apache_httpd_보안취약점_점검

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판		 이전 판
apache_httpd_보안취약점_점검 [2024/03/29 02:22] koovapache_httpd_보안취약점_점검 [2024/03/29 03:27] (현재) koov
줄 152: 줄 152:
 <IfModule mod_headers.c> <IfModule mod_headers.c>
  
-#누락된 Content-Security-Policy 헤더 취약점을 해결하기 위해서는 웹 애플리케이션 서버에서 Content-Security-Policy 헤더를 추가해야 합니다. 모든 웹 사이트 내의 콘텐츠를 서브 도메인을 제외한 같은 도메인에서만 제공 받으려면 다음과 같이 사용합니다.+# 누락된 Content-Security-Policy 헤더 취약점을 해결하기 위해서는 웹 애플리케이션 서버에서 Content-Security-Policy 헤더를 추가해야 합니다. 모든 웹 사이트 내의 콘텐츠를 서브 도메인을 제외한 같은 도메인에서만 제공 받으려면 다음과 같이 사용합니다.
 Header set Content-Security-Policy "default-src 'self'" Header set Content-Security-Policy "default-src 'self'"
  
-#서브 도메인을 포함시키려면 다음과 같이 사용합니다.+# 서브 도메인을 포함시키려면 다음과 같이 사용합니다.
 Header set Content-Security-Policy "default-src 'self' *.mydomain.com" Header set Content-Security-Policy "default-src 'self' *.mydomain.com"
  
-#이외에도 신뢰할 수 있는 도메인의 리소스를 특정 웹 페이지 요소에서만 사용하도록 설정할 수도 있습니다.또한, 신뢰할 수 없는 도메인의 리소스가 사용되지는 것을 막지 않고 사용되었다는 정보만을 제공받으려면 다음과 같이 사용합니다.+# 이외에도 신뢰할 수 있는 도메인의 리소스를 특정 웹 페이지 요소에서만 사용하도록 설정할 수도 있습니다.또한, 신뢰할 수 없는 도메인의 리소스가 사용되지는 것을 막지 않고 사용되었다는 정보만을 제공받으려면 다음과 같이 사용합니다.
 Header set Content-Security-Policy-Report-Only "policy" Header set Content-Security-Policy-Report-Only "policy"
  
줄 201: 줄 201:
 ==== 참조링크 ==== ==== 참조링크 ====
   * https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options   * https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
 +
 +
 +===== X-XSS-Protection =====
 +누락된 ''XSS'' 보호 헤더 취약점은 HTTP 응답 메시지의 ''X-XSS-Protection'' 헤더가 없거나 제대로 설정되어 있지 않은 취약점입니다. ''X-XSS-Protection'' 헤더는 비 지속적 크로스 사이트 스크립팅 감지 시, 페이지 로딩을 중단합니다. 공격자는 이 취약점을 확인하여 비 지속적 크로스 사이트 스크립팅 공격을 시도할 수 있습니다. 그 결과 공격자는 사용자의 정보를 탈취하거나, 서버로 하여금 의도하지 않은 동작을 수행하도록 강제할 수 있습니다. 이를 해결하기 위해서는 웹 애플리케이션의 설정을 변경하여 ''X-XSS-Protection'' 헤더를 추가하고 그 값을 ''0''으로 설정해야 합니다.
 +
 +==== 적용방법 ====
 +<WRAP prewrap>
 +<code apache>
 +<IfModule mod_headers.c>
 +Header set X-XSS-Protection "1; mode=block"
 +</IfModule>
 +</code>
 +</WRAP>
 +
 +==== 참조링크 ====
 +  * https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
 +
 +
 +===== CSRF (Cross-Site Request Forgery) =====
 +웹 쿠키는 악의적인 사용자의 주요 공격 벡터인 경우가 많으므로 애플리케이션은 쿠키를 보호하기 위한 보안 속성을 사용해야 합니다. ''SameSite'' 속성으로 쿠키의 자사 또는 동일 사이트로 컨텍스트 제한 여부를 선택할 수 있습니다. 이는 사이트 간 요청 위조(CSRF)를 방지하기 위한 방법으로도 사용됩니다.
 +사이트 간 요청 위조(CSRF)를 막기 위해 SameSite는 Lax나 Strict로 사용하는 것이 좋습니다. 구글 크롬도 80버전으로 업데이트 되면서 ''SameSite'' 속성의 기본 값을 ''None''에서 ''Lax''로 상향 조절했습니다. 하지만 ''None''으로 사용해야 한다면 반드시 ''Secure'' 속성과 함께 사용해야 합니다.
 +
 +==== 적용방법 ====
 +<WRAP prewrap>
 +<code apache>
 +<ifmodule mod_headers.c>
 +# none으로 사용할 경우
 +Header always edit Set-Cookie (.*) "$1; Secure; SameSite=None;"
 +
 +# strict로 사용할 경우
 +Header always edit Set-Cookie (.*) "$1; SameSite=strict"
 +</ifmodule> 
 +</code>
 +</WRAP>
 +
 +==== 참조링크 ====
 +
 +  * https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#samesitesamesite-value
 +
 +
 +
  • apache_httpd_보안취약점_점검.1711678935.txt.gz
  • 마지막으로 수정됨: 2024/03/29 02:22
  • 저자 koov