킴스큐 운영홈페이지 모의해킹진단 결과

· 댓글 : 4 조회 : 1941 · 3
  킴스큐로 복지관 홈페이지 제작 및 유지보수를 하고 있는데복지관이 있는 지자체에서 보안을 위해 모의해킹을 했다고 결과 들으러 오라고 하더군요몇개 기관이 왔고 킴스큐로 만든 홈페이지는 제가 만든 것만 있었습니다.결과만 간단히 얘기하면 2가지 문제가 있더군요.1. admin 페이지 노출ulr/admin 으로 관리자 페이지가 노출되면 안된다고 합니다.admin 뿐 아니라 manager 같이 관리자 페이지를 유추할 수 있는 단어를 쓰지 말라고 하더군요2. 로그인/회원가입/아이디.비번찾기 페이지 평문노출아이디와 비번을 입력하는 페이지에서 아이디와 비번이 서버로 전송되는 과정에암호화가 되지 않고 바로 나타나는 부분을 지적 받았습니다.1번은 행자부와 인터넷진흥원 지침이 그런 것이고,2번은 SSL을 사용하면 될 문제로 인식했습니다.공공기관 등 행자부와 인터넷진흥원의 감사?를 받는 사이트를 운영하시는 경우참고하시기 바랍니다.참고로 다른 기관들의 해킹 내역을 자세히는 알 수 없었지만xss, php injection 등 실제 해킹이 가능한 부분이 취약한 곳도 있었고,서버의 php정보가 노출되거나자신이 비밀글을 쓰고 url에서 글 숫자만 바꾸면 다른 비밀글을 볼 수 있다거나 하는다양한 문제가 노출된 경우도 있더군요.킴스큐는 위 2가지 사항을 제외하면 보안에 상당히 안전한 프로그램이라는생각이 들었습니다.  
통계분석을 위해 매체별 전용URL 사용해주세요.
건터님의 포스트
최근 리스트
리스트가 없습니다.