-
[Node.js+Angular.js] ZAP Scanning Report : Incomplete or No Cache-control and Pragma HTTP Header SetDev Log 2020. 11. 5. 15:34
요즘에는 Node.js와 Angular.js로 된 프로젝트를 진행하고 있습니다.
평생 자바스프링만 해오던 제게는 좀 어렵기도 하고..스크립트로 된 프론트와 백엔드라 속도가 여간 나지 않는 상황이네요ㅠ.ㅠ
요즘 웹 취약성 툴인 OWASP ZAP을 통해 발견된 취약성을 수정하는 업무를 하고 있습니다.
그 중에 몇 일 동안 삽질을 했던 부분에 대해 공유를 드리고자..글을 작성하게 되었습니다.
일단 Node.js기반의 백엔드이며 위 취약성은 Cache-Control 설정이 되어 있지 않아 발생했던 문제들이었습니다.
근데 아무리 봐도 Cache-Control : no-cache로 설정이 되어 있었습니다.
근데 지속적으로 취약성으로 Cache-Control을 설정하라고 빽빽 거리고 있었습니다..
조금 지칠려던 찰라에 Node.js의 속성을 생각을 했습니다.
HTTP 통신을 제공하는 loopback이라는 모듈을 require해서 사용하고 있던 것이 생각이 나면서 middleware.json을 수정하였고, 드디어 취약성에서 벗어날 수 있었습니다 ㅠㅠㅠㅠ
"helmet#hsts": { "params": { "includeSubdomains": true } }, "helmet#hidePoweredBy": {}, "helmet#ieNoOpen": {}, "helmet#noSniff": {}, "helmet#noCache": { "enabled": true }
위에 보이는 noCache 부분이 false로 되어있었으며, max-age가 0으로 설정이 되어있던 부분을 제거하였더니 해결이 되었습니다.
혹시라도 해당 부분으로 고생하시는 분이 계시다면 이렇게 한번 해보세요!
'Dev Log' 카테고리의 다른 글