example.com
보안 점수47/ 100D
- 치명1
- 높음2
- 중간3
- 낮음5
- 정보4
Sample report
결과 페이지가 어떻게 생겼는지 먼저 보세요.
실제 점검 후 보이는 카드 구성 예시입니다. 실제 도메인 결과는 결제 후 모든 항목이 잠금 해제됩니다.
- CRITICALExposed assets
/.env 파일이 공개되어 있습니다.
프로덕션 .env가 200 OK 응답으로 외부에서 다운로드됩니다. DB 비밀번호 · API 키 · 세션 시크릿이 노출됐을 가능성이 큽니다.
↳ 웹 서버에서 dotfiles 차단 규칙(예: `location ~ /\. { deny all; }`)을 추가하고, 노출된 키를 즉시 회전하세요.
- HIGHHeaders
Content-Security-Policy 헤더가 없습니다.
XSS 1순위 방어선이 없습니다. 외부에서 주입된 스크립트가 어떤 출처에서든 실행될 수 있어요.
↳ 최소한의 CSP를 먼저 켜고(자체 호스트 + 알려진 CDN), 위반 리포트를 보면서 점진적으로 좁히세요.
- MEDIUMEmail auth
DMARC 정책이 p=none 입니다.
도메인이 스푸핑돼도 메일이 차단되지 않습니다. 발신 도메인 신뢰도가 낮아져 메일 도달률에도 영향.
↳ p=quarantine으로 옮긴 뒤 리포트를 확인하면서 p=reject까지 단계적으로 강화.
- LOWHeaders
Referrer-Policy 헤더가 없습니다.
외부 링크 클릭 시 우리 URL 정보가 그대로 새어나갈 수 있습니다.
↳ `Referrer-Policy: strict-origin-when-cross-origin` 추가.
샘플 마음에 드시면 본인 도메인으로 한 번 돌려보세요. 검증부터 끝까지 5분 안쪽.
진단 시작 →