API 퍼징 작업이 N시간 후에 타임아웃됨#

더 큰 리포지터리의 경우, API 퍼징 작업이 기본으로 설정된 Linux의 소형 호스팅 러너에서 타임아웃될 수 있습니다. 이 문제가 작업에서 발생한다면 더 큰 러너로 확장해야 합니다.

도움이 되는 다음 문서 섹션을 참조하세요:

• 성능 조정 및 테스트 속도
• 더 큰 러너 사용
• 경로별 작업 제외
• 느린 작업 제외

API 퍼징 작업 완료에 너무 긴 시간이 소요됨#

성능 조정 및 테스트 속도를 참조하세요.

오류: Error waiting for API fuzzing 'http://127.0.0.1:5000' to become available#

v1.6.196 이전 버전의 API 퍼징 분석기에 버그가 존재하여 특정 조건에서 백그라운드 프로세스가 실패할 수 있습니다. 해결 방법은 최신 버전의 API 퍼징 분석기로 업데이트하는 것입니다.

버전 정보는 apifuzzer_fuzz 작업의 작업 상세 정보에서 확인할 수 있습니다.

버전 v1.6.196 이상에서 이슈가 발생하는 경우, 지원팀에 다음 정보를 제공하며 문의하세요:

1. 이 문제 해결 섹션을 참조하여 이슈를 Dynamic Analysis 팀으로 에스컬레이션해 달라고 요청합니다.
2. 작업의 전체 콘솔 출력.
3. 작업 아티팩트로 제공되는 gl-api-security-scanner.log 파일. 작업 상세 페이지의 오른쪽 패널에서 Browse 버튼을 선택합니다.
4. .gitlab-ci.yml 파일의 apifuzzer_fuzz 작업 정의.

오류 메시지

• GitLab 15.6 이상에서, Error waiting for API Fuzzing 'http://127.0.0.1:5000' to become available
• GitLab 15.5 이하에서, Error waiting for API Security 'http://127.0.0.1:5000' to become available.

Failed to start session with scanner. Please retry, and if the problem persists reach out to support.#

API 퍼징 엔진은 스캐너 애플리케이션 컴포넌트와 연결을 수립할 수 없을 때 오류 메시지를 출력합니다. 이 오류 메시지는 apifuzzer_fuzz 작업의 작업 출력 창에 표시됩니다. 이 이슈의 일반적인 원인은 백그라운드 컴포넌트가 선택된 포트를 이미 사용 중이어서 사용할 수 없는 경우입니다. 타이밍이 관여하는 경우(경쟁 조건) 이 오류가 간헐적으로 발생할 수 있습니다. 이 이슈는 다른 서비스가 컨테이너에 매핑되어 포트 충돌을 유발하는 Kubernetes 환경에서 가장 자주 발생합니다.

해결 방법을 진행하기 전에, 포트가 이미 사용 중이어서 오류 메시지가 발생했는지 확인하는 것이 중요합니다. 이를 확인하려면:

1. 작업 콘솔로 이동합니다.
2. 아티팩트 gl-api-security-scanner.log를 찾습니다. Download를 선택하여 모든 아티팩트를 다운로드한 후 파일을 검색하거나, Browse를 선택하여 직접 검색을 시작할 수 있습니다.
3. 텍스트 편집기에서 gl-api-security-scanner.log 파일을 엽니다.
4. 포트가 이미 사용 중이어서 오류 메시지가 발생한 경우, 파일에서 다음과 같은 메시지를 확인해야 합니다:

• GitLab 15.5 이상:

  Failed to bind to address http://127.0.0.1:5500: address already in use.
  

• GitLab 15.4 이하:

  Failed to bind to address http://[::]:5000: address already in use.
  

이전 메시지의 http://[::]:5000 텍스트는 경우에 따라 다를 수 있습니다. 예를 들어 http://[::]:5500 또는 http://127.0.0.1:5500일 수 있습니다. 오류 메시지의 나머지 부분이 동일하다면 포트가 이미 사용 중이었다고 가정해도 됩니다.

포트가 이미 사용 중이었다는 증거를 찾지 못한 경우, 작업 콘솔 출력에 표시된 동일한 오류 메시지를 다루는 다른 문제 해결 섹션을 확인하세요. 더 이상 선택지가 없는 경우, 적절한 채널을 통해 지원을 받거나 개선을 요청하세요.

