[웹서버 취약점]관리자 페이지 노출 취약점

관리자 페이지가 추측 가능한 형태로 구성되어 있을 경우 공격자가 관리자 페이지를 쉽게 접근 할 수 있으며 Brute Force Attack으로 공격 가능 

 

 대응책

 관리자 페이지 이름을 추측하기 어려운 페이지 이름으로 한다.  

 

 <Directory "/var/www/html/admin">

 Order Deny,Allo

 Deny from all

 Allow from 192.168.123.123

 </Directory>

 #Allow->Deny 순으로 적용된다. 관리자 접속이 허용된 아이피만 적용

 #192.168.123.123(관리자 IP)을 허용하고 나머지는 모두 거부

 

불필요한 파일 삭제 및 적절한 접근제어 설정

File 하고 ~ 표시 있으면 regular expression(정규표현식) 이 가능 

    . 임의의 문자 $ 끝을 의미   

 <File ~ "\.gz$">

   Order allo.deny

   Deny from all

 </File>