인증

인증에 대해 설명합니다.

완전한 커버리지를 위해 DAST 분석기는 테스트 중인 애플리케이션에 인증해야 합니다. 이를 위해서는 DAST CI/CD 작업에서 인증 자격 증명과 인증 방법을 구성해야 합니다. DAST는 다음을 위해 인증이 필요합니다: 실제 공격을 시뮬레이션하고 공격자가 악용할 수 있는 취약점을 식별합니다. 인증 후에만 표시될 수 있는 사용자별 기능 및 사용자 지정 동작을 테스트합니다. DAST 작업은 가장 일반적으로 브라우저에서 로그인 양식을 채우고 제출하여 애플리케이션에 스스로 인증합니다. 양식이 제출된 후 DAST 작업은 인증이 성공했는지 확인합니다. 인증에 성공하면 DAST 작업은 계속 진행하고 대상 애플리케이션을 크롤링할 때 재사용을 위해 자격 증명을 저장합니다. 실패하면 DAST 작업이 중지됩니다. DAST가 지원하는 인증 방법은 다음과 같습니다: 단일 단계 로그인 양식 다단계 로그인 양식 구성된 대상 URL 외부의 URL에 인증 인증 자격 증명을 선택할 때: 프로덕션 시스템, 프로덕션 서버에 유효하거나 프로덕션 데이터에 접근하는 데 사용되는 자격 증명은 사용하지 마세요 . 프로덕션 서버에 대해 인증된 스캔을 실행하지 마세요 . 인증된 스캔은 인증된 사용자가 수행할 수 있는 모든 기능을 수행할 수 있으며, 여기에는 데이터 수정 또는 삭제, 양식 제출, 링크 따라가기가 포함됩니다. 비프로덕션 시스템 또는 서버에 대해서만 인증된 스캔을 실행하세요. DAST가 전체 애플리케이션을 테스트할 수 있는 자격 증명을 제공합니다. 향후 참조를 위해 자격 증명의 만료 날짜를 메모합니다(있는 경우). 예를 들어 1Password와 같은 비밀번호 관리자를 사용합니다. 다음 다이어그램은 인증의 다양한 단계에서 인증 변수의 사용을 보여줍니다: Mermaid 다이어그램 (34줄) 소스 코드 보기 %%{init: { "fontFamily": "GitLab Sans" }}%% sequenceDiagram accTitle: Authentication variables accDescr: A sequence diagram showing authentication variables at different stages of authentication. participant DAST participant Browser participant Target Note over DAST,Target: Initialization DAST->>Browser: Initialize browser with proxy DAST->>Browser: Navigate to DAST_AUTH_URL Browser->>Target: Load initial page Target-->>Browser: Return page content (may not contain login form) Note over DAST,Target: Process before-login actions DAST-&g