산입니다.
[SQL Injection 이란?]
데이터베이스에 악의적으로 쿼리문을 주입하여 강제적으로 특정 레코드,테이블 등을 가져오는겁니다.
쉽게 이야기하여 악의적으로 쿼리를 삽입, 관리자의 ID,PW 부터 시작하여 유저들의 DB를 확보할 수 있습니다.
개인정보 등이 대부분 SQL 인젝션에 뚫립니다.(보안이 약한 사이트의 경우)
보안이 강한 사이트는 훨씬 진화된 기법들이 사용됩니다. 추후 포스팅하여드리겠습니다.^^
예를들어 아래 사진과 같이 구글에 Admin(관리자) 페이지를 검색하여 본다면
보안에 신경쓰지 않은 페이지의 경우에는 아래 사진과 같이 관리자 페이지들이 노출됩니다.
(로봇에서 크롤링을 막아도 해당 사이트 관리자 페이지를 찾아내기는 쉽습니다. 그래서 보안이 어렵고,중요한것이지요^^)
해당 관리자페이지에 접속하여 보겠습니다.
Admin Login 화면이 출력됩니다.
ID와 Password를 모르니까 아무것도 못하겠지..라고 생각하면 정말 큰 오산입니다.
쿼리문을 사용하여 강제적으로 로그인할 수 있습니다.
해외 사이트만 그렇다구요?
아닙니다.
위는 국내 토토사이트입니다.
쿼리문으로 로그인을 성공시키면
화면처럼 관리자페이지에 로그인 할 수 있습니다.
불법 토토는...