콘텐츠 스니핑 방어 제어

제어 이름

콘텐츠 스니핑 방지

권장 구성

• 콘텐츠 스니핑 방지 활성화

설정>세션 설정>콘텐츠 스니핑 보호.

제어 개요

브라우저가 실행 가능한 스크립트로 파일을 잘못 해석하지 않도록 Salesforce 관리자는 세션 설정 메뉴에서 "콘텐츠 스니핑 방지 활성화"를 활성화하여 X-Content-Type-Options: nosniff 머리글을 적용해야 합니다.

구성되지 않은 경우 보안 위험

콘텐츠 스니핑 방어를 활성화하지 않으면 브라우저에서 서버의 선언된 파일 유형을 무시하고 파일의 콘텐츠를 기반으로 MIME 유형을 "예측"할 수 있으므로 브라우저에서 악의적인 스크립트로 유사한 파일(예: 이미지 또는 텍스트 파일)을 실행할 수 있는 취약성을 만듭니다. 이러한 과제는 크로스 사이트 스크립팅(XSS) 및 드라이브 기반 다운로드 공격의 위험을 크게 높입니다.

위협 시나리오

공격자가 유해하지 않은 .png 또는 .txt 파일로 변형된 악성 JavaScript 페이로드를 Salesforce 사례 또는 Experience Cloud 포털에 업로드합니다. 콘텐츠 스니핑 방어가 활성화되어 있지 않으면 의심스러운 사용자의 브라우저에서 파일의 실제 특성을 "가정"하고 숨겨진 스크립트를 실행하므로 공격자가 사용자의 활성 세션 쿠키를 자동으로 도난하고 민감한 데이터를 추출할 수 있습니다.

예상 CVSS 점수 범위

중요(9.0~10.0)

위험 영향 고려 사항

N/A

고위험 시점

MIME 스니핑의 위험성은 강력한 콘텐츠 보안 정책(CSP)이 없으므로 상당히 심화되며, 그렇지 않으면 승인되지 않은 스크립트의 실행을 차단하는 보조 방어 역할을 합니다.

낮은 위험 또는 비위험

콘텐츠 스니핑 방어의 부재를 해소하기 위해 조직은 "스니핑된" 페이로드에 대한 보조 방화벽 역할을 수행하여 무단 또는 인라인 스크립트 실행을 명시적으로 차단하는 엄격한 콘텐츠 보안 정책(CSP)을 구현해야 합니다.

또한 모든 업로드에 대해 자동 악성웨어 및 파일 유형 스캔을 배포하면 브라우저가 잘못 해석할 기회가 없기 전에 이미지로 가리킨 스크립트와 같은 악성 파일이 중단되고 중립됩니다.

비즈니스 및 통합 고려 사항

N/A

권장 수정

콘텐츠 스니핑 방어를 활성화합니다.

보안 상태 검토 지침

보안 상태 검토에서 세션 설정 구성을 검사하여 업계 모범 사례에 따라 콘텐츠 스니핑 방지가 활성화되어 있는지 확인합니다.