분석기 설정 사용자 정의

분석기 설정 사용자 정의에 대해 설명합니다.

인증 # 인증은 인증 토큰을 헤더 또는 쿠키로 제공하여 처리됩니다. 인증 흐름을 수행하거나 토큰을 계산하는 스크립트를 제공할 수 있습니다. HTTP 기본 인증 # HTTP 기본 인증 은 HTTP 프로토콜에 내장된 인증 방법으로, 전송 계층 보안(TLS) 과 함께 사용됩니다. 비밀번호에 대한 CI/CD 변수 를 생성하고(예: TEST_API_PASSWORD ), 마스킹되도록 설정합니다. GitLab 프로젝트 페이지의 설정 > CI/CD , 변수 섹션에서 CI/CD 변수를 생성할 수 있습니다. 마스킹된 변수의 제한 사항 으로 인해, 변수로 추가하기 전에 비밀번호를 Base64로 인코딩해야 합니다. 마지막으로, .gitlab-ci.yml 파일에 두 개의 CI/CD 변수를 추가합니다: APISEC_HTTP_USERNAME : 인증을 위한 사용자 이름. APISEC_HTTP_PASSWORD_BASE64 : 인증을 위한 Base64 인코딩된 비밀번호. stages: - dast include: - template: API-Security.gitlab-ci.yml variables: APISEC_PROFILE: Quick APISEC_HAR: test-api-recording.har APISEC_TARGET_URL: http://test-deployment/ APISEC_HTTP_USERNAME: testuser APISEC_HTTP_PASSWORD_BASE64: $TEST_API_PASSWORD 원시 비밀번호 # 비밀번호를 Base64로 인코딩하지 않으려는 경우(또는 GitLab 15.3 이하를 사용하는 경우), APISEC_HTTP_PASSWORD_BASE64 대신 원시 비밀번호 APISEC_HTTP_PASSWORD 를 제공할 수 있습니다. Bearer 토큰 # Bearer 토큰은 OAuth2 및 JSON 웹 토큰(JWT)을 포함한 여러 다른 인증 메커니즘에서 사용됩니다. Bearer 토큰은 Authorization HTTP 헤더를 사용하여 전송됩니다. API 보안 테스팅에서 Bearer 토큰을 사용하려면 다음 중 하나가 필요합니다: 만료되지 않는 토큰. 테스트 기간 동안 지속되는 토큰을 생성하는 방법. API 보안 테스팅이 호출하여 토큰을 생성할 수 있는 Python 스크립트. 만료되지 않는 토큰 # Bearer 토큰이 만료되지 않는 경우, APISEC_OVERRIDES_ENV 변수를 사용하여 제공합니다. 이 변수의 내용은 API 보안 테스팅을 위한 아웃바운드 HTTP 요청에 추가할 헤더와 쿠키를 제공하는 JSON 스니펫입니다. APISEC_OVERRIDES_ENV 로 Bearer 토큰을 제공하려면 다음 단계를 수행합니다: CI/CD 변수를 생성 합니다. 예를 들어 TEST_API_BEARERAUTH 를 값 {"headers":{"Authorization":"Bearer dXNlcm5hbWU6cGFzc3dvcmQ="}} (토큰으로 대체)으로 생성합니다. GitLab 프로젝트 페이지의 설정 > CI/CD , 변수 섹션에서 CI/CD 변수를 생성할