무료 프롬프트 FREE · v1.1.1

보안 헤더 진단 스킬

test 2026.07.14 7 0
사용 방법

본문을 복사해 AI 도구에서 실행하세요

  1. STEP 1

    아래 본문에서 역할, 목적, 입력값, 출력 형식을 확인합니다.

  2. STEP 2

    ChatGPT, Claude, Gemini, Codex의 대화창이나 프로젝트 지침에 붙여넣습니다.

  3. STEP 3

    예시 입력값을 내 업무 정보로 바꾼 뒤 실행하고 결과를 검토합니다.

스킬 파일 다운로드

이 게시글은 본문을 복사해서 쓰는 프롬프트이면서, 압축 파일로도 받을 수 있습니다. ZIP 안의 SKILL.md를 ChatGPT, Claude, Gemini, Codex의 대화창이나 프로젝트 지침에 붙여넣고 입력값만 바꿔 실행하세요.

무료 공개 패키지입니다. 다운로드 후 SKILL.md를 복사해 바로 사용할 수 있습니다.

보안-헤더-진단-스킬.zip 다운로드

웹사이트 보안 진단 결과를 실제 응답 헤더, DNS 레코드, 공개 HTML/JS 자산, 코드 설정으로 대조하는 무료 보안 검수 스킬입니다.

버전

v1.1.1 · 2026-07-14 · 무료

  • CSP를 Content-Security-Policy-Report-Only만 확인하지 않고 실제 차단 헤더인 Content-Security-Policy까지 구분해 점검하도록 보강했습니다.
  • HSTS는 운영 HTTPS 도메인에서 Strict-Transport-Security: max-age=31536000; includeSubDomains 적용 여부를 확인하도록 강화했습니다.
  • Secu-scan 리브랜딩 에디션 기준 항목을 반영했습니다: HTTPS/TLS, 보안 헤더, 쿠키 보안 속성, 노출 민감 파일, DNS/SPF/DMARC, 공개 HTML/JS 시크릿 패턴, A~F 등급, AI 수정 프롬프트, 재검사 비교.
  • .env, .git/config, 백업 파일, phpinfo.php, 디렉터리 리스팅 같은 대표 노출 경로를 저속 샘플링으로 확인하도록 추가했습니다.
  • 쿠키는 Secure, HttpOnly, SameSite를 분리해 평가하고, 인증 쿠키에 누락이 있으면 High로 분류하도록 했습니다.
  • DNS 조회가 불가능한 환경에서는 미확인으로 분리하고, 사용자가 SPF/DMARC 조회 결과를 붙여넣을 수 있도록 안내합니다.

v1.1.0 · 2026-07-14 · 무료

  • Secu-scan 리브랜딩 에디션 기준으로 DNS/SPF/DMARC, 노출 민감 파일, 공개 HTML/JS 시크릿 패턴, AI 수정 프롬프트, 재검사 비교 항목을 추가했습니다.

v1.0.0 · 2026-07-14 · 무료

  • SecureScan 같은 외부 보안 진단 결과를 실제 응답 헤더와 코드 설정으로 재검증하고, CSP/HSTS 등 보안 헤더 보완 우선순위를 제시하는 기준을 추가했습니다.

사용 목적

SecureScan 또는 Secu-scan 같은 외부 보안 검사 도구에서 나온 결과를 그대로 믿지 않고, 실제 HTTP 응답과 앱/프록시 설정을 확인해 조치 우선순위를 정합니다.

단순히 점수를 올리는 것이 아니라 브라우저 방어 효과, 운영 리스크, 기능 깨짐 가능성을 함께 판단합니다.

확인 범위

1. HTTPS / TLS

  • HTTPS 적용 여부
  • 인증서 유효성
  • HTTP -> HTTPS 리다이렉트
  • HSTS 적용 여부
  • 혼합 콘텐츠 위험

2. 보안 헤더

  • Content-Security-Policy
  • Content-Security-Policy-Report-Only
  • X-Frame-Options
  • X-Content-Type-Options
  • Referrer-Policy
  • Permissions-Policy
  • frame-ancestors, base-uri, form-action

3. 쿠키 보안 속성

  • Secure
  • HttpOnly
  • SameSite
  • 인증 쿠키 도메인/경로/만료
  • 로그아웃 후 보호 페이지 접근 차단

4. 노출된 민감 파일

대표 샘플 경로를 저속으로 확인합니다.

  • /.env
  • /.git/config
  • /config.php.bak
  • /backup.zip
  • /db.sql
  • /phpinfo.php
  • /server-status
  • /uploads/, /files/, /static/ 디렉터리 리스팅

5. DNS / 도메인

  • A/AAAA/CNAME 기본 확인
  • SPF TXT 레코드
  • DMARC TXT 레코드
  • DKIM은 selector를 모르면 미확인으로 분리

6. 공개 HTML/JS 시크릿 패턴

공개 HTML과 주요 JS 번들에서 아래 패턴을 찾고 false positive를 분리합니다.

  • sk-
  • xoxb-
  • AKIA
  • AIza
  • ghp_
  • Bearer
  • private_key
  • client_secret
  • access_token
  • refresh_token

7. 인증/권한/API 기본

  • 비로그인 요청 차단
  • 댓글/추천/첨부 API 권한 확인
  • 작성자/관리자 외 수정·삭제 차단
  • rate limit 또는 오류 제어
  • 운영 상세 오류/스택트레이스 노출 여부

요청 예시

ai.eond.com 보안검사 해줘.
Secu-scan 리포트 기준으로 CSP/HSTS, 쿠키, 노출 파일, DNS, 공개 JS 시크릿을 실제 응답과 코드에서 재확인하고,
수정 우선순위와 재검수 결과를 정리해줘.

수정까지 요청할 때:

ai.eond.com 보안검사 후 보완해줘.
SecureScan/Secu-scan 결과를 기준으로 실제 응답 헤더를 확인하고,
CSP/HSTS 같은 확실한 보안 헤더 문제는 코드에 반영한 뒤 재검수해줘.

결과 형식

  • 보안 점수와 A~F 등급
  • 축별 점수표
  • 주요 이슈와 위험도
  • 외부 리포트 대조 결과
  • 복사 가능한 AI 수정 프롬프트
  • Fix 체크리스트
  • 수정 후 재검사 비교

등급 기준

  • A: 90~100
  • B: 80~89
  • C: 70~79
  • D: 60~69
  • F: 59 이하

Blocker가 있으면 점수와 관계없이 공개 보류로 판단합니다.

ai.eond.com 적용 메모

이번 보강 기준으로 확인한 대표 항목:

  • .env, .git/config, phpinfo.php 대표 경로는 404로 노출되지 않았습니다.
  • 로그인 쿠키는 HttpOnly, Secure, SameSite=lax가 확인됐습니다.
  • 기존 운영 응답은 CSP가 Report-Only만 내려가고 HSTS가 없어 SecureScan에서 감점되었습니다.
  • 코드 보완 방향은 실제 Content-Security-Policy 헤더와 운영 HTTPS 도메인 HSTS를 함께 내려주는 방식입니다.

주의사항

  • CSP는 너무 강하게 바로 잠그면 에디터, 이미지 업로드, 소셜 로그인, 결제, 유튜브 임베드가 깨질 수 있습니다.
  • DNS/SPF/DMARC는 실행 환경에 DNS 조회 도구가 없으면 미확인으로 분리합니다.
  • 민감 파일 검사는 대표 경로만 저속으로 확인하고, 대량 침투 테스트는 수행하지 않습니다.