인프런 커뮤니티 질문&답변

김미나님의 프로필 이미지
김미나

작성한 질문수

웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩

대응 방안

URL 접근구너한 제한 취약점 관련 문의

작성

·

273

1

좋은 강의 감사합니다. 관련하여 몇 가지 문의 드립니다.

1. 관리자페이지를 운영하는 방식은..

1) 같은 페이지에서 권한으로 분리

    (예: A계정은 일반권한, B계정은 관리자 권한 주는방식)

2) 관리자전용 페이지 운영

     (관리자페이지 접근 위해서는 ~~.co.kr/admin 이런식으로

      지정된 url로 접속해야 함) 

이렇게 2가지로 나눌 수 있어 보이는데요, 둘 중 보안성을 따지자면 2) 번이 더 좋은 방법이겠죠? 편리함을 떠나서, 보안적으로만 보았을때요.

 

2. 관리자페이지 접속포트를 분리하는 방법도 있는거로 아는데, 이것이 보안적으로 실효성이 있나요? 

nmap 으로 웹서버 포트스캐닝 하면 오픈된 포트가 확인되는데, 80과 8080 제외한 다른 오픈포트가 있으면 이를 관리파 페이지로 추측할 수 있을 것 같아서요.

 

3. 일반사용자로 로그인한 상태에서, 관리자페이지로 접근할 때 인증우회되는 것을 막기위한 방법은 세션id에 박혀있는 세션주인의 계정권한을 서버사이드에서 재검증 하는 방법이 제일 좋은 방법인가요? 

 

감사합니다. 

     

답변 1

0

크리핵티브님의 프로필 이미지
크리핵티브
지식공유자

안녕하세요.

답변드리겠습니다.

질문 1) 관리자 URL을 유추해야 된다는 측면에서는 (2)가 조금 더 나을 수는 있으나 크게 차이가 나지 않다고 생각합니다. (1)의 경우는 예전의 웹 서비스에서 많이 볼 수 있으며, (2)는 오늘날의 웹 서비스에서 많이 볼 수 있습니다. 그 이유는 보안 때문은 아니고 서비스와 관리를 분리하여 보다 편의성, 효율성을 높이기 위함이죠.

질문 2) 포트로 분리를 할 경우 , 말씀하신대로 포트 스캔 같은 도구로 당연 식별이 가능합니다. 그러나 대부분의 웹 서비스 환경에서는 방화벽이란 것이 존재하며 이 때문에 인바운드 정책에 따라 80 혹은 443 포트만 들어올 수 있기에 포트로 서비스와 관리를 구분할 경우 외부에서는 관리자 서비스 접근을 할 수 없게 되겟죠?

이 경우 관리자 또한 외부에서 접속을 하지 못하기 때문에 이런 방법은 사용을 안하는 경우가 많습니다.

그러나 WAS 관리자 웹 서비스의 경우는 포트로 분류를 합니다. JEUS WebSphere  등...

질문 3) 넵 세션으로 하는 방법이 제일 권장하는 방법입니다.

추가적으로 관리자 페이지에 대한 접근 제어 방법으로 접속 IP에 따라 접속 허용 여부를 결정하는 로직을 넣는것도 좋은 방법입니다.

김미나님의 프로필 이미지
김미나

작성한 질문수

질문하기