분석기 활성화

분석기 활성화에 대해 설명합니다.

웹 API fuzzing 구성 양식

UI에서 웹 API fuzzing 구성

OpenAPI 스펙

OpenAPI 및 미디어 유형

OpenAPI 스펙으로 웹 API fuzzing 구성

HTTP 아카이브 (HAR)

HAR 파일로 웹 API fuzzing 구성

GraphQL 스키마

GraphQL 엔드포인트 URL로 API fuzzing 스캔

GraphQL 스키마 파일로 API fuzzing

Postman Collection

Postman Collection 파일로 웹 API fuzzing 구성

Postman 변수

첫 번째 스캔 실행

fuzzing 결함 보기

API fuzzing 취약점의 세부 정보 보기

보안 대시보드

취약점과 상호 작용

거짓 양성 처리

검사 비활성화

검사의 어설션 비활성화

필수 조건: 다음 웹 API 유형 중 하나: REST API SOAP GraphQL Form bodies, JSON, or XML 테스트할 API를 제공하는 다음 자산 중 하나: OpenAPI v2 또는 v3 API 정의 테스트할 API 요청의 HTTP 아카이브 (HAR) Postman Collection v2.0 또는 v2.1 [!warning] 프로덕션 서버에 대해 절대 fuzz 테스팅을 실행하지 마세요. API가 수행할 수 있는 모든 기능을 수행할 수 있을 뿐만 아니라 API의 버그를 트리거할 수도 있습니다. 여기에는 데이터 수정 및 삭제와 같은 작업이 포함됩니다. 테스트 서버에 대해서만 fuzzing을 실행하세요. 웹 API fuzzing을 활성화하려면 웹 API fuzzing 구성 양식을 사용합니다. 수동 구성 지침은 API 유형에 따라 해당 섹션을 참조하세요: OpenAPI 스펙 GraphQL 스키마 HTTP 아카이브 (HAR) Postman Collection 그 외의 경우 웹 API fuzzing 구성 양식 을 참조하세요. API fuzzing 구성 파일은 리포지터리의 .gitlab 디렉토리에 있어야 합니다. 웹 API fuzzing 구성 양식 # API fuzzing 구성 양식은 프로젝트의 API fuzzing 구성을 생성하거나 수정하는 데 도움을 줍니다. 양식을 통해 가장 일반적인 API fuzzing 옵션의 값을 선택하고 GitLab CI/CD 구성에 붙여넣을 수 있는 YAML 스니펫을 생성합니다. UI에서 웹 API fuzzing 구성 # API fuzzing 구성 스니펫을 생성하려면: 상단 표시줄에서 검색 또는 이동 을 선택하고 프로젝트를 찾습니다. Secure > 보안 구성 을 선택합니다. API Fuzzing 행에서 API Fuzzing 활성화 를 선택합니다. 필드를 입력합니다. 자세한 내용은 사용 가능한 CI/CD 변수 를 참조하세요. 코드 스니펫 생성 을 선택합니다. 양식에서 선택한 옵션에 해당하는 YAML 스니펫이 포함된 대화 상자가 열립니다. 다음 중 하나를 수행합니다: 스니펫을 클립보드에 복사하려면 코드만 복사 를 선택합니다. 프로젝트의 .gitlab-ci.yml 파일에 스니펫을 추가하려면 코드 복사 및 .gitlab-ci.yml 파일 열기 를 선택합니다. 파이프라인 편집기가 열립니다. .gitlab-ci.yml 파일에 스니펫을 붙여넣습니다. Lint 탭을 선택하여 편집된 .gitlab-ci.yml 파일이 유효한지 확인합니다. 편집 탭을 선택한 다음 변경 사항 커밋 을 선택합니다. 스니펫이 .gitlab-ci.yml 파일에 커밋되면 파이프라인에 API fuzzing job이 포함됩니다. OpenAPI 스펙 # OpenAPI 스펙 (이전의 Swagger 스펙)은 REST API를 위한 API 설명 형식입니다. 이 섹션은 OpenAPI 스펙을 사용하여 테스트할 대상 API에 대한 정보를 제공하는 API fuzzing을 구성하는 방법을 보여줍니다. OpenAPI 스펙은 파일 시스템 리소스 또는 URL로 제공