취약점 유형
관리자 페이지 노출 여부
상세내용
개요
[취약점 제보에 대한 개요를 작성해 주세요]
- 알려진 관리자 페이지 및 유추 가능한 페이지 경로에 대해 접근 가능 여부 점검 시 관리자 페이지가 노출
재현 과정
[취약점 재현을 하기 위한 과정을 서술해 주세요]
Step 1
- 홈 에서 관리자 페이지로 예상되는 이름 접근 시도
Step 2
- 관리자만 접근 가능 알림창 확인 및 관리자 페이지로 리다이렉트 되어 노출 확인
예상되는 취약점 발생 원인
[해당 취약점이 발생하는 예상 원인을 서술해 주세요]
- 인가되지 않은 사용자가 관리자 페이지에 접근하여 관리자 권한 획득 가능성 존재
패치 방법
[해당 취약점을 패치하기 위한 대응 방법을 서술해 주세요]
- admin, manager 등과 같이 추측하기 쉬운 디렉토리 명이나 파일명을 유추하기 어려운 이름으로 변경 권고
예상 결과 및 파급력
[해당 취약점으로 인해 예상되는 결과 및 파급력을 서술해 주세요. 시나리오가 포함되어도 좋습니다.]
- 인가되지 않은 사용자가 관리자 페이지에 접근하여 관리자 권한 획득 가능성 존재
기타사항 및 레퍼런스
[그 외에 추가할 내용이 있다면 이곳에 작성해주세요.(스크린샷, 로그 등)]
- [첨부파일 / 레퍼런스]
안녕하세요. 제보자님
수산아이앤티 버그바운티 프로그램에 제보해주셔서 감사합니다.
제출해주신 티켓은 유효한 티켓으로 권한 없는 콘텐츠인 관리자 로그인 페이지에 접근한 것을 확인하였습니다. 하지만 제보 내용을 확인한 결과 관리자 페이지에서 추가적인 공격을 진행할 수 없는 것으로 보이는데요. 단지 로그인 페이지에 접근 가능한 것만으로는 위험도가
높음으로 판단되지 않아높음에서낮음으로 위험도를 조정하도록 하겠습니다.해당 티켓은 담당자에게 전달될 예정이며, 담당자 업무 일정으로 인해 패치가 지연될 수 있는점 참고부탁드립니다.
감사합니다.