파라미터 변조 통해 게시판 관리자 권한 획득 가능

[보안뉴스 김태형] 최근 본지는 국내 중소기업이나 학원, 학교 등의 웹 페이지가 보안 위협에 상당수 노출되어 있고, 게시판 취약점이나 웹쉘을 이용한 해킹 위협에 취약하다는 점을 여러 차례 지적한 바 있다. 이러한 가운데 국내의 H어학원 홈페이지에 파라미터 변조 취약점이 발견됐다.
    
   ▲ 파라미터 변조를 통해 공격자는 해당 사이트 게시판에서 관리자 권한획득이 가능하다.

이 파라미터는 사용자 입력폼, Query String(데이터 전달값), HTTP 헤더 등의 애플리케이션에서 사용되는 정보 대부분을 의미하며, 다양한 방식으로 변조시도가 가능하다. 특히, 이 취약점을 통해 PHP 애플리케이션 명령어 삽입 공격이 자주 발생되고 있다.

이와 같은 취약점을 본지에 알려온 제보자는 “H어학원의 홈페이지(http://www.h*****.co.kr/)에서 파라미터 변조 취약점이 발견됐다”면서 “이 사이트에 접속하고 질문게시판으로 이동한 다음 첫 번째 공지로 들어갔다. 그리고 다른 새창을 띄워서 H어학원 사이트에 ‘admin’을 요청을 해보았는데 역시 관리자 인증을 요구했다”고 설명했다.

또한, 그는 “보통 대부분 제로보드나 그누보드를 이용해 홈페이지를 제작할 경우 ‘admin/bbs’에 자료를 저장해둔다. 그래서 요청을 해보니 접근 권한은 없지만 해당 폴더가 있어 출력이 가능했다. 그리고 bbs 폴더에 asp 파일이 있는지 요청해본 결과 접근권한은 없었지만 출력이 되는 것을 보았다”고 밝혔다.

이때 원본 주소랑 비교해 보니 Admin 관련 폴더와 User 관련 폴더가 분리되어 있음을 알아냈다는 것. 이에 content.asp를 요청한 결과 SQL 구문이 나왔고 이로써 content.asp가 존재한다는 사실을 알아냈다는 것이 그의 설명.

http://h*****.co.kr/admin/bbs/ 뒤에 관리자가 쓴 게시판의 주소를 요청한 결과 파라미터 변조가 실행됐다. 그리고 이후에 목록을 클릭해보니 게시판의 관리자 권한 획득이 가능해졌다는 것이다.  

또한, 제보자는 “이 사이트에는 이러한 파라미터 취약점 외에도 구글링 취약점도 발견됐다. 이러한 구글링을 통한 정보 노출을 방지하기 위해 ‘robots.txt’를 추가시켜야 한다”고 설명했다.  최상위 주소(예를 들면 www.aabb.com/robots.txt)에 저장하고,  robots.txt에는 아래와 같은 내용을 추가해 저장하면 된다는 것.


User-agent: *
Disallow: /

이러한 취약점의 대응방안과 관련해 제보자는 “게시물 접근시 정당한 권한을 획득한 사용자인지 확인하는 체크 코드를 삽입하거나 웹나이트(WebKnight)  등 시중에 나와 있는 무료 웹 방화벽 등의 웹 보안장비를 설치하면 SQL injection 등과 같은 여러 가지 웹 공격을 차단할 수 있다”고 강조했다.

이와 관련 H어학원의 웹 페이지 구축 및 관리를 맡고 있는 대행업체 담당자는 “기존 사이트에 문제가 많아 현재 새로운 사이트를 구축하고 있다”며, “새로운 홈 페이지는 8월말에 오픈될 예정이다. 현재 사이트의 보안 취약점에 대해서는 필요한 조치를 취할 것”이라고 밝혔다. 
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>