분석기 활성화

OpenAPI Specification, HAR, GraphQL Schema, Postman Collection을 사용하여 API 보안 테스팅 스캐너를 구성하고 활성화하는 방법을 설명합니다.

다음 방법 중 하나를 사용하여 스캔할 API를 지정할 수 있습니다: OpenAPI v2 또는 v3 Specification GraphQL Schema HTTP Archive (HAR) Postman Collection v2.0 또는 v2.1 OpenAPI Specification # OpenAPI Specification (이전 명칭: Swagger Specification)은 REST API를 위한 API 설명 형식입니다. 이 섹션에서는 OpenAPI Specification을 사용하여 테스트 대상 API에 대한 정보를 제공하고 API 보안 테스팅 스캔을 구성하는 방법을 안내합니다. OpenAPI Specification은 파일 시스템 리소스 또는 URL로 제공됩니다. JSON 및 YAML OpenAPI 형식 모두 지원됩니다. API 보안 테스팅은 OpenAPI 문서를 사용하여 요청 본문을 생성합니다. 요청 본문이 필요한 경우, 본문 생성은 다음 본문 유형으로 제한됩니다: application/x-www-form-urlencoded multipart/form-data application/json application/xml OpenAPI와 미디어 타입 # 미디어 타입(이전 명칭: MIME 타입)은 전송되는 파일 형식과 형식 콘텐츠에 대한 식별자입니다. OpenAPI 문서를 사용하면 특정 작업이 서로 다른 미디어 타입을 수락할 수 있음을 지정할 수 있으며, 따라서 특정 요청은 서로 다른 파일 콘텐츠를 사용하여 데이터를 전송할 수 있습니다. 예를 들어, 사용자 데이터를 업데이트하는 PUT /user 작업은 XML(미디어 타입 application/xml ) 또는 JSON(미디어 타입 application/json ) 형식으로 데이터를 수락할 수 있습니다. OpenAPI 2.x는 전역 또는 작업별로 허용된 미디어 타입을 지정할 수 있으며, OpenAPI 3.x는 작업별로 허용된 미디어 타입을 지정할 수 있습니다. API 보안 테스팅은 나열된 미디어 타입을 확인하고, 지원되는 각 미디어 타입에 대해 샘플 데이터를 생성하려고 시도합니다. 기본 동작은 사용할 지원 미디어 타입 중 하나를 선택하는 것입니다. 목록에서 첫 번째 지원 미디어 타입을 선택합니다. 이 동작은 구성 가능합니다. 동일한 작업(예: POST /user )을 서로 다른 미디어 타입(예: application/json 및 application/xml )으로 테스트하는 것이 항상 바람직한 것은 아닙니다. 예를 들어, 대상 애플리케이션이 요청 콘텐츠 유형에 관계없이 동일한 코드를 실행하는 경우, 테스트 세션이 완료되는 데 더 오래 걸리며 대상 앱에 따라 요청 본문과 관련된 취약점이 중복 보고될 수 있습니다. 환경 변수 APISEC_OPENAPI_ALL_MEDIA_TYPES 를 사용하면 특정 작업에 대한 요청을 생성할 때 하나 대신 지원되는 모든 미디어 타입을 사용할지 여부를 지정할 수 있습니다. 환경 변수 APISEC_OPENAPI_ALL_MEDIA_TYPES 가 임의의 값으로 설정