찬이네사진관

관리자는 웹사이트 관리하는 최고 책임자이다. 이들은 DB와 회원 관리 게시물 관리등을 할수 있는데 이들은 대부분 아이디에서 Admin, Administrator, Website의 이름을 넣는 등에 특징을 갖고 있다. 그러기에 가입에 대한 필터링을 하지 않는다면 관리자에 대한 사칭이 가능하고 그로인해 회원들은 가짜 관리자에게 정보를 넘기는 즉 피싱될 수 있는 위험에 노출된다. 그러기에 관리자는 관리자로 사용할 아이디 외에 dns 정보가 들어간 아이디 혹은 익명의 아이디 등을 가입할 수 없도록 설정해야한다.

두번째로 이번엔 로그인에 대해 시도해보겠다. 그전에 먼저 패스워드란 자기만이 알고 있는 비밀스러운 문자들의 나열이다. 이를 통해 인터넷 세상에서 내가 권한이 있는 사용자인지 적합한 사용자인지 증명할 수 있으며 웹 DB도 이를 통해 판단한다. 하지만 이를 제대로 간수 못하거나 너무 쉽게 만들면 해킹당할 수 있다. 먼저 로그인을 할때 버퍼오버플로 방식으로 의미없는 숫자와 아이디를 넣어서 로그인을 해본다. 만약 오류 페이지가 난다면 웹 버퍼 오버플로 공격이 성공한 것이다. 하지만 이는 나중에 하기로하고(이 취약점 뚫리는 웹페이지 스크립트를 찾으면) 일단 만약 버퍼 오버플로우가 공격되어도 먹히지 않는다면 크게 두가지의 결과를 볼 수 있다. 먼저 아이디와 패스워드 두개 중 하나가 일치 하지않는다는 것과 두번째로 ..