포트가 이미 사용 중이어서 이슈가 발생했음을 확인한 후에는, GitLab 15.5 이상에서 도입된 구성 변수 FUZZAPI_API_PORT를 사용할 수 있습니다. 이 구성 변수를 사용하면 스캐너 백그라운드 컴포넌트의 고정 포트 번호를 설정할 수 있습니다.

해결 방법

1. .gitlab-ci.yml 파일에 구성 변수 FUZZAPI_API_PORT가 정의되어 있는지 확인합니다.
2. FUZZAPI_API_PORT 값을 1024보다 큰 사용 가능한 포트 번호로 업데이트합니다. 새 값이 GitLab에서 사용 중이 아닌지 확인합니다. GitLab에서 사용하는 전체 포트 목록은 패키지 기본값을 참조하세요.

오류: Errors were found during validation of the document using the published OpenAPI schema#

API 퍼징 작업 시작 시 OpenAPI 사양이 공개된 스키마에 대해 유효성 검사됩니다. 제공된 OpenAPI 사양에 유효성 검사 오류가 있을 때 이 오류가 표시됩니다:

Error, the OpenAPI document is not valid.
Errors were found during validation of the document using the published OpenAPI schema

오류는 OpenAPI 사양을 수동으로 작성할 때와 스키마가 생성될 때 모두 발생할 수 있습니다.

자동으로 생성된 OpenAPI 사양의 경우, 유효성 검사 오류는 종종 코드 어노테이션이 누락된 결과입니다.

오류 메시지

• Error, the OpenAPI document is not valid. Errors were found during validation of the document using the published OpenAPI schema
  • OpenAPI 2.0 schema validation error ...
  • OpenAPI 3.0.x schema validation error ...

해결 방법

생성된 OpenAPI 사양의 경우

1. 유효성 검사 오류를 식별합니다.
   1. Swagger Editor를 사용하여 사양의 유효성 검사 문제를 식별합니다. Swagger Editor의 시각적인 특성으로 인해 변경이 필요한 부분을 더 쉽게 이해할 수 있습니다.
   2. 또는 로그 출력을 확인하고 스키마 유효성 검사 경고를 찾을 수 있습니다. OpenAPI 2.0 schema validation error 또는 OpenAPI 3.0.x schema validation error와 같은 메시지가 접두사로 붙어 있습니다. 실패한 각 유효성 검사는 location과 description에 대한 추가 정보를 제공합니다. JSON 스키마 유효성 검사 메시지는 복잡할 수 있으며, 편집기가 스키마 문서 유효성 검사에 도움이 될 수 있습니다.
2. 프레임워크/기술 스택에서 사용하는 OpenAPI 생성에 관한 문서를 검토합니다. 올바른 OpenAPI 문서를 생성하기 위해 필요한 변경 사항을 식별합니다.
3. 유효성 검사 이슈가 해결되면 파이프라인을 다시 실행합니다.

수동으로 작성된 OpenAPI 사양의 경우

1. 유효성 검사 오류를 식별합니다.
   1. 가장 간단한 해결 방법은 시각적 도구를 사용하여 OpenAPI 문서를 편집하고 유효성 검사하는 것입니다. 예를 들어 Swagger Editor는 스키마 오류와 가능한 해결 방법을 강조 표시합니다.
   2. 또는 로그 출력을 확인하고 스키마 유효성 검사 경고를 찾을 수 있습니다. OpenAPI 2.0 schema validation error 또는 OpenAPI 3.0.x schema validation error와 같은 메시지가 접두사로 붙어 있습니다. 실패한 각 유효성 검사는 location과 description에 대한 추가 정보를 제공합니다. 각 유효성 검사 실패를 수정한 다음 OpenAPI 문서를 다시 제출합니다. JSON 스키마 유효성 검사 메시지는 복잡할 수 있으며, 편집기가 스키마 문서 유효성 검사에 도움이 될 수 있습니다.
2. 유효성 검사 이슈가 해결되면 파이프라인을 다시 실행합니다.

Failed to start scanner session (version header not found)#

API 퍼징 엔진은 스캐너 애플리케이션 컴포넌트와 연결을 수립할 수 없을 때 오류 메시지를 출력합니다. 이 오류 메시지는 apifuzzer_fuzz 작업의 작업 출력 창에 표시됩니다. 이 이슈의 일반적인 원인은 FUZZAPI_API 변수를 기본값에서 변경하는 것입니다.

오류 메시지

• Failed to start scanner session (version header not found).

