보안 헤더 진단 스킬
본문을 복사해 AI 도구에서 실행하세요
-
STEP 1
아래 본문에서 역할, 목적, 입력값, 출력 형식을 확인합니다.
-
STEP 2
ChatGPT, Claude, Gemini, Codex의 대화창이나 프로젝트 지침에 붙여넣습니다.
-
STEP 3
예시 입력값을 내 업무 정보로 바꾼 뒤 실행하고 결과를 검토합니다.
스킬 파일 다운로드
이 게시글은 본문을 복사해서 쓰는 프롬프트이면서, 압축 파일로도 받을 수 있습니다. ZIP 안의 SKILL.md를 ChatGPT, Claude, Gemini, Codex의 대화창이나 프로젝트 지침에 붙여넣고 입력값만 바꿔 실행하세요.
무료 공개 패키지입니다. 다운로드 후 SKILL.md를 복사해 바로 사용할 수 있습니다.
웹사이트 보안 진단 결과를 실제 응답 헤더, DNS 레코드, 공개 HTML/JS 자산, 코드 설정으로 대조하는 무료 보안 검수 스킬입니다.
버전
v1.1.1 · 2026-07-14 · 무료
- CSP를
Content-Security-Policy-Report-Only만 확인하지 않고 실제 차단 헤더인Content-Security-Policy까지 구분해 점검하도록 보강했습니다. - HSTS는 운영 HTTPS 도메인에서
Strict-Transport-Security: max-age=31536000; includeSubDomains적용 여부를 확인하도록 강화했습니다. - Secu-scan 리브랜딩 에디션 기준 항목을 반영했습니다: HTTPS/TLS, 보안 헤더, 쿠키 보안 속성, 노출 민감 파일, DNS/SPF/DMARC, 공개 HTML/JS 시크릿 패턴, A~F 등급, AI 수정 프롬프트, 재검사 비교.
.env,.git/config, 백업 파일,phpinfo.php, 디렉터리 리스팅 같은 대표 노출 경로를 저속 샘플링으로 확인하도록 추가했습니다.- 쿠키는
Secure,HttpOnly,SameSite를 분리해 평가하고, 인증 쿠키에 누락이 있으면 High로 분류하도록 했습니다. - DNS 조회가 불가능한 환경에서는 미확인으로 분리하고, 사용자가 SPF/DMARC 조회 결과를 붙여넣을 수 있도록 안내합니다.
v1.1.0 · 2026-07-14 · 무료
- Secu-scan 리브랜딩 에디션 기준으로 DNS/SPF/DMARC, 노출 민감 파일, 공개 HTML/JS 시크릿 패턴, AI 수정 프롬프트, 재검사 비교 항목을 추가했습니다.
v1.0.0 · 2026-07-14 · 무료
- SecureScan 같은 외부 보안 진단 결과를 실제 응답 헤더와 코드 설정으로 재검증하고, CSP/HSTS 등 보안 헤더 보완 우선순위를 제시하는 기준을 추가했습니다.
사용 목적
SecureScan 또는 Secu-scan 같은 외부 보안 검사 도구에서 나온 결과를 그대로 믿지 않고, 실제 HTTP 응답과 앱/프록시 설정을 확인해 조치 우선순위를 정합니다.
단순히 점수를 올리는 것이 아니라 브라우저 방어 효과, 운영 리스크, 기능 깨짐 가능성을 함께 판단합니다.
확인 범위
1. HTTPS / TLS
- HTTPS 적용 여부
- 인증서 유효성
- HTTP -> HTTPS 리다이렉트
- HSTS 적용 여부
- 혼합 콘텐츠 위험
2. 보안 헤더
- Content-Security-Policy
- Content-Security-Policy-Report-Only
- X-Frame-Options
- X-Content-Type-Options
- Referrer-Policy
- Permissions-Policy
- frame-ancestors, base-uri, form-action
3. 쿠키 보안 속성
- Secure
- HttpOnly
- SameSite
- 인증 쿠키 도메인/경로/만료
- 로그아웃 후 보호 페이지 접근 차단
4. 노출된 민감 파일
대표 샘플 경로를 저속으로 확인합니다.
/.env/.git/config/config.php.bak/backup.zip/db.sql/phpinfo.php/server-status/uploads/,/files/,/static/디렉터리 리스팅
5. DNS / 도메인
- A/AAAA/CNAME 기본 확인
- SPF TXT 레코드
- DMARC TXT 레코드
- DKIM은 selector를 모르면 미확인으로 분리
6. 공개 HTML/JS 시크릿 패턴
공개 HTML과 주요 JS 번들에서 아래 패턴을 찾고 false positive를 분리합니다.
sk-xoxb-AKIAAIzaghp_Bearerprivate_keyclient_secretaccess_tokenrefresh_token
7. 인증/권한/API 기본
- 비로그인 요청 차단
- 댓글/추천/첨부 API 권한 확인
- 작성자/관리자 외 수정·삭제 차단
- rate limit 또는 오류 제어
- 운영 상세 오류/스택트레이스 노출 여부
요청 예시
ai.eond.com 보안검사 해줘.
Secu-scan 리포트 기준으로 CSP/HSTS, 쿠키, 노출 파일, DNS, 공개 JS 시크릿을 실제 응답과 코드에서 재확인하고,
수정 우선순위와 재검수 결과를 정리해줘.
수정까지 요청할 때:
ai.eond.com 보안검사 후 보완해줘.
SecureScan/Secu-scan 결과를 기준으로 실제 응답 헤더를 확인하고,
CSP/HSTS 같은 확실한 보안 헤더 문제는 코드에 반영한 뒤 재검수해줘.
결과 형식
- 보안 점수와 A~F 등급
- 축별 점수표
- 주요 이슈와 위험도
- 외부 리포트 대조 결과
- 복사 가능한 AI 수정 프롬프트
- Fix 체크리스트
- 수정 후 재검사 비교
등급 기준
- A: 90~100
- B: 80~89
- C: 70~79
- D: 60~69
- F: 59 이하
Blocker가 있으면 점수와 관계없이 공개 보류로 판단합니다.
ai.eond.com 적용 메모
이번 보강 기준으로 확인한 대표 항목:
.env,.git/config,phpinfo.php대표 경로는 404로 노출되지 않았습니다.- 로그인 쿠키는
HttpOnly,Secure,SameSite=lax가 확인됐습니다. - 기존 운영 응답은 CSP가 Report-Only만 내려가고 HSTS가 없어 SecureScan에서 감점되었습니다.
- 코드 보완 방향은 실제
Content-Security-Policy헤더와 운영 HTTPS 도메인 HSTS를 함께 내려주는 방식입니다.
주의사항
- CSP는 너무 강하게 바로 잠그면 에디터, 이미지 업로드, 소셜 로그인, 결제, 유튜브 임베드가 깨질 수 있습니다.
- DNS/SPF/DMARC는 실행 환경에 DNS 조회 도구가 없으면 미확인으로 분리합니다.
- 민감 파일 검사는 대표 경로만 저속으로 확인하고, 대량 침투 테스트는 수행하지 않습니다.