보안 헤더의 역할
HTTP 보안 헤더는 웹 애플리케이션이 세션 [S1] [S2] 동안 특정 보안 정책을 시행하도록 브라우저에 지시하는 표준화된 메커니즘을 제공합니다. 이러한 헤더는 심층 방어의 중요한 계층 역할을 하여 애플리케이션 논리만으로는 완전히 해결할 수 없는 위험을 완화합니다.
콘텐츠 보안 정책(CSP)
콘텐츠 보안 정책(CSP)은 사이트 간 스크립팅(XSS) 및 데이터 주입 공격 [S1]를 포함하여 특정 유형의 공격을 감지하고 완화하는 데 도움이 되는 보안 계층입니다. CSP는 로드가 허용되는 동적 리소스를 지정하는 정책을 정의함으로써 브라우저가 공격자 [S1]에 의해 삽입된 악성 스크립트를 실행하는 것을 방지합니다. 이는 애플리케이션에 주입 취약점이 존재하는 경우에도 승인되지 않은 코드의 실행을 효과적으로 제한합니다.
HTTP 엄격한 전송 보안(HSTS)
HTTP 엄격한 전송 보안(HSTS)은 웹사이트가 HTTP [S2]가 아닌 HTTPS를 통해서만 액세스해야 함을 브라우저에 알릴 수 있도록 하는 메커니즘입니다. 이는 클라이언트와 서버 간의 모든 통신이 [S2]로 암호화되도록 보장하여 프로토콜 다운그레이드 공격 및 쿠키 하이재킹으로부터 보호합니다. 브라우저가 이 헤더를 수신하면 HTTP를 통해 사이트에 액세스하려는 모든 후속 시도를 HTTPS 요청으로 자동 변환합니다.
누락된 헤더가 보안에 미치는 영향
이러한 헤더를 구현하지 못하는 애플리케이션은 클라이언트 측 손상 위험이 상당히 높습니다. 콘텐츠 보안 정책이 없으면 승인되지 않은 스크립트가 실행될 수 있으며, 이로 인해 세션 하이재킹, 승인되지 않은 데이터 유출 또는 훼손 [S1]가 발생할 수 있습니다. 마찬가지로, HSTS 헤더가 없기 때문에 사용자는 특히 초기 연결 단계에서 중간자(MITM) 공격에 취약해집니다. 공격자가 트래픽을 가로채서 사용자를 [S2] 사이트의 악의적이거나 암호화되지 않은 버전으로 리디렉션할 수 있습니다.
FixVibe가 이를 테스트하는 방법
FixVibe에는 이미 이 기능이 패시브 스캔 검사로 포함되어 있습니다. headers.security-headers는 Content-Security-Policy, Strict-Transport-Security, X-Frame-Options 또는 frame-ancestors, X-Content-Type-Options의 존재 및 강도에 대해 공용 HTTP 응답 메타데이터를 검사합니다. Referrer-Policy 및 Permissions-Policy. 익스플로잇 프로브 없이 누락되거나 약한 값을 보고하며 수정 프롬프트는 일반적인 앱 및 CDN 설정에 대한 배포 준비 헤더 예제를 제공합니다.
해결 지침
보안 상태를 개선하려면 모든 프로덕션 경로에서 이러한 헤더를 반환하도록 웹 서버를 구성해야 합니다. 강력한 CSP는 스크립트 실행 환경 [S1]를 제한하기 위해 script-src 및 object-src와 같은 지시문을 사용하여 애플리케이션의 특정 리소스 요구 사항에 맞게 조정되어야 합니다. 전송 보안을 위해 적절한 max-age 지시문을 사용하여 Strict-Transport-Security 헤더를 활성화하여 사용자 세션 [S2] 전반에 걸쳐 지속적인 보호를 보장해야 합니다.