해결 방법

• .gitlab-ci.yml 파일에서 FUZZAPI_API 변수를 제거합니다. 이 값은 API 퍼징 CI/CD 템플릿에서 상속됩니다. 값을 수동으로 설정하는 것보다 이 방법을 권장합니다.
• 변수 제거가 불가능한 경우, API 퍼징 CI/CD 템플릿의 최신 버전에서 이 값이 변경되었는지 확인합니다. 변경된 경우 .gitlab-ci.yml 파일의 값을 업데이트합니다.

Application cannot determine the base URL for the target API#

API 퍼징 분석기는 OpenAPI 문서를 검사한 후 대상 API를 결정할 수 없을 때 오류 메시지를 출력합니다. 이 오류 메시지는 대상 API가 .gitlab-ci.yml 파일에 설정되지 않았고, environment_url.txt 파일에도 없으며, OpenAPI 문서를 사용하여 계산할 수도 없는 경우에 표시됩니다.

API 퍼징 분석기가 다양한 소스를 확인할 때 대상 API를 가져오려는 우선 순위가 있습니다. 먼저 FUZZAPI_TARGET_URL을 사용하려고 시도합니다. 환경 변수가 설정되지 않은 경우, API 퍼징 분석기는 environment_url.txt 파일을 사용하려고 시도합니다. environment_url.txt 파일이 없는 경우, API 퍼징 분석기는 이제 OpenAPI 문서 내용과 FUZZAPI_OPENAPI에 제공된 URL(URL이 제공된 경우)을 사용하여 대상 API를 계산하려고 시도합니다.

가장 적합한 해결 방법은 배포마다 대상 API가 변경되는지 여부에 따라 다릅니다:

• 각 배포에서 대상 API가 동일한 경우(정적 환경), 정적 환경 솔루션을 사용합니다.
• 각 배포마다 대상 API가 변경되는 경우, 동적 환경 솔루션을 사용합니다.

정적 환경 솔루션#

이 솔루션은 대상 API URL이 변경되지 않는(정적인) 파이프라인을 위한 것입니다.

환경 변수 추가

대상 API가 동일하게 유지되는 환경의 경우, FUZZAPI_TARGET_URL 환경 변수를 사용하여 대상 URL을 지정하는 것을 권장합니다. .gitlab-ci.yml 파일에 FUZZAPI_TARGET_URL 변수를 추가합니다. 이 변수는 API 테스트 대상의 기본 URL로 설정해야 합니다. 예를 들어:

stages:
  - fuzz

include:
  - template: API-Fuzzing.gitlab-ci.yml

variables:
  FUZZAPI_TARGET_URL: http://test-deployment/
  FUZZAPI_OPENAPI: test-api-specification.json

동적 환경 솔루션#

동적 환경에서는 각 배포마다 대상 API가 변경됩니다. 이 경우 여러 가지 가능한 솔루션이 있으며, 동적 환경을 다룰 때는 environment_url.txt 파일을 사용하는 것을 권장합니다.

environment_url.txt 사용

각 파이프라인마다 대상 API URL이 변경되는 동적 환경을 지원하기 위해, API 퍼징은 사용할 URL이 포함된 environment_url.txt 파일의 사용을 지원합니다. 이 파일은 리포지터리에 체크인되지 않고, 대신 테스트 대상을 배포하는 작업에 의해 파이프라인 중에 생성되며 파이프라인의 나중 작업에서 사용할 수 있는 아티팩트로 수집됩니다. environment_url.txt 파일을 생성하는 작업은 API 퍼징 작업보다 먼저 실행되어야 합니다.

1. 테스트 대상 배포 작업을 수정하여 프로젝트 루트의 environment_url.txt 파일에 기본 URL을 추가합니다.
2. 테스트 대상 배포 작업을 수정하여 environment_url.txt를 아티팩트로 수집합니다.

예시:

deploy-test-target:
  script:
    # Perform deployment steps
    # Create environment_url.txt (example)
    - echo http://${CI_PROJECT_ID}-${CI_ENVIRONMENT_SLUG}.example.org > environment_url.txt

  artifacts:
    paths:
      - environment_url.txt

유효하지 않은 스키마로 OpenAPI 사용#

문서가 유효하지 않은 스키마로 자동 생성되거나 적시에 수동으로 편집할 수 없는 경우가 있습니다. 이러한 시나리오에서, API 퍼징은 FUZZAPI_OPENAPI_RELAXED_VALIDATION 변수를 설정하여 완화된 유효성 검사를 수행할 수 있습니다. 예상치 못한 동작을 방지하기 위해 완전히 준수하는 OpenAPI 문서를 제공하는 것을 권장합니다.

