E:LAB
← Services
Methodology

13개 스캐너, 어떻게 판정하나요?

각 스캐너가 어떤 신호를 보는지, 점수가 어떻게 깎이는지를 공개합니다. 매직 넘버가 아니라 룰에 따라 채점되도록 설계됐습니다.

  • 01 · headers

    Security Headers

    HSTS · CSP · X-Frame-Options · X-Content-Type-Options · Referrer-Policy · Permissions-Policy 적용 여부와 값을 검사. 누락 시 권장 값을 함께 안내합니다.

  • 02 · tls

    TLS / 인증서

    TLS 버전 · 인증서 만료일 · 체인 신뢰성 · 약한 암호화 스위트를 점검. 만료 임박 시 위험도 상승.

  • 03 · secrets

    노출된 자격증명

    흔한 비밀 패턴(API key · token · DB credential)이 정적 자산이나 응답에 노출되어 있는지 확인합니다.

  • 04 · libraries

    JavaScript 라이브러리 CVE

    사이트가 로드하는 JS 라이브러리의 버전을 추출해 알려진 CVE 데이터베이스와 매칭합니다.

  • 05 · paths

    노출된 경로

    .env / .git / config.json / phpinfo.php / /admin / /backup 같은 위험 경로가 공개되어 있는지 점검합니다.

  • 06 · content

    콘텐츠 위험

    외부에서 주입된 의심스러운 스크립트·iframe·코인 마이너 등 콘텐츠 기반 위험 신호를 탐지합니다.

  • 07 · dns

    DNS / SPF·DMARC·DKIM

    이메일 스푸핑을 막는 SPF·DMARC·DKIM 레코드 설정 + DNSSEC · CAA 레코드 적용 여부.

  • 08 · discovery

    Discovery / robots.txt

    robots · sitemap · humans.txt · ads.txt 같은 디스커버리 파일 정합성과 내용을 분석합니다.

  • 09 · active

    Active probes

    응답 패턴으로 미들웨어·프록시·CDN 체인을 식별해 misconfiguration 가능성을 표시합니다.

  • 10 · tech

    Tech stack

    사이트가 사용 중인 기술 스택을 식별 — 정확한 버전과 알려진 취약점 매칭에 활용됩니다.

  • 11 · wellKnown

    .well-known 메타

    security.txt · openid-configuration 등 표준 메타데이터의 존재와 정합성을 확인합니다.

  • 12 · sourceMap

    Source map 누출

    프로덕션에 source map이 동봉되어 원본 코드가 추출 가능한 상태인지 점검합니다.

  • 13 · subdomains

    서브도메인 takeover

    유효하지 않은 CNAME · 만료된 third-party가 있는 서브도메인을 takeover 위험으로 표시합니다.

점수 산정

기본 100점에서 발견된 항목의 위험도에 따라 차감합니다.

  • 치명
    -35
  • 높음
    -20
  • 중간
    -10
  • 낮음
    -4
  • 정보
    0

중복 항목은 한 번만 차감하며, 최저 5점까지만 떨어집니다 — 0점/대량 위협 사이트도 결과 페이지를 정상 렌더할 수 있도록.

샘플 리포트로 실제 페이지 구성을 미리 보실 수 있습니다.

샘플 리포트 →내 도메인 점검 →