본문 바로가기

일상

2016. 02. 03.

반응형

어제 보냈던 메일에 대해 답장이 왔다. 답장 내용은 그 내용에 대해서 확인을 했으며, 홈페이지 관리 업체를 통해서 확인작업을 하고 있다는 내용이었다. 생각보다는 빨리 답장이 왔다는 점에 대해서는 약간 놀랐는데, 대강 사이트를 봤을 때 광고글이 많이 올라와서 이미 관리를 포기했나라는 생각이 들었었기 때문이다.


일단 내가 메일을 보낸 내용에 대해서는 알려준 파일들을 삭제하는 것으로 해결을 한 것으로 보였다. 그런데 그 사이트의 경우에는 그 문제 말고도 다른 문제점들이 있었다......


일단 가장 큰 문제점으로는 누군가가 웹쉘을 업로드 했다는 점이었다. 이 웹쉘의 경우에는 파일의 목록 보기, 업로드, 다운로드, 삭제, 권한 변경 등과 같은 기능들과 Mysql 계정 탈취 및 SQL을 통한 db 데이터 다운로드가 가능하기 때문에, 웹쉘 업로드에 성공만 한다면 거의 관리자와 같은 권한을 얻는다라고 할 정도로 대부분의 기능들을 사용할 수 있다.


그리고 두 번째 문제점으로는 Directory Listing이 가능했다는 점이다. 이러한 취약점까지 있을 줄은 몰랐는데.... 물론 웹쉘의 경우에는 업로드 하는 방법이 날로 갈수록 발전해서 이것을 막기는 어렵다고 생각할 수 있지만 Directory Listing이 가능하다는 것은 정말 사이트 관리자가 보안에 대해 신경을 쓰지 않았다는 것을 의미하는 것 같았다. 물론 이거 하나만으로는 직접적인 보안 문제가 생기지는 않지만 웹쉘 업로드의 공격에 쓰일 수도 있다는 점과 비밀글로 올라온 게시물의 첨부파일들을 볼 수 있다는 점에서 문제가 있을 수 있다.


일단 이 두 가지 문제점에 대해서 메일을 보내긴 했으니 아마 내일 쯤이면 메일을 읽고 답장이 올 것 같다.


반응형

'일상' 카테고리의 다른 글

흠..  (2) 2016.03.16
2016. 03. 07.  (1) 2016.03.07
2016. 02. 04.  (0) 2016.02.04
2016. 02. 02.  (2) 2016.02.02
음...  (0) 2016.02.01