지원되는 엔드포인트 구성

보안 헤더

보안 헤더는 애플리케이션의 보안을 높일 수 있는 HTTP 응답 헤더를 설명합니다. 즉 이 헤더는 웹 브라우저에게 사이트를 공격에서부터 보호하는 보안 주의 사항들을 활성화하도록 지시합니다.

지원되는 헤더

Strict-Transport-Security

Strict-Transport-Security는 웹 사이트를 프로토콜 다운그레이드 공격 및 쿠키 하이재킹에 대해 보호하는 웹 보안 정책 장치입니다. 이 정책은 웹 서버가 절대로 보안이 낮은 HTTP 프로토콜을 사용하지 않고 안전한 HTTPS를 사용하게 합니다.

X-Frame-Options

X-Frame-Options 응답 헤더는 클릭재킹에 대한 웹 애플리케이션의 보호를 향상합니다. 사이트의 iframe을 사용 중지하고 다른 사람이 콘텐츠를 삽입하는 것을 허용하지 않습니다.

X-XSS-Protection

X-XSS-Protection은 개발자가 교차 사이트 스크립팅 보안 필터의 동작을 변경할 수 있게 합니다. 이 필터는 안전하지 않은 HTML 입력을 식별하고 사이트가 로드되는 것을 차단하거나 잠재적 악성 스크립트를 제거합니다.

X-Content-Type-Options

이 헤더는 일반적으로 웹 브라우저의 MIME 형식 스니핑 기능을 제어하는 데 사용됩니다. Content-Type 헤더가 비었거나 누락된 경우, 브라우저는 콘텐츠를 식별하고 소스를 적합한 방법으로 표시하려고 시도합니다.

Content-Security-Policy

이 헤더는 XSS, 클릭재킹, 프로토콜 다운그레이드 및 프레임 인젝션과 같은 여러 취약성에 대한 추가 보안 계층을 제공합니다. 사용하는 경우, 브라우저가 페이지를 렌더링하는 방식에 많은 영향을 줍니다.

X-Permitted-Cross-Domain-Policies

교체 도메인 정책 파일은 Adobe Flash Player 또는 Adobe Acrobat와 같은(이런 제품으로 제한되지 않음) 웹 클라이언트에게 여러 도메인의 데이터를 처리하는 권한을 주는 XML 문서입니다.

Referrer-Policy

Referrer-Policy HTTP 헤더는 Referrer 헤더에서 보낸 어떤 Referrer 정보가 요청에 포함되어야 하는지 결정합니다. 즉 이 보안 헤더는 웹 사이트의 서버에서 클라이언트에 통신에 포함될 수 있습니다.

Feature-Policy

Feature-Policy 헤더는 자체의 프레임에서 브라우저 기능 및 API를 허용 및 거부하는 기능을 제공합니다.

Access-Control-Allow-Origin

Access-Control-Allow-Origin 헤더는 한 웹 사이트에서 다른 웹 사이트에서 시작된 요청의 응답에 포함되며 또한 요청의 허용된 원점을 식별합니다.

Expect-CT

응답 유형의 헤더이며 사이트에 대해 잘못 발급된 인증서의 사용을 방지하며 이런 상황을 인지할 수 있게 합니다.

Public-Key-Pins

이 응답 헤더는 HTTPS 웹 사이트가 공격자가 잘못 발급된 또는 이외의 사기성 인증서를 사용하는 가장에 대응할 수 있게 하는 보안 장치입니다.

헤더가 서버 등급에 어떤 영향을 줍니까?

예를 들어, Strict-Transport-Security 헤더에는 등급이 있습니다. 설명은 다음과 같습니다.

유효성 검사 서버 등급
max-age < 10368000 (120 days) At risk
max-age >= 10368000 및 max-age < 31536000 Secure
max-age >= 31536000 (1년) 매우 안전

Strict-Transport-Security는 요청이 성공하는 경우에만(HTTP 200 OK) 등급을 평가합니다.

HTTP 응답 헤더

HTTP 응답 헤더에는 HTTP 요청을 받을 때 웹 서버가 브라우저에 돌려 보내는 날짜, 크기 및 파일 유형을 포함한 정보가 있습니다.

HTTP 응답에서 받은 모든 헤더는 분석에 사용 가능합니다.

암호화

보안 통신을 위해 TLS 클라이언트와 서버는 암호화 알고리즘과 서로 보안 통신에 사용하는 키에 동의해야 합니다.

그렇지만 여러 선택한 가능한 조합이 있으며 TLS는 암호화 모음이라는 특정 잘 정의된 선택의 조합만 허용합니다.

Discovery는 서버가 지원하는 모든 암호화 모음을 식별하여 업계 모범 사례에 따라서 안전하지 않음, 약함, 안전 범주로 분류합니다.

약함

  1. AES에 CBC 모드가 있는 암호화 모음
  2. 3DES

안전하지 않음

  1. RC4
  2. 수출 암호화.
  3. MD5 사용 암호화
  4. Null 암호화
  5. 익명 인증을 사용하는 암호화
  6. DES

“안전” 범주는 사용하기에 안전한 권장하는 암호화 모음을 구성됩니다.