데이터평문전송(Cleartext Transmission)

1

중요 정보(인증정보, 개인정보, 로그인페이지 등)를 송수신하는 페이지 존재 여부 확인

1

중요 정보 송수신 페이지가 암호화 통신(https, 데이터 암호화 등)을 하는지 확인

1

취약한 버전의 암호 프로토콜 사용 시 암호화된 통신 내용이 유출될 가능성이 존재하므로 취약한 버전의 SSL(SSL 2.0, 3.0) 사용 여부를 점검

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

// HTTP를 HTTPS로 리다이렉트
@Configuration
public class HttpsRedirectConfig {
    @Bean
    public ServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint securityConstraint = new SecurityConstraint();
                securityConstraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                securityConstraint.addCollection(collection);
                context.addConstraint(securityConstraint);
            }
        };
        tomcat.addAdditionalTomcatConnectors(redirectConnector());
        return tomcat;
    }

    private Connector redirectConnector() {
        Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
        connector.setScheme("http");
        connector.setPort(8080);
        connector.setSecure(false);
        connector.setRedirectPort(8443);
        return connector;
    }
}

1
2
3
4
5

# SSL 2.0, 3.0, TLS 1.0, 1.1 비활성화
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

# TLS 1.2, 1.3만 허용
SSLProtocol -all +TLSv1.2 +TLSv1.3

1
2
3
4
5
6

server {
    listen 443 ssl;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256';
    ssl_prefer_server_ciphers on;
}

1
2
3
4
5

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"Enabled"=dword:00000000

1
2

# Apache
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

1
2

# Nginx
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

1
2
3
4
5

// Spring Boot
server.ssl.enabled=true
server.headers.hsts.enabled=true
server.headers.hsts.max-age=31536000
server.headers.hsts.includeSubDomains=true

1
2
3
4

// HTTPS에서만 전송되는 쿠키
Cookie cookie = new Cookie("sessionId", sessionId);
cookie.setSecure(true);    // HTTPS에서만 전송
cookie.setHttpOnly(true);  // JavaScript 접근 차단

1
2
3
4

# 모든 HTTP 요청을 HTTPS로 리다이렉트
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

1
2
3
4
5
6
7
8

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.requiresChannel()
            .anyRequest().requiresSecure();
    }
}