1. GET -> POST
HTTP를 통한 비밀번호 전송
2. Let's 인증서 설치
잘못된 SSL 인증서
안전하지 않은 TLS
3. 톰켓 샘플페이지 삭제
내부 서버 오류(500)
예외 보고서 공개(톰캣)
브라우저 탭을 탐색하여 피싱
내부 IP 주소 공개
4. server.xml 변경
내부 서버 오류(500)
예외 보고서 공개(톰캣)
누락 된 X-프레임-옵션 헤더
5. SpringSecurity.xml 적용
HTTP 엄격한 전송 보안 (HSTS) 정책비활성화
누락 된 X-프레임-옵션 헤더
누락된 콘텐츠 유형 헤더 (Content-Type)
영구 크로스 사이트 스크립팅
로그인 양샥의 크로스 사이트 요청위조 감지
크로스 사이트 요청 위조 감지
6. 자동완성 기능 해제
input (autocomplete="off")
7. 입력값 유효성 체크
영구 크로스 사이트 스크립팅
로그인 양샥의 크로스 사이트 요청위조 감지
크로스 사이트 요청 위조 감지
8. 방화벽 http 80번 차단
HTTP 엄격한 전송 보안 (HSTS) 정책비활성화
9. robots.txt 모두 거부
User-agent: *
Disallow: /
10. Login Javascript 암호화하여 패스워드 서버로 전송
Login Password(SHA256) -> Spring(bcrypt) -> DB에 저장
11. 오래된 버전의 jQuery 사용
버전 업데이트 (jQuery v3.3.1 -> v3.4.1)
12.안전하지 않은 TLS(Transportation Security Protocol Supported)
server.xml 설정값 변경 TLS 1.2 프로토콜 지정
13. 누락 된 X-프레임-옵션 헤더
web.xml 설정값 변경
X-Frame-Options
(ALLOW-FROM -> DENY)
14. 크로스 사이트요청 위조 감지(XSS)
Lucy fillter 적용
HTMLTagFilter사용
'웹' 카테고리의 다른 글
| DB튜닝 테이블에 데이터가 많은 경우 (0) | 2021.01.31 |
|---|---|
| 라디오 버튼 제이쿼리 (0) | 2020.08.24 |
| express + morgan (0) | 2019.04.01 |
| promise (0) | 2019.03.28 |
| 정규식 표현 정리 (0) | 2019.03.28 |
iesay