본문으로 건너뛰기
>_ITDITD웹 보안 플랫폼

사이트 종합 보안 진단

소유를 확인한 자신의 사이트를 통째로 종합 점검합니다. 기밀 노출(.env/.git/DB 덤프), TLS 인증서, HTTP 보안 헤더, CSP 내용·CORS 설정 오류, 쿠키 속성, 메일 인증(SPF/DKIM/DMARC), CAA에 더해, 노출된 제품을 이 사이트의 CISA KEV(=실제 악용 중) 카탈로그와 상관 분석 — 종합 등급이 매겨진 1개의 보고서 + 수정 방법 + AI 수정 프롬프트.

이 도구는 이 사이트의 서버가 대상 사이트를 수동적으로 가져옵니다(공격이나 탐색적 스캔은 하지 않습니다). 안전을 위해 소유를 확인할 수 있는 도메인만 점검할 수 있습니다. 내부·사설 주소는 차단합니다.
예제로 시도하기(이 사이트 자체 itdef.net을 진단)
B
종합 등급
89 / 100
https://itdef.net/ja · 파일로 소유 확인 완료

기밀 파일의 공개

검사한 24개의 기밀 경로/디렉터리는 모두 공개되어 있지 않았습니다.

TLS 인증서

  • 인증서가 유효합니다(68일 남음).
    • 발급자: Let's Encrypt
    • 프로토콜: TLSv1.3
    • 암호 스위트: TLS_AES_128_GCM_SHA256
    • 만료일: Sep 5 07:14:55 2026 GMT

    전송(HTTPS)

    • HTTPS로 도달할 수 있습니다.
    • http가 HTTPS로 리디렉션됩니다.
    • HSTS가 활성화되어 있습니다.

    보안 헤더

    등급 B(86/100). 미설정·약한 항목: 1건.

    자세한 내용은 보안 헤더 진단으로

    CSP(콘텐츠 보안 정책)의 강도

    • 'unsafe-inline'(인라인 JS 허용=XSS 완화가 크게 손상됨. nonce/hash로 전환)
    CSP 빌더로 다시 구성하기

    CORS(교차 출처 리소스 공유)

    위험한 CORS 오리진 반사는 보이지 않습니다.

    쿠키 보안 속성

    모든 쿠키에 Secure / HttpOnly / SameSite가 적용되어 있습니다.

    메일 인증(스푸핑 대책)

    • spf OK
    • dkim OK
    • dmarc 약함
    자세한 내용은 SPF/DKIM/DMARC 체커로

    버전 정보 노출

    서버/프레임워크의 버전 정보가 눈에 띄는 형태로는 노출되어 있지 않습니다.

    CAA 없음(선택 사항이지만, CAA로 허용할 인증 기관을 한정할 수 있습니다).
    security.txt 없음(선택 사항이지만, /.well-known/security.txt로 연락처를 제시하면 친절합니다).

    AI 개선 지시(복사·붙여넣기)

    Claude / ChatGPT에 붙여넣으면 사용자 환경에 맞는 구체적인 수정 방법을 알려줍니다.

    당신은 웹 보안 전문가입니다. 제가 소유한 사이트(itdef.net)의 진단에서 다음 문제가 발견되었습니다. 공격이 아닌 방어·수정 목적으로, 제 환경(nginx / Apache / Caddy / 클라우드 등)에 맞춰 각 항목의 안전한 수정 방법을 구체적인 명령/설정 예시로 알려주세요. 불명확한 점은 질문해 주세요. 수정 후의 확인 방법도 알려주세요.

- 보안 헤더: content-security-policy
- CSP(콘텐츠 보안 정책)의 강도: unsafe-inline
- 메일 인증(스푸핑 대책): DMARC weak

참고: 기존의 정상 동작을 깨뜨리지 않도록 배려해 주세요. 공격 기법이나 우회 방법 설명은 필요 없습니다.

