웹취약점 점검툴 OWASP ZAP 2.2.2 이용한 점검 결과
- 작성자 :
- 박*식
- 작성일 :
- 2014-01-20 15:00:11
- 조회수 :
- 2,778
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
안녕하세요
현재 개발하고 사이트에서 웹 취약점 결과 보고를 해야 하기에
웹취약점 점검툴 OWASP ZAP 2.2.2 를 이용하여 점검 하였더니
모든 페이지에서
X-Content-Type-Options header missing 또는 X-Frame-Options header not set
이라는 에러 메세지 두개의 메세지가 거의 대부분 Warnning으로 발생하였습니다.
해당 Warnning에 따른 설명을 보면
X-Frame-Options header not set 은
X-Frame-Options header is not included in the HTTP response to protect against 'ClickJacking' attacks
X-Content-Type-Options header missing 은
The Anti-MIME-Sniffing header X-Content-Type-Options was not set to 'nosniff'
이렇게 결과가 출력됩니다.
질문내용은
전자정부framework를 이용하는 모든 페이지에는 같은 점검 결과가 warnning으로 발생되고 있습니다.
이 부분은 어떻게 처리 해야 하는지 답변 부탁 드립니다.
브라우저는 익스플로러 10.0을 사용중입니다.
다시한번
답변부탁 드립니다.
감사합니다.
현재 개발하고 사이트에서 웹 취약점 결과 보고를 해야 하기에
웹취약점 점검툴 OWASP ZAP 2.2.2 를 이용하여 점검 하였더니
모든 페이지에서
X-Content-Type-Options header missing 또는 X-Frame-Options header not set
이라는 에러 메세지 두개의 메세지가 거의 대부분 Warnning으로 발생하였습니다.
해당 Warnning에 따른 설명을 보면
X-Frame-Options header not set 은
X-Frame-Options header is not included in the HTTP response to protect against 'ClickJacking' attacks
X-Content-Type-Options header missing 은
The Anti-MIME-Sniffing header X-Content-Type-Options was not set to 'nosniff'
이렇게 결과가 출력됩니다.
질문내용은
전자정부framework를 이용하는 모든 페이지에는 같은 점검 결과가 warnning으로 발생되고 있습니다.
이 부분은 어떻게 처리 해야 하는지 답변 부탁 드립니다.
브라우저는 익스플로러 10.0을 사용중입니다.
다시한번
답변부탁 드립니다.
감사합니다.
A
안녕하세요. 박홍식님.
말씀해 주신 response header 처리의 경우는 우선 표준화된 header가 아니며, 특정 브라우져(IE)가 인식하는 응답 헤더 부분입니다.
또한 프레임워크 상에 문제가 아닌 웹서버 설정 또는 JSP 상에 조치 부분으로 프로젝트에서 직접 조치하시면 되실 것 같습니다.
사용하시는 웹서버 상의 설정을 통해 응답헤더를 추가하시거나, JSP 선언 부분 상에 추가해 놓으시면 됩니다.
그럼, 즐거운 하루되십시오.
감사합니다.
말씀해 주신 response header 처리의 경우는 우선 표준화된 header가 아니며, 특정 브라우져(IE)가 인식하는 응답 헤더 부분입니다.
또한 프레임워크 상에 문제가 아닌 웹서버 설정 또는 JSP 상에 조치 부분으로 프로젝트에서 직접 조치하시면 되실 것 같습니다.
사용하시는 웹서버 상의 설정을 통해 응답헤더를 추가하시거나, JSP 선언 부분 상에 추가해 놓으시면 됩니다.
그럼, 즐거운 하루되십시오.
감사합니다.
