웹사이트 보안 진단 결과를 실제 응답 헤더, DNS 레코드, 공개 HTML/JS 자산, 코드 설정으로 대조하는 무료 보안 검수 스킬입니다. ## 버전 **v1.1.1** · 2026-07-14 · 무료 - CSP를 `Content-Security-Policy-Report-Only`만 확인하지 않고 실제 차단 헤더인 `Content-Security-Policy`까지 구분해 점검하도록 보강했습니다. - HSTS는 운영 HTTPS 도메인에서 `Strict-Transport-Security: max-age=31536000; includeSubDomains` 적용 여부를 확인하도록 강화했습니다. - Secu-scan 리브랜딩 에디션 기준 항목을 반영했습니다: HTTPS/TLS, 보안 헤더, 쿠키 보안 속성, 노출 민감 파일, DNS/SPF/DMARC, 공개 HTML/JS 시크릿 패턴, A~F 등급, AI 수정 프롬프트, 재검사 비교. - `.env`, `.git/config`, 백업 파일, `phpinfo.php`, 디렉터리 리스팅 같은 대표 노출 경로를 저속 샘플링으로 확인하도록 추가했습니다. - 쿠키는 `Secure`, `HttpOnly`, `SameSite`를 분리해 평가하고, 인증 쿠키에 누락이 있으면 High로 분류하도록 했습니다. - DNS 조회가 불가능한 환경에서는 미확인으로 분리하고, 사용자가 SPF/DMARC 조회 결과를 붙여넣을 수 있도록 안내합니다. **v1.1.0** · 2026-07-14 · 무료 - Secu-scan 리브랜딩 에디션 기준으로 DNS/SPF/DMARC, 노출 민감 파일, 공개 HTML/JS 시크릿 패턴, AI 수정 프롬프트, 재검사 비교 항목을 추가했습니다. **v1.0.0** · 2026-07-14 · 무료 - SecureScan 같은 외부 보안 진단 결과를 실제 응답 헤더와 코드 설정으로 재검증하고, CSP/HSTS 등 보안 헤더 보완 우선순위를 제시하는 기준을 추가했습니다. ## 사용 목적 SecureScan 또는 Secu-scan 같은 외부 보안 검사 도구에서 나온 결과를 그대로 믿지 않고, 실제 HTTP 응답과 앱/프록시 설정을 확인해 조치 우선순위를 정합니다. 단순히 점수를 올리는 것이 아니라 브라우저 방어 효과, 운영 리스크, 기능 깨짐 가능성을 함께 판단합니다. ## 확인 범위 ### 1. HTTPS / TLS - HTTPS 적용 여부 - 인증서 유효성 - HTTP -> HTTPS 리다이렉트 - HSTS 적용 여부 - 혼합 콘텐츠 위험 ### 2. 보안 헤더 - Content-Security-Policy - Content-Security-Policy-Report-Only - X-Frame-Options - X-Content-Type-Options - Referrer-Policy - Permissions-Policy - frame-ancestors, base-uri, form-action ### 3. 쿠키 보안 속성 - Secure - HttpOnly - SameSite - 인증 쿠키 도메인/경로/만료 - 로그아웃 후 보호 페이지 접근 차단 ### 4. 노출된 민감 파일 대표 샘플 경로를 저속으로 확인합니다. - `/.env` - `/.git/config` - `/config.php.bak` - `/backup.zip` - `/db.sql` - `/phpinfo.php` - `/server-status` - `/uploads/`, `/files/`, `/static/` 디렉터리 리스팅 ### 5. DNS / 도메인 - A/AAAA/CNAME 기본 확인 - SPF TXT 레코드 - DMARC TXT 레코드 - DKIM은 selector를 모르면 미확인으로 분리 ### 6. 공개 HTML/JS 시크릿 패턴 공개 HTML과 주요 JS 번들에서 아래 패턴을 찾고 false positive를 분리합니다. - `sk-` - `xoxb-` - `AKIA` - `AIza` - `ghp_` - `Bearer ` - `private_key` - `client_secret` - `access_token` - `refresh_token` ### 7. 인증/권한/API 기본 - 비로그인 요청 차단 - 댓글/추천/첨부 API 권한 확인 - 작성자/관리자 외 수정·삭제 차단 - rate limit 또는 오류 제어 - 운영 상세 오류/스택트레이스 노출 여부 ## 요청 예시 ```text ai.eond.com 보안검사 해줘. Secu-scan 리포트 기준으로 CSP/HSTS, 쿠키, 노출 파일, DNS, 공개 JS 시크릿을 실제 응답과 코드에서 재확인하고, 수정 우선순위와 재검수 결과를 정리해줘. ``` 수정까지 요청할 때: ```text ai.eond.com 보안검사 후 보완해줘. SecureScan/Secu-scan 결과를 기준으로 실제 응답 헤더를 확인하고, CSP/HSTS 같은 확실한 보안 헤더 문제는 코드에 반영한 뒤 재검수해줘. ``` ## 결과 형식 - 보안 점수와 A~F 등급 - 축별 점수표 - 주요 이슈와 위험도 - 외부 리포트 대조 결과 - 복사 가능한 AI 수정 프롬프트 - Fix 체크리스트 - 수정 후 재검사 비교 ## 등급 기준 - A: 90~100 - B: 80~89 - C: 70~79 - D: 60~69 - F: 59 이하 Blocker가 있으면 점수와 관계없이 공개 보류로 판단합니다. ## ai.eond.com 적용 메모 이번 보강 기준으로 확인한 대표 항목: - `.env`, `.git/config`, `phpinfo.php` 대표 경로는 404로 노출되지 않았습니다. - 로그인 쿠키는 `HttpOnly`, `Secure`, `SameSite=lax`가 확인됐습니다. - 기존 운영 응답은 CSP가 Report-Only만 내려가고 HSTS가 없어 SecureScan에서 감점되었습니다. - 코드 보완 방향은 실제 `Content-Security-Policy` 헤더와 운영 HTTPS 도메인 HSTS를 함께 내려주는 방식입니다. ## 주의사항 - CSP는 너무 강하게 바로 잠그면 에디터, 이미지 업로드, 소셜 로그인, 결제, 유튜브 임베드가 깨질 수 있습니다. - DNS/SPF/DMARC는 실행 환경에 DNS 조회 도구가 없으면 미확인으로 분리합니다. - 민감 파일 검사는 대표 경로만 저속으로 확인하고, 대량 침투 테스트는 수행하지 않습니다.