웹 API 퍼즈 테스팅

테스팅, 보안, 취약성, 자동화 및 오류.

웹 API 퍼즈 테스팅은 API 동작 매개변수에 예상치 못한 값을 전달하여 백엔드에서 예상치 못한 동작과 오류를 유발합니다. 퍼즈 테스팅을 사용하여 다른 QA 프로세스에서 놓칠 수 있는 버그와 잠재적 취약성을 발견합니다. GitLab Secure 의 다른 보안 스캐너와 자체 테스트 프로세스에 추가로 퍼즈 테스팅을 사용해야 합니다. GitLab CI/CD 를 사용하는 경우 CI/CD 워크플로우의 일부로 퍼즈 테스트를 실행할 수 있습니다. 개요는 웹 API 퍼징 - 고급 보안 테스팅 을 참조하세요. 시작하기 # CI/CD 구성을 편집하여 API 퍼징을 시작합니다. 필수 조건: 지원되는 API 유형 중 하나를 사용하는 웹 API: REST API SOAP GraphQL 폼 본문, JSON 또는 XML 다음 형식 중 하나의 API 사양: OpenAPI v2 또는 v3 사양 GraphQL 스키마 HTTP Archive (HAR) Postman Collection v2.0 또는 v2.1 Linux/amd64에서 docker 실행기를 사용하는 사용 가능한 GitLab Runner. 배포된 대상 애플리케이션. deploy 스테이지 이후에 CI/CD 파이프라인 정의에 fuzz 스테이지가 추가되어 있어야 합니다: stages: - build - test - deploy - fuzz API 퍼징을 활성화하려면: 웹 API 퍼징 구성 양식 을 사용합니다. 이 양식을 사용하면 가장 일반적인 API 퍼징 옵션에 대한 값을 선택하고, GitLab CI/CD 구성에 붙여넣을 수 있는 YAML 스니펫을 생성합니다. 결과 이해하기 # 보안 스캔의 출력을 보려면: 상단 바에서 검색 또는 이동 을 선택하고 프로젝트를 찾습니다. 왼쪽 사이드바에서 빌드 > 파이프라인 을 선택합니다. 파이프라인을 선택합니다. 보안 탭을 선택합니다. 다음을 포함한 세부 정보를 보려면 취약성을 선택합니다: 상태: 취약성이 분류되었거나 해결되었는지 여부를 나타냅니다. 설명: 취약성의 원인, 잠재적 영향 및 권장 수정 단계를 설명합니다. 심각도: 영향을 기반으로 여섯 가지 수준으로 분류됩니다. 자세한 내용은 심각도 수준 을 참조하세요. 스캐너: 취약성을 감지한 분석기를 식별합니다. 방법: 취약한 서버 상호 작용 유형을 확인합니다. URL: 취약성의 위치를 표시합니다. 증거: 특정 취약성의 존재를 증명하는 테스트 케이스를 설명합니다 식별자: CWE 식별자와 같이 취약성을 분류하는 데 사용되는 참조 목록. 보안 스캔 결과를 다운로드할 수도 있습니다: 파이프라인의 보안 탭에서 결과 다운로드 를 선택합니다. 자세한 내용은 파이프라인 보안 보고서 를 참조하세요. Note 결과는 기능 브랜치에서 생성됩니다. 기본 브랜치에 병합되면 취약성이 됩니다. 이 구분은 보안 상태를 평가할 때 중요합니다. 최적화 # API 퍼징을 최대한 활용하려면 다음 권장 사항을 따르세요: 최신 버전의 분석기를 실행하려면 pull_policy: always 를 사용하도록 러너를 구성합니다. 기본적으로 API 퍼징은 파이프라인의 이전 작업