관리자 페이지 노출 여부

Writer 4533a678 Program 수산아이앤티

WEB Resolved Low No Reward Last Updated: Jan 3, 2022 (6 months ago) Created: Dec 2, 2021

Weakness

관리자 페이지 노출 여부

Description

개요

[취약점 제보에 대한 개요를 작성해 주세요]

  • 알려진 관리자 페이지 및 유추 가능한 페이지 경로에 대해 접근 가능 여부 점검 시 관리자 페이지가 노출

재현 과정

[취약점 재현을 하기 위한 과정을 서술해 주세요]
Step 1

  • 홈 에서 관리자 페이지로 예상되는 이름 접근 시도

Step 2

  • 관리자만 접근 가능 알림창 확인 및 관리자 페이지로 리다이렉트 되어 노출 확인

예상되는 취약점 발생 원인

[해당 취약점이 발생하는 예상 원인을 서술해 주세요]

  • 인가되지 않은 사용자가 관리자 페이지에 접근하여 관리자 권한 획득 가능성 존재

패치 방법

[해당 취약점을 패치하기 위한 대응 방법을 서술해 주세요]

  • admin, manager 등과 같이 추측하기 쉬운 디렉토리 명이나 파일명을 유추하기 어려운 이름으로 변경 권고

예상 결과 및 파급력

[해당 취약점으로 인해 예상되는 결과 및 파급력을 서술해 주세요. 시나리오가 포함되어도 좋습니다.]

  • 인가되지 않은 사용자가 관리자 페이지에 접근하여 관리자 권한 획득 가능성 존재

기타사항 및 레퍼런스

[그 외에 추가할 내용이 있다면 이곳에 작성해주세요.(스크린샷, 로그 등)]

  • [첨부파일 / 레퍼런스]

Attachment

Timeline

4533a678 submitted ticket. December 2, 2021 (7 months ago)
Steve BUGCAMP STAFF changed the status from 'Submitted' to 'In Progress'. December 3, 2021 (7 months ago)

안녕하세요. 제보자님
수산아이앤티 버그바운티 프로그램에 제보해주셔서 감사합니다.

제출해주신 티켓은 유효한 티켓으로 권한 없는 콘텐츠인 관리자 로그인 페이지에 접근한 것을 확인하였습니다. 하지만 제보 내용을 확인한 결과 관리자 페이지에서 추가적인 공격을 진행할 수 없는 것으로 보이는데요. 단지 로그인 페이지에 접근 가능한 것만으로는 위험도가 높음으로 판단되지 않아 높음 에서 낮음으로 위험도를 조정하도록 하겠습니다.

해당 티켓은 담당자에게 전달될 예정이며, 담당자 업무 일정으로 인해 패치가 지연될 수 있는점 참고부탁드립니다.

감사합니다.

Steve BUGCAMP STAFF changed the severity from 'High' to 'Low'. December 3, 2021 (7 months ago)
4533a678 posted a comment. December 3, 2021 (7 months ago)

확인했습니다. 감사합니다.

Steve BUGCAMP STAFF changed the status from 'In Progress' to 'Resolved'. January 3, 2022 (6 months ago)

안녕하십니까 해당 취약점은 회사 내부에서만 로그인 할 수 있도록 패치되었습니다.
수산아이앤티 버그바운티 프로그램에 제보해주셔서 감사합니다.

Steve BUGCAMP STAFF changed the disclosure from 'Closed' to 'Disclosed (Full)'. January 3, 2022 (6 months ago)