비준수 OpenAPI 파일 편집#

OpenAPI 사양을 준수하지 않는 요소를 감지하고 수정하기 위해, 편집기를 사용하는 것을 권장합니다. 편집기는 일반적으로 문서 유효성 검사와 스키마 준수 OpenAPI 문서를 작성하기 위한 제안을 제공합니다. 권장 편집기는 다음과 같습니다:

OpenAPI 문서가 수동으로 생성된 경우, 편집기에 문서를 불러와 비준수 사항을 수정합니다. 문서가 자동으로 생성된 경우, 편집기에 불러와 스키마의 이슈를 식별한 다음 애플리케이션으로 이동하여 사용 중인 프레임워크를 기반으로 수정을 수행합니다.

OpenAPI 완화된 유효성 검사 활성화#

완화된 유효성 검사는 OpenAPI 문서가 OpenAPI 사양을 충족할 수 없지만 다른 도구에서 사용하기에 충분한 내용을 갖고 있는 경우를 위한 것입니다. 유효성 검사가 수행되지만 문서 스키마에 대해 덜 엄격하게 적용됩니다.

API 퍼징은 여전히 OpenAPI 사양을 완전히 준수하지 않는 OpenAPI 문서를 사용하려고 시도할 수 있습니다. API 퍼징 분석기에 완화된 유효성 검사를 수행하도록 지시하려면, 변수 FUZZAPI_OPENAPI_RELAXED_VALIDATION을 임의의 값으로 설정합니다. 예를 들어:

stages:
  - fuzz

include:
  - template: API-Fuzzing.gitlab-ci.yml

variables:
  FUZZAPI_PROFILE: Quick-10
  FUZZAPI_TARGET_URL: http://test-deployment/
  FUZZAPI_OPENAPI: test-api-specification.json
  FUZZAPI_OPENAPI_RELAXED_VALIDATION: 'On'

No operation in the OpenAPI document is consuming any supported media type#

API 퍼징은 OpenAPI 문서에 지정된 미디어 타입을 사용하여 요청을 생성합니다. 지원되는 미디어 타입이 없어 요청을 생성할 수 없는 경우 오류가 발생합니다.

오류 메시지

• Error, no operation in the OpenApi document is consuming any supported media type. Check 'OpenAPI Specification' to check the supported media types.

해결 방법

1. OpenAPI 사양 섹션에서 지원되는 미디어 타입을 검토합니다.
2. OpenAPI 문서를 편집하여 적어도 특정 작업이 지원되는 미디어 타입 중 하나를 허용하도록 합니다. 또는 지원되는 미디어 타입을 OpenAPI 문서 수준에서 설정하여 모든 작업에 적용할 수 있습니다. 이 단계에서는 애플리케이션이 지원되는 미디어 타입을 허용하도록 애플리케이션을 변경해야 할 수 있습니다.

오류: The SSL connection could not be established, see inner exception.#

API 퍼징은 오래된 프로토콜 및 암호를 포함한 광범위한 TLS 구성과 호환됩니다. 광범위한 지원에도 불구하고, 다음과 같은 연결 오류가 발생할 수 있습니다:

Error, error occurred trying to download ``:
There was an error when retrieving content from Uri:' '.
Error:The SSL connection could not be established, see inner exception.

이 오류는 API 퍼징이 지정된 URL의 서버와 보안 연결을 수립할 수 없어서 발생합니다.

이슈를 해결하려면:

오류 메시지의 호스트가 비 TLS 연결을 지원하는 경우, 구성에서 https://를 http://로 변경합니다. 예를 들어, 다음 구성에서 오류가 발생하는 경우:

stages:
  - fuzz

include:
  - template: API-Fuzzing.gitlab-ci.yml

variables:
  FUZZAPI_TARGET_URL: https://test-deployment/
  FUZZAPI_OPENAPI: https://specs/openapi.json

FUZZAPI_OPENAPI의 접두사를 https://에서 http://로 변경합니다:

stages:
  - fuzz

include:
  - template: API-Fuzzing.gitlab-ci.yml

variables:
  FUZZAPI_TARGET_URL: https://test-deployment/
  FUZZAPI_OPENAPI: http://specs/openapi.json

비 TLS 연결로 URL에 접근할 수 없는 경우, 지원팀에 문의하세요.

testssl.sh 도구를 사용하여 조사를 가속화할 수 있습니다. bash 셸과 영향을 받는 서버에 대한 연결이 있는 머신에서:

1. https://github.com/drwetter/testssl.sh/releases에서 최신 릴리스 zip 또는 tar.gz 파일을 다운로드하고 압축을 풉니다.
2. ./testssl.sh --log https://specs를 실행합니다.
3. 지원 티켓에 로그 파일을 첨부합니다.

