apache_httpd_보안취약점_점검 [AllThatLinux!]

apache_httpd_보안취약점_점검

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

--- apache_httpd_보안취약점_점검 [2024/03/29 03:14] – [적용방법] koov
+++ apache_httpd_보안취약점_점검 [2024/03/29 03:27] (현재) – koov
@@ 줄 201: / 줄 201: @@
 ==== 참조링크 ====
   * https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
+===== X-XSS-Protection =====
+누락된 ''XSS'' 보호 헤더 취약점은 HTTP 응답 메시지의 ''X-XSS-Protection'' 헤더가 없거나 제대로 설정되어 있지 않은 취약점입니다. ''X-XSS-Protection'' 헤더는 비 지속적 크로스 사이트 스크립팅 감지 시, 페이지 로딩을 중단합니다. 공격자는 이 취약점을 확인하여 비 지속적 크로스 사이트 스크립팅 공격을 시도할 수 있습니다. 그 결과 공격자는 사용자의 정보를 탈취하거나, 서버로 하여금 의도하지 않은 동작을 수행하도록 강제할 수 있습니다. 이를 해결하기 위해서는 웹 애플리케이션의 설정을 변경하여 ''X-XSS-Protection'' 헤더를 추가하고 그 값을 ''0''으로 설정해야 합니다.
+==== 적용방법 ====
+<WRAP prewrap>
+<code apache>
+<IfModule mod_headers.c>
+Header set X-XSS-Protection "1; mode=block"
+</IfModule>
+</code>
+</WRAP>
+==== 참조링크 ====
+  * https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
+===== CSRF (Cross-Site Request Forgery) =====
+웹 쿠키는 악의적인 사용자의 주요 공격 벡터인 경우가 많으므로 애플리케이션은 쿠키를 보호하기 위한 보안 속성을 사용해야 합니다. ''SameSite'' 속성으로 쿠키의 자사 또는 동일 사이트로 컨텍스트 제한 여부를 선택할 수 있습니다. 이는 사이트 간 요청 위조(CSRF)를 방지하기 위한 방법으로도 사용됩니다.
+사이트 간 요청 위조(CSRF)를 막기 위해 SameSite는 Lax나 Strict로 사용하는 것이 좋습니다. 구글 크롬도 80버전으로 업데이트 되면서 ''SameSite'' 속성의 기본 값을 ''None''에서 ''Lax''로 상향 조절했습니다. 하지만 ''None''으로 사용해야 한다면 반드시 ''Secure'' 속성과 함께 사용해야 합니다.
+==== 적용방법 ====
+<WRAP prewrap>
+<code apache>
+<ifmodule mod_headers.c>
+# none으로 사용할 경우
+Header always edit Set-Cookie (.*) "$1; Secure; SameSite=None;"
+# strict로 사용할 경우
+Header always edit Set-Cookie (.*) "$1; SameSite=strict"
+</ifmodule>
+</code>
+</WRAP>
+==== 참조링크 ====
+  * https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#samesitesamesite-value

apache_httpd_보안취약점_점검.1711682068.txt.gz
마지막으로 수정됨: 2024/03/29 03:14
저자 koov