분석기 설정 커스터마이즈

분석기 설정 커스터마이즈에 대해 설명합니다.

API 퍼징 동작은 CI/CD 변수를 통해 변경할 수 있습니다. API 퍼징 구성 파일은 리포지터리의 .gitlab 디렉터리에 있어야 합니다. Warning GitLab 보안 스캐닝 도구의 모든 커스터마이즈는 이 변경 사항을 기본 브랜치에 머지하기 전에 머지 리퀘스트에서 테스트해야 합니다. 그렇지 않으면 많은 수의 거짓 양성을 포함한 예기치 않은 결과를 초래할 수 있습니다. 인증 # 인증은 인증 토큰을 헤더 또는 쿠키로 제공하여 처리됩니다. 인증 흐름을 수행하거나 토큰을 계산하는 스크립트를 제공할 수 있습니다. HTTP 기본 인증 # HTTP 기본 인증 은 HTTP 프로토콜에 내장된 인증 방법으로 전송 계층 보안(TLS) 과 함께 사용됩니다. 비밀번호에 대한 CI/CD 변수 생성 (예: TEST_API_PASSWORD )을 권장하며, 마스킹으로 설정하세요. CI/CD 변수는 설정 > CI/CD 의 변수 섹션에서 GitLab 프로젝트 페이지에서 생성할 수 있습니다. 마스킹된 변수의 제한 사항 으로 인해 변수로 추가하기 전에 비밀번호를 Base64 인코딩해야 합니다. 마지막으로 .gitlab-ci.yml 파일에 두 가지 CI/CD 변수를 추가합니다: FUZZAPI_HTTP_USERNAME : 인증을 위한 사용자 이름. FUZZAPI_HTTP_PASSWORD_BASE64 : 인증을 위한 Base64 인코딩된 비밀번호. stages: - fuzz include: - template: API-Fuzzing.gitlab-ci.yml variables: FUZZAPI_PROFILE: Quick-10 FUZZAPI_HAR: test-api-recording.har FUZZAPI_TARGET_URL: http://test-deployment/ FUZZAPI_HTTP_USERNAME: testuser FUZZAPI_HTTP_PASSWORD_BASE64: $TEST_API_PASSWORD 원시 비밀번호 # 비밀번호를 Base64 인코딩하지 않으려면(또는 GitLab 15.3 이하를 사용하는 경우) FUZZAPI_HTTP_PASSWORD_BASE64 대신 원시 비밀번호 FUZZAPI_HTTP_PASSWORD 를 제공할 수 있습니다. Bearer 토큰 # Bearer 토큰은 OAuth2 및 JSON Web Tokens(JWT)를 포함한 여러 다양한 인증 메커니즘에서 사용됩니다. Bearer 토큰은 Authorization HTTP 헤더를 사용하여 전송됩니다. API 퍼징에서 bearer 토큰을 사용하려면 다음 중 하나가 필요합니다: 만료되지 않는 토큰 테스트 기간 동안 지속되는 토큰 생성 방법 API 퍼징이 토큰을 생성하도록 호출할 수 있는 Python 스크립트 토큰이 만료되지 않는 경우 # bearer 토큰이 만료되지 않으면 FUZZAPI_OVERRIDES_ENV 변수를 사용하여 제공합니다. 이 변수의 내용은 API 퍼징의 발신 HTTP 요청에 추가할 헤더와 쿠키를 제공하는 JSON 스니펫입니다. FUZZAPI_OVERRIDES_ENV 로 bearer 토큰을