    이 진단을 정기 모니터링하기(무료)

    이메일 주소를 등록하면, 이 사이트가 해당 사이트를 정기적으로 재진단하여, 상태가 악화(새로 KEV 해당·등급 하락·인증서 만료 임박)되었을 때만 알려드립니다. 확인 메일의 링크를 눌러야 비로소 시작됩니다(스팸 방지). 수신 거부는 언제든 가능합니다.

    사용 방법

    1. 1

      자신의 사이트 도메인을 입력

      예: example.com. 다른 사람의 사이트는 진단할 수 없습니다(소유 확인이 필수이기 때문).

    2. 2

      소유 확인(세 가지 방법 중 하나)

      화면에 표시되는 전용 토큰을 ①메타 태그(가장 간단·메인 페이지의 <head>에 붙여넣기만) ②DNS TXT 레코드 ③파일(원클릭 다운로드→/.well-known/에 배치) 중 하나로 설치합니다. 확인이 될 때까지 진단은 시작되지 않습니다.

    3. 3

      ‘소유 확인 후 진단’을 누르면 자동으로 종합 점검

      기밀 노출(.env/.git/DB 덤프)·TLS 인증서·헤더·CSP/CORS·쿠키·메일 인증·KEV 상관(악용 중 CVE)을 한꺼번에 점검하고, A~F의 종합 등급을 표시합니다.

    4. 4

      빨강→노랑 순으로 수정

      각 항목에 ‘왜 위험한가’와 수정 방법을 표시합니다. 복사·붙여넣기할 수 있는 AI 수정 프롬프트도 나오므로, ChatGPT / Claude에 붙여넣으면 사용자 환경에 맞는 구체적 절차를 얻을 수 있습니다.

    5. 5

      (선택) 무료 정기 모니터링에 등록

      이메일 주소를 등록하면 상태가 악화되었을 때만 알림. 확인 메일의 링크를 눌러야 시작되며, 언제든 수신 거부할 수 있습니다.

    왜 중요한가

    이 도구가 가장 먼저 보는 것은, 공개 디렉터리에 두고 잊은 .env나 .git, DB 덤프 같은 ‘기밀 파일의 의도치 않은 공개’입니다. 이것은 이 사이트의 출발점이 된 실제 사고 그 자체로 — 설정의 구멍 하나로 인증 정보나 소스가 그대로 드러납니다. 거기에 TLS 인증서·헤더·쿠키 속성·메일 인증·버전 노출까지 묶어, 소유를 확인한 자신의 사이트만 ‘종합 건강 검진’할 수 있도록 했습니다. 소유 확인을 필수로 한 것은, 다른 사람의 사이트를 임의로 조사하는 ‘공격 도구’가 되지 않도록 하기 위해서입니다.

    자주 묻는 질문

    Q왜 소유 확인이 필요한가요?
    A

    기밀 파일의 공개 여부를 조사하는 이상, 다른 사람의 사이트를 겨냥하면 공격 정찰이 될 수 있습니다. DNS TXT나 파일 설치로 ‘내 도메인이다’라고 증명한 경우에만 진단하는 설계로 하여, 제3자 스캔을 구조적으로 방지하고 있습니다.

    Q진단으로 사이트에 부하가 걸리나요?
    A

    아니요. 정해진 소수의 경로를 한 번씩 수동적으로 가져올 뿐, 무차별 대입(퍼징)이나 공격은 하지 않습니다. 브라우저로 몇 페이지를 여는 정도의 부하입니다.

    Q종합 등급이 높으면 완전히 안전한가요?
    A

    아니요. 이 도구는 신호가 강한 대표적 항목을 확인하는 것으로, 모든 위험을 망라하지는 않습니다. 초록이어도 과신하지 말고, 최소 공개·최소 권한 원칙과 함께 의존성(OSV 스캐너)·헤더·메일 인증의 지속적인 점검을 병행하세요.

    관련 페이지