의미없는 블로그
Internet Hygiene Portal: CSA Singapore 본문
CSA(Cyber Security Agency of Singapor) 싱가폴 보안국? 에서 제공하는 스캐너
CSA Singapore | Internet Hygiene Portal
Information and Resources
ihp.csa.gov.sg
스캔 항목
| Secure Website Connection | HTTP Configuration Security (HTTPS) | HTTPS Existence | HTTPS 사용 여부 확인 |
| HTTPS Redirection | 웹 서버가 동일한 도메인에서 HTTPS로의 리다이렉션을 수행하는지 확인 | ||
| HTTP Strict Transport Security (HSTS) | 웹사이트가 HSTS를 제공하고 있는지 확인 | ||
| HTTP Compression | Content-Encoding에 대한 웹 사이트의 응답 헤더가 HTTPS 압축을 지원하는지 확인 HTTP 압축을 사용하면 응답을 보내기 전에 웹 페이지가 압축됩니다. 그러나 공격자는 압축 크기를 이용하여 웹 사이트와 방문자 간의 트래픽을 모니터링합니다. 따라서 HTTP 압축 지원은 권장되지 않으며 비활성화해야 합니다. |
||
| TLS Protocols | TLS 사용 여부 확인 (버전 확인) | ||
| TLS Cipher Suites | Cipher Suites 정보 확인 | ||
| TLS Compression | 웹 서버에 TLS 압축 기능이 활성화 되어있는지 확인 TLS 압축은 공격자가 중요한 정보를 복구할 수 있는 CRIME (Compression Ratio Info-leak Made Easy)공격으로부터 웹 사이트를 보호하려면 비활성화해야 합니다. |
||
| Downgrade Attack Prevention | 웹 서버가 TLS_FALLBACK_SCSV 메커니즘을 지원하는지 확인 TLS 다운그레이드를 방지하여 클라이언트와 서버가 보안 프로토콜 버전을 사용하여 통신하도록 합니다. TLS SCSV(Signaling Cipher Suite Value)는 다운그레이드 공격을 방지하는 데 사용되므로 웹 서버에서 지원해야 합니다. |
||
| Secure Renegotiation | 재협상 금지 설정 여부 확인 TLSv1.3 은 재협상 금지되어있음 그 이하 버전은 Secure Renegotiation 을 활성화 해야 재협상이 금지되어 MITM 공격으로 부터 안전 |
||
| Client-Initiated Renegotiation | 해당 설정 여부 확인 이게 활성화 되면 재협상 요청이 과부화되어 DoS 공격 당할 수 있음 |
||
| Session Resumption | 해당 설정 여부 확인 세션 재개를 활성화하면 웹 서버가 재생 공격에 취약해집니다. 재생 공격은 악의적인 행위자가 보안 네트워크 통신을 도청하고 이를 가로챈 후 웹 서버와 방문자의 브라우저 간의 데이터 전송을 재생하여 악의적인 활동을 할 때 발생합니다. |
||
| TLS Early Data Indication | 해당 설정 여부 확인 Early Data Indication은 성능 연결을 개선하는 데 도움이 되는 TLS 1.3용 TLS 확장입니다. 그러나 재생 공격(데이터 전송이 악의적으로 반복됨) 가능성 존재합니다. |
||
| Certificate | Certificate Validity | 웹사이트의 인증서 날짜가 만료되었는지 확인 | |
| Public Key Algorithm | 웹사이트 인증서가 안전한 공개 키 알고리즘을 사용하는지 확인 공개 키에 서명하는 데 사용되는 알고리즘은 인증서 위조 공격에 견딜 수 있을 만큼 충분히 안전해야 합니다. |
||
| Signature Hash Algorithm | 웹사이트 인증서가 보안 서명 해시 알고리즘을 사용하는지 확인 서명 해시 알고리즘은 인증서 위조 공격에 견딜 수 있을 만큼 충분히 안전해야 합니다. |
||
| Valid Domain Name | 웹사이트 인증서가 웹사이트의 도메인 이름과 일치하는지 확인 | ||
| Extended Validation (EV) | 웹사이트에 EV 인증서가 있는 경우를 확인 EV 인증서는 웹 사이트 도메인이 정식으로 통합되고 양호한 상태임을 확인하므로 방문자에게 더 강력한 신원 보증을 제공합니다. |
||
| Legacy Symantec Anchor | 웹 사이트의 인증서 체인에 신뢰할 수 없는 Symantec Anchor가 포함되어 있는 경우를 확인 브라우저 공급업체는 기존 Symantec 인증서를 더 이상 사용하지 않습니다. 이 요구 사항을 준수하려면 웹 사이트 인증서에 신뢰할 수 없는 Symantec Anchor가 없어야 합니다. |
||
| HTTP Security Headers | X-Frame-Options | 웹사이트의 응답 헤더에 X-Frame-Options가 있는지 확인 신뢰할 수 없는 콘텐츠를 클릭하도록 속이는 클릭재킹 공격으로부터 보호 |
|
| X-Content-Type-Options | 웹사이트의 응답 헤더에 x-content-type-options: nosniff 가 있는지 확인 콘텐츠 조작, MINE-type sniffing 공격으로부터의 보호 |
||
| Content-Security-Policy | 웹사이트의 응답 헤더에 content-security-policy가 있는지 확인 신뢰할 수 있는 콘텐츠 소스를 브라우저에 알려줌으로써 code injection, xss, clickjacking 으로부터 보호 |
||
| X-Permitted-Cross-Domain-Policies | 웹 사이트의 응답 헤더에 x-permitted-cross-domain-policies가 있는지 확인 X-Permitted-Cross-Domain-Policies는 도메인 전체에서 요청을 처리하는 방법에 대해 브라우저에 지시하는 응답 HTTP 헤더 |
||
| Referrer-Policy | 웹사이트의 응답 헤더에 referrer-policy가 있는지 확인 Referrer-Policy는 Referrer 헤더를 통해 내부 URL이 유출되는 것을 방지하는 응답 HTTP 헤더 Referrer-Policy를 구성하지 않으면 웹 사이트의 민감한 정보가 유출될 수 있으며 방문자의 개인 정보가 영향을 받을 수 있습니다. |
||
| Web Domain Security |
DNSSEC | DNSSEC Validity | DNSSEC 유효성 확인 (ex. Unsigned or Invalid) DNSSEC가 없으면 방문자는 DNS 스푸핑(악성 웹사이트로 리디렉션)에 취약합니다. |
| Modern IP Address |
IPv6 | IPv6 Existence | IPv6 사용하는지 확인 (웹 서버에 하나 이상의 AAAA DNS 레코드 유형이 있는지 확인) |
| IPv6 Reachability | IPv6를 통해 웹 서버에 연결할 수 있는지 확인 |
Comments