분석기 설정 커스터마이즈

분석기 설정 커스터마이즈에 대해 설명합니다.

범위 관리 # 범위는 대상 애플리케이션을 크롤링할 때 DAST가 따르는 URL을 제어합니다. 범위를 적절히 관리하면 취약점 확인이 필요한 대상 애플리케이션만 검사하면서 스캔 실행 시간을 최소화할 수 있습니다. 범위 유형 # 세 가지 범위 유형이 있습니다: 범위 내 범위 외 범위에서 제외 범위 내 # DAST는 범위 내 URL을 따라가며 DOM에서 크롤링을 계속하기 위해 수행할 후속 작업을 검색합니다. 기록된 범위 내 HTTP 메시지는 취약점이 있는지 패시브 검사되고 전체 스캔 실행 시 공격을 구성하는 데 사용됩니다. 범위 외 # DAST는 이미지, 스타일시트, 폰트, 스크립트, AJAX 요청과 같은 문서가 아닌 콘텐츠 유형에 대해 범위 외 URL을 따릅니다. 인증 을 제외하고, DAST는 외부 웹사이트로의 링크를 클릭하는 경우와 같은 전체 페이지 로드에 대해서는 범위 외 URL을 따르지 않습니다. 정보 유출을 검색하는 패시브 검사를 제외하고, 범위 외 URL에 대해 기록된 HTTP 메시지는 취약점 검사를 하지 않습니다. 범위에서 제외 # DAST는 범위에서 제외된 URL을 따르지 않습니다. 정보 유출을 검색하는 패시브 검사를 제외하고, 범위에서 제외된 URL에 대해 기록된 HTTP 메시지는 취약점 검사를 하지 않습니다. 인증 중에 범위가 다르게 작동하는 방식 # 많은 대상 애플리케이션은 싱글 사인온(SSO)을 위한 ID 액세스 관리 공급자를 사용할 때와 같이 외부 웹사이트에 의존하는 인증 프로세스를 갖고 있습니다. DAST가 이러한 공급자로 인증할 수 있도록 하기 위해, DAST는 인증 중 전체 페이지 로드에 대해 범위 외 URL을 따릅니다. DAST는 범위에서 제외된 URL은 따르지 않습니다. DAST가 HTTP 요청을 차단하는 방법 # DAST는 범위 규칙으로 인해 요청을 차단할 때 브라우저에 평소와 같이 HTTP 요청을 하도록 지시합니다. 이후 요청은 인터셉트되어 BlockedByClient 이유로 거부됩니다. 이 접근 방식을 통해 DAST는 HTTP 요청이 대상 서버에 도달하지 않도록 하면서 HTTP 요청을 기록할 수 있습니다. 200.1 과 같은 패시브 검사는 이러한 기록된 요청을 사용하여 외부 호스트로 전송된 정보를 검증합니다. 범위 구성 방법 # 기본적으로 대상 애플리케이션의 호스트와 일치하는 URL은 범위 내로 간주됩니다. 다른 모든 호스트는 범위 외로 간주됩니다. 범위는 다음 변수를 사용하여 구성됩니다: DAST_SCOPE_ALLOW_HOSTS 를 사용하여 범위 내 호스트를 추가합니다. DAST_SCOPE_IGNORE_HOSTS 를 사용하여 범위 외 호스트에 추가합니다. DAST_SCOPE_EXCLUDE_HOSTS 를 사용하여 범위에서 제외된 호스트에 추가합니다. DAST_SCOPE_EXCLUDE_URLS 를 사용하여 특정 URL을 범위에서 제외로 설정합니다. 규칙: 호스트 제외가 호스트 무시보다 우선순위가 높으며, 호스트 무시는 호스트 허용보다 우선순위가 높습니다. 호스트에 대한 범위 구성은 해당 호스트의 서브도메인에