차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

--- apache_httpd_보안취약점_점검 [2025/07/09 01:04] – koov
+++ apache_httpd_보안취약점_점검 [2025/07/09 01:10] (현재) – koov
@@ 줄 1: / 줄 1: @@
 ====== Apache HTTPD 보안취약점 점검 ======
+ --- //[[koovis@gmail.com|이강우]] 2025/07/09 01:09//
@@ 줄 5: / 줄 7: @@
 전역설정으로 제한 걸기
+''/etc/httpd/conf.d/method.conf''
 <WRAP prewrap>
-<code apache /etc/httpd/conf.d/method.conf>
+<code bash /etc/httpd/conf.d/method.conf>
 <Location "/*">
     <LimitExcept GET POST>
@@ 줄 149: / 줄 152: @@
 ==== 적용방법 ====
 <WRAP prewrap>
-<code apache>
+<code bash>
 <IfModule mod_headers.c>
@@ 줄 177: / 줄 180: @@
 ==== 적용방법 ====
 <WRAP prewrap>
-<code apache>
+<code bash>
 <IfModule mod_headers.c>
     Header set X-Content-Type-Options nosniff
@@ 줄 192: / 줄 195: @@
 ==== 적용방법 ====
 <WRAP prewrap>
-<code apache>
+<code bash>
 <IfModule mod_headers.c>
     Header set X-Frame-Options DENY
@@ 줄 214: / 줄 217: @@
 ==== 적용방법 ====
 <WRAP prewrap>
-<code apache>
+<code bash>
 <IfModule mod_headers.c>
 Header set X-XSS-Protection "1; mode=block"
@@ 줄 231: / 줄 234: @@
 ==== 적용방법 ====
 <WRAP prewrap>
-<code apache>
+<code bash>
 <ifmodule mod_headers.c>
 # none으로 사용할 경우
@@ 줄 241: / 줄 244: @@
 </code>
 </WRAP>
+==== 참조링크 ====
+  * https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#samesitesamesite-value
-==== 권장 설정 ====
+===== 설정 예제 =====
 위의 설정을 이용하여 권장하는 설정방법 예제이다.
 사이트 도메인이 ''atl.kr''이고 추가적으로 Google Analytics를 이용한다고 할때를 가정해서 설정하면 아래와 같다.
 <WRAP prewrap>
-<code vim>
+<code bash>
 <IfModule mod_headers.c>
-    # --- Content Security Policy (CSP) ---
+    # --------------------------------------------------------------------------
+    # 1. CSRF 공격 보조 방어 (SameSite Cookie Attribute)
+    # --------------------------------------------------------------------------
+    # 애플리케이션에서 발행하는 모든 쿠키에 SameSite=Lax 속성을 추가합니다.
+    # 'Lax'는 대부분의 CSRF 공격을 막아주면서, GET 링크를 통한 사이트 간 이동은 허용하여 사용자 편의성을 유지합니다.
+    # 'Strict'는 보안이 더 강력하지만, 다른 사이트에서 내 사이트로 링크를 타고 들어올 때 로그인이 풀리는 등 불편을 줄 수 있습니다.
+    Header edit Set-Cookie ^(.*)$ "$1; SameSite=Lax"
+    # --------------------------------------------------------------------------
+    # 2. 콘텐츠 보안 정책 (CSP)
+    # --------------------------------------------------------------------------
     # atl.kr 도메인과 Google Analytics(GA4) 작동을 기준으로 정책을 구성합니다.
     Header set Content-Security-Policy "default-src 'self'; \
@@ 줄 263: / 줄 279: @@
         upgrade-insecure-requests;"
-    # --- 클릭재킹(Clickjacking) 방어 ---
+    # --------------------------------------------------------------------------
-    # CSP의 frame-ancestors를 지원하지 않는 구형 브라우저를 위한 설정입니다.
+    # 3. 기타 필수 보안 헤더
+    # --------------------------------------------------------------------------
+    # 클릭재킹(Clickjacking) 방어 (구형 브라우저 호환용)
     Header set X-Frame-Options SAMEORIGIN
-    # --- MIME 타입 스니핑(Sniffing) 방어 ---
+    # MIME 타입 스니핑(Sniffing) 방어
-    # CSP와 역할이 다른 필수 보안 헤더입니다.
     Header set X-Content-Type-Options nosniff
-    # --- HSTS (Strict-Transport-Security) ---
+    # HSTS (Strict-Transport-Security): 모든 접속을 HTTPS로 강제
-    # atl.kr 사이트 전체가 HTTPS로 완벽하게 서비스될 때만 활성화해야 합니다.
     Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
-    # --- Referrer-Policy ---
+    # Referrer-Policy: 사용자 프라이버시 보호
-    # 다른 사이트로 이동 시 전송되는 Referer 헤더의 정보 수준을 제어합니다.
     Header set Referrer-Policy "strict-origin-when-cross-origin"
-    # --- Permissions-Policy ---
+    # Permissions-Policy: 브라우저 기능 접근 제어
-    # 마이크, 카메라 등 브라우저의 강력한 기능에 대한 접근을 제어합니다.
     Header set Permissions-Policy "geolocation=(), midi=(), camera=(), microphone=()"
 </IfModule>
 </code>
 </WRAP>
-==== 참조링크 ====
-  * https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#samesitesamesite-value