[okadminfinder] 관리자 페이지(Admin Page) 점검 도구

(허가 되지 않은 점검도구 활용 스캔은 법적 문제 소지가 있으니 주의!)

 

Admin 페이지란?

웹 서비스 관리 용도 페이지로 일반 사용자 아닌 관리자만 접속 가능한 페이지

일반적으로 관리자 페이지는 내부망에 존재하거나 IP 기반 접근제어를 하거나 유추하기 힘든 문자를 URI로 사용

서비스 내에서 관리자도 역할에 따라 권한 등급을 나눠서 관리

 

웹 페이지 경로를 탐색하고 접근 가능한지 확인할 수 있는 도구로 okadminifinder 활용

(허가 되지 않은 점검도구 활용 스캔은 법적 문제 소지가 있으니 주의!)

[장점]

윈도우에서 쉽게 설치 및 사용 가능

574개 Admin 페이지 예상 URI 내에서 빠른 탐색 가능

 

[단점]

오탐 존재 : Response 메시지의 응답코드 기준으로 탐색 결과를 나타내는 것으로 유추 (redirect, 사용자 정의 Error 페이지 등으로 오탐 존재)

574개 Admin 페이지 예상 URI에 한정적임

 

[데모 환경]

개발 언어 : 파이선(Python3) / Console 기반

사용 환경 : 윈도우 / pip3 설치

Tool 버전 : Okadminfinder v 2.5.3

 

[설치]

요구되는 모듈/라이브러리 설치는 requirements.txt 통해 쉽게 설치

 

 

[사용법]

기본 : okadminfinder.py -u [URL]

 

 

[데모 절차]

1. python3 okadminfinder.py -u [URL]

결과 : 취약하지 않은 경우, 574 total 스캔하였어도 0개의 Admin Page가 나옴

 

 

2. python3 okadminfinder.py -u [URL]

결과 : 취약한 경우, "Admin page Found!" 문구가 나옴

         모든 경로가 취약하다고 할 경우, 오탐 확률이 있어 실제 경로에 접근해서 확인 필요

         오탐인 경우는 웹 서비스 정의 Error 페이지 또는 Redirect 페이지가 존재

 

 

[주관적인 한줄 평] : Admin 페이지 존재 여부를 파악할 때 보조 수단으로 활용 가능(절대적이지는 않음)

 

(허가 되지 않은 점검도구 활용 스캔은 법적 문제 소지가 있으니 주의!)