웹사이트 보안 진단 결과를 실제 응답 헤더, DNS 레코드, 공개 HTML/JS 자산, 코드 설정으로 대조하는 무료 보안 검수 스킬입니다.
## 버전
**v1.1.1** · 2026-07-14 · 무료
- CSP를 `Content-Security-Policy-Report-Only`만 확인하지 않고 실제 차단 헤더인 `Content-Security-Policy`까지 구분해 점검하도록 보강했습니다.
- HSTS는 운영 HTTPS 도메인에서 `Strict-Transport-Security: max-age=31536000; includeSubDomains` 적용 여부를 확인하도록 강화했습니다.
- Secu-scan 리브랜딩 에디션 기준 항목을 반영했습니다: HTTPS/TLS, 보안 헤더, 쿠키 보안 속성, 노출 민감 파일, DNS/SPF/DMARC, 공개 HTML/JS 시크릿 패턴, A~F 등급, AI 수정 프롬프트, 재검사 비교.
- `.env`, `.git/config`, 백업 파일, `phpinfo.php`, 디렉터리 리스팅 같은 대표 노출 경로를 저속 샘플링으로 확인하도록 추가했습니다.
- 쿠키는 `Secure`, `HttpOnly`, `SameSite`를 분리해 평가하고, 인증 쿠키에 누락이 있으면 High로 분류하도록 했습니다.
- DNS 조회가 불가능한 환경에서는 미확인으로 분리하고, 사용자가 SPF/DMARC 조회 결과를 붙여넣을 수 있도록 안내합니다.
**v1.1.0** · 2026-07-14 · 무료
- Secu-scan 리브랜딩 에디션 기준으로 DNS/SPF/DMARC, 노출 민감 파일, 공개 HTML/JS 시크릿 패턴, AI 수정 프롬프트, 재검사 비교 항목을 추가했습니다.
**v1.0.0** · 2026-07-14 · 무료
- SecureScan 같은 외부 보안 진단 결과를 실제 응답 헤더와 코드 설정으로 재검증하고, CSP/HSTS 등 보안 헤더 보완 우선순위를 제시하는 기준을 추가했습니다.
## 사용 목적
SecureScan 또는 Secu-scan 같은 외부 보안 검사 도구에서 나온 결과를 그대로 믿지 않고, 실제 HTTP 응답과 앱/프록시 설정을 확인해 조치 우선순위를 정합니다.
단순히 점수를 올리는 것이 아니라 브라우저 방어 효과, 운영 리스크, 기능 깨짐 가능성을 함께 판단합니다.
## 확인 범위
### 1. HTTPS / TLS
- HTTPS 적용 여부
- 인증서 유효성
- HTTP -> HTTPS 리다이렉트
- HSTS 적용 여부
- 혼합 콘텐츠 위험
### 2. 보안 헤더
- Content-Security-Policy
- Content-Security-Policy-Report-Only
- X-Frame-Options
- X-Content-Type-Options
- Referrer-Policy
- Permissions-Policy
- frame-ancestors, base-uri, form-action
### 3. 쿠키 보안 속성
- Secure
- HttpOnly
- SameSite
- 인증 쿠키 도메인/경로/만료
- 로그아웃 후 보호 페이지 접근 차단
### 4. 노출된 민감 파일
대표 샘플 경로를 저속으로 확인합니다.
- `/.env`
- `/.git/config`
- `/config.php.bak`
- `/backup.zip`
- `/db.sql`
- `/phpinfo.php`
- `/server-status`
- `/uploads/`, `/files/`, `/static/` 디렉터리 리스팅
### 5. DNS / 도메인
- A/AAAA/CNAME 기본 확인
- SPF TXT 레코드
- DMARC TXT 레코드
- DKIM은 selector를 모르면 미확인으로 분리
### 6. 공개 HTML/JS 시크릿 패턴
공개 HTML과 주요 JS 번들에서 아래 패턴을 찾고 false positive를 분리합니다.
- `sk-`
- `xoxb-`
- `AKIA`
- `AIza`
- `ghp_`
- `Bearer `
- `private_key`
- `client_secret`
- `access_token`
- `refresh_token`
### 7. 인증/권한/API 기본
- 비로그인 요청 차단
- 댓글/추천/첨부 API 권한 확인
- 작성자/관리자 외 수정·삭제 차단
- rate limit 또는 오류 제어
- 운영 상세 오류/스택트레이스 노출 여부
## 요청 예시
```text
ai.eond.com 보안검사 해줘.
Secu-scan 리포트 기준으로 CSP/HSTS, 쿠키, 노출 파일, DNS, 공개 JS 시크릿을 실제 응답과 코드에서 재확인하고,
수정 우선순위와 재검수 결과를 정리해줘.
```
수정까지 요청할 때:
```text
ai.eond.com 보안검사 후 보완해줘.
SecureScan/Secu-scan 결과를 기준으로 실제 응답 헤더를 확인하고,
CSP/HSTS 같은 확실한 보안 헤더 문제는 코드에 반영한 뒤 재검수해줘.
```
## 결과 형식
- 보안 점수와 A~F 등급
- 축별 점수표
- 주요 이슈와 위험도
- 외부 리포트 대조 결과
- 복사 가능한 AI 수정 프롬프트
- Fix 체크리스트
- 수정 후 재검사 비교
## 등급 기준
- A: 90~100
- B: 80~89
- C: 70~79
- D: 60~69
- F: 59 이하
Blocker가 있으면 점수와 관계없이 공개 보류로 판단합니다.
## ai.eond.com 적용 메모
이번 보강 기준으로 확인한 대표 항목:
- `.env`, `.git/config`, `phpinfo.php` 대표 경로는 404로 노출되지 않았습니다.
- 로그인 쿠키는 `HttpOnly`, `Secure`, `SameSite=lax`가 확인됐습니다.
- 기존 운영 응답은 CSP가 Report-Only만 내려가고 HSTS가 없어 SecureScan에서 감점되었습니다.
- 코드 보완 방향은 실제 `Content-Security-Policy` 헤더와 운영 HTTPS 도메인 HSTS를 함께 내려주는 방식입니다.
## 주의사항
- CSP는 너무 강하게 바로 잠그면 에디터, 이미지 업로드, 소셜 로그인, 결제, 유튜브 임베드가 깨질 수 있습니다.
- DNS/SPF/DMARC는 실행 환경에 DNS 조회 도구가 없으면 미확인으로 분리합니다.
- 민감 파일 검사는 대표 경로만 저속으로 확인하고, 대량 침투 테스트는 수행하지 않습니다.