기본 콘텐츠로 건너뛰기

Secure-Header

Secure-Header

보안 헤더

Content-Security-Policy

요약

설정된 URL의 Static Resource만 허용하게 하는 용도로 주로 XSS 공격 방지 목적으로 사용된다.

Content 종류

  1. script-src: JavaScript code.
  2. connect-src: XMLHttpRequest, WebSockets, and EventSource.
  3. font-src : fonts
  4. frame-src: frame urls
  5. img-src: Images
  6. media-src: audio & video
  7. object-src: Flash (and other plugins)
  8. style-src: CSS

예시

Content-Security-Policy: script-src ‘self’ https://apis.google.com

X-Frame-Options

요약

<frame>, <iframe>, <object> 태그를 렌더링할지 막을지 결정하는 것으로 ClickJacking과 같은 공격을 무력화하기 위해 주로 사용된다.

사용 방법

  • X-Frame-Options: DENY (비 허용)
  • X-Frame-Options: SAMEORIGIN (동일 origin에서만 허용)
  • X-Frame-Options: ALLOW FROM http://some-domain.com (특정 origin에서만 허용)

X-Content-Type-Options

요약

리소스 다운 시 해당 리소스의 MIMETYPE이 일치하지 않을 경우 차단하는 헤더로 MIME-Sniffing 공격 차단을 위해 주로 사용된다.

사용 방법

X-Content-Type-Options: nosniff

Strict-Transport-Security

요약

HTTPS 통신으로 고정하여(이후 발생되는 HTTP 요청을 브라우저가 자동으로 HTPS로 요청) 중간자 공격을 차단하는 헤더이다.

사용 방법

Strict-Transport-Security: max-age=31536000;includeSubDomains;preload
HTTPS로 전송한 요청을 중간자가 가로채어 내용을 엿보는 공격 기법을 클라이언트 단에서 차단할 수 있다. 2014 블랙햇 아시아 컨퍼런스에서 발표된 서브도메인 우회 기법(sslStrip+)은 includeSubDomains를 추가하여 차단할 수 있다.

Public-Key-Pins

요약

인증서 PIN을 비교 후 연결하여 위조된 인증서를 통한 연결을 차단하는 헤더이다.

웹 서버의 Response Header에 인증서의 PIN 값을 브라우저에 전달하고, 전달된 PIN 값을 기반으로 암호화 통신에 사용할 인증서를 제한하여 잘못된 인증서를 사용한 암호화 통신이나, 중간자 공격을 막는다.

사용 방법

Public-Key-Pins: pin-sha256="<sha256>"; pin-sha256="<sha256>" max-age="15768000"; includeSubDomains

HTTP Public Key Pinning

특정 사이트 접속 시 암호화 통신을 할 인증서를 고정(Pinning)하는 것을 HPKP(HTTP Public Key Pinning)이라고 한다.

X-XSS-Protection

요약

브라우저의 내장 XXS Filter를 통해 공격을 차단하는 헤더이다.

사용 방법

X-XSS-Protection: 1;mode=block
위와 같이 설정할 경우 브라우저가 XSS 공격을 감지하여 자동으로 내용을 치환한다. mode-block 설정 유무에 다라 내용만 치환하고 본문을 출력하거나, 페이지 로드 자체를 차단할 수 있다.

라벨:

이 블로그의 인기 게시물

데일 카네기 인간관계론 정리

자세한 내용 보기

Remove-Server-Header

응답 메시지 내 서버 버전 정보 제거 1. Apache 1) 조치 방법 “/etc/htpd/conf/httpd.conf” 파일 안에서 1. ServerTokens OS → ServerTokens Prod 2. ServerSignature On → ServerSignature Off 로 변경한 후 아파치를 재시작하면 헤더 값의 아파치 버전 정보 및 OS 정보를 제거할 수 있다. 2) 참고 URL http://zetawiki.com/wiki/CentOS_ 아파치_보안권장설정_ServerTokens_Prod,_ServerSignature_Off 2. IIS 1) 조치 방법 IIS 6.0 urlscan_setup 실행. 설치. \windows\system32\inetsrv\urlscan\urlscan.ini 파일을 열어 다음 수정(RemoveServerHeader=0 을 RemoveServerHeader=1 로 변경) 서비스에서 IIS Admin Service 재시작. IIS 7.0 IIS 관리자를 열고 관리하려는 수준으로 이동합니다. 기능 보기에서 HTTP 응답 헤더를 두 번 클릭합니다. HTTP 응답 헤더 페이지에서 제거할 헤더를 선택합니다. 작업 창에서 제거를 클릭하고 예를 클릭합니다. 2) 참고 URL IIS 6.0 : http://gonnie.tistory.com/entry/iis6- 응답헤더-감추기 IIS 7.0 : https://technet.microsoft.com/ko-kr/library/cc733102(v=ws.10).aspx 3. jetty 1) 조치 방법 “jetty.xml” 파일에서 jetty.send.server.version=false 설정 2) 참고 URL http://attenuated-perspicacity.blogspot.kr/2009/09/jetty-61x-hardening.html 4. Nginx ...
자세한 내용 보기

American Fuzzy Lop And Address Sanitizer

American Fuzzy Lop And Address Sanitizer Address Sanitizer(ASAN) 단지 gcc/clang에 -fsanitize=address 옵션을 추가하는 것으로 간단히 사용할 수 있지만 그 효과는 충분하다. Example Out Of Bounds Read #include <stdio.h> int main() { int a[ 2 ] = { 3 , 1 }; int i = 2 ; printf ( "%i\n" , a[i]); } 예제 파일을 OutOfBoundsRead.c 로 생성하고 ASAN 옵션을 지정하여 clang 으로 컴파일하자. clang -g -fsanitize = address -fno -omit -frame -pointer OutOfBoundsRead . c -o OutOfBoundsRead 생성된 OutBoundsRead 파일을 실행하면 다음과 같은 결과를 볼 수 있다. ================================================================= ==3678==ERROR: AddressSanitizer: stack-buffer-overflow on address 0x7ffc0ba87428 at pc 0x47b7db bp 0x7ffc0ba87390 sp 0x7ffc0ba87388 READ of size 4 at 0x7ffc0ba87428 thread T0 ==3678==WARNING: Trying to symbolize code, but external symbolizer is not initialized! #0 0x47b7da (/root/ASAN/OutOfBoundsRead+0x47b7da) #1 0x7faba0260f44 (/lib/x86_64-linux-gnu/libc.so.6+0x21f44) #2 0x...
자세한 내용 보기