정보 누출 - 소스코드에 노출된 솔루션 로그인 페이지

정보 누출 취약점은 소스코드 등 다양한 부분에서 도출될 수 있는데 이번 진단에서 소스코드 내 노출된 내부 솔루션 페이지 URL을 발견할 수 있었다.

이런 식으로 소스코드에 중요 정보가 노출되는 경우가 간혹 존재한다. 위의 URL 주소는 BIMATRIX라는 데이터 마이닝 솔루션 관련 페이지였다.

로그인을 진행하고 솔루션 접근이 가능한데, 우린 계정을 알 방법이 없다. 하지만 몇몇 시도는 가능하다. 관리자가 솔루션 Default 계정명과 비밀번호를 바꾸지 않는 경우(생각보다 많이 존재한다.) 해당 Default 계정 정보를 구글 등에서 찾아서 입력하고 접근하는 것 혹은 로그인 실패 임계값이 존재하지 않을 경우 사전 공격 및 Brute Forcing 공격을 시도해 볼 수 있다.

이번 진단에서는 해당 솔루션에 대한 정보를 구글에 검색했고, 이에 대한 Default 관리자 계정 정보를 습득하고 로그인을 시도해보았다.

그 결과 해당 솔루션의 관리자 계정으로 접근할 수 있었던 것을 확인할 수 있다.

이와 같이 관리자의 부주의로 소스코드에 노출된 URL 주소 하나로 인해 내부 솔루션의 관리자 계정까지 탈취가 되는 시나리오가 이루어질 수 있게 된다.

이에 대한 대응방안을 설립하자면 해당 정보가 노출이 되지 않도록 하는 것이 중요하다. 이는 Server-Side 로직 구현을 통해 해결할 수 있다. Client-Side 로직 구현은 클라이언트가 개발자 도구 소스코드를 통해 모두 열람이 가능하기 때문에 안전하지 않다.

또한, 추가적으로 저러한 솔루션 페이지나 관리자 페이지는 Default 계정을 반드시 변경하고, IP 접근 권한 로직을 적용하여 허용된 IP만 접근하도록 설정하는 것이 좋다.