관리자 페이지 노출 취약점

말 그대로 관리자 페이자가 "노출"된 경우 취약하다고 판단

일반사용자나 웹상에 관리자 페이지가 노출된 경우, 관리자 페이지 주소를 추측하여 외부에서 URL로 접근이 가능한 경우 취약하다고 판단함

ex) admin, manager, master 등으로 설정된 경우 노출 위험성이 높아짐

-> 관리자 페이지 접속 후 ID, PW를 추측 불가능한 걸로 설정해서 위험하지 않다고 판단하는 경우 多 

그러나 이런 경우에도 "관리자 페이지" 자체는 노출되었기 때문에 취약하다고 판단함

 

외부에 "노출"된 관리자 페이지를 통해 brute force 같은 공격을 통해 admin PW를 얻을 수 있기 때문

 

Google이나 Shodan에서 admin으로 검색하면 상당한 양의 관리자 페이지 노출 확인 가능
Google: inurl admin searching

 

해결책

1. 구글에 해당 페이지가 노출된 경우 페이지의 캐시 삭제 요청을 하거나 접근을 통제하는 방안을 마련해야함

2. 관리자 페이지 로그인은 MFA를 적용하여 더욱 강화된 인증을 진행하여야 함