ERROR: Job failed: failed to pull image#

이 오류 메시지는 액세스를 위해 인증이 필요한(공개되지 않은) 컨테이너 레지스트리에서 이미지를 가져올 때 발생합니다.

작업 콘솔 출력에서 오류는 다음과 같이 표시됩니다:

Running with gitlab-runner 15.6.0~beta.186.ga889181a (a889181a)
  on blue-2.shared.runners-manager.gitlab.com/default XxUrkriX
Resolving secrets
00:00
Preparing the "docker+machine" executor
00:06
Using Docker executor with image registry.gitlab.com/security-products/api-security:2 ...
Starting service registry.example.com/my-target-app:latest ...
Pulling docker image registry.example.com/my-target-app:latest ...
WARNING: Failed to pull image with policy "always": Error response from daemon: Get https://registry.example.com/my-target-app/manifests/latest: unauthorized (manager.go:237:0s)
ERROR: Job failed: failed to pull image "registry.example.com/my-target-app:latest" with specified policies [always]: Error response from daemon: Get https://registry.example.com/my-target-app/manifests/latest: unauthorized (manager.go:237:0s)

오류 메시지

• GitLab 15.9 이하에서, ERROR: Job failed: failed to pull image 다음에 Error response from daemon: Get IMAGE: unauthorized.

해결 방법

인증 자격 증명은 개인 컨테이너 레지스트리에서 이미지 접근 문서 섹션에 설명된 방법을 사용하여 제공됩니다. 사용되는 방법은 컨테이너 레지스트리 제공업체와 해당 구성에 따라 결정됩니다. 클라우드 제공업체(Azure, Google Cloud(GCP), AWS 등)와 같은 서드파티에서 제공하는 컨테이너 레지스트리를 사용하는 경우, 해당 컨테이너 레지스트리에 인증하는 방법에 대한 정보를 제공업체 문서에서 확인하세요.

다음 예시는 정적으로 정의된 자격 증명 인증 방법을 사용합니다. 이 예시에서 컨테이너 레지스트리는 registry.example.com이고 이미지는 my-target-app:latest입니다.

1. DOCKER_AUTH_CONFIG 변수 값을 계산하는 방법을 이해하기 위해 DOCKER_AUTH_CONFIG 데이터 결정을 읽습니다. 구성 변수 DOCKER_AUTH_CONFIG에는 적절한 인증 정보를 제공하기 위한 Docker JSON 구성이 포함됩니다. 예를 들어, 자격 증명 abcdefghijklmn으로 개인 컨테이너 레지스트리 registry.example.com에 접근하려면, Docker JSON은 다음과 같습니다:

   {
       "auths": {
           "registry.example.com": {
               "auth": "abcdefghijklmn"
           }
       }
   }
   

2. DOCKER_AUTH_CONFIG를 CI/CD 변수로 추가합니다. .gitlab-ci.yml 파일에 구성 변수를 직접 추가하는 대신 프로젝트 CI/CD 변수를 생성해야 합니다.

3. 작업을 다시 실행하면, 정적으로 정의된 자격 증명이 이제 개인 컨테이너 레지스트리 registry.example.com에 로그인하는 데 사용되고, 이미지 my-target-app:latest를 가져올 수 있습니다. 성공하면 작업 콘솔에 다음과 같은 출력이 표시됩니다:

   Running with gitlab-runner 15.6.0~beta.186.ga889181a (a889181a)
     on blue-4.shared.runners-manager.gitlab.com/default J2nyww-s
   Resolving secrets
   00:00
   Preparing the "docker+machine" executor
   00:56
   Using Docker executor with image registry.gitlab.com/security-products/api-security:2 ...
   Starting service registry.example.com/my-target-app:latest ...
   Authenticating with credentials from $DOCKER_AUTH_CONFIG
   Pulling docker image registry.example.com/my-target-app:latest ...
   Using docker image sha256:139c39668e5e4417f7d0eb0eeb74145ba862f4f3c24f7c6594ecb2f82dc4ad06 for registry.example.com/my-target-app:latest with digest registry.example.com/my-target-
   app@sha256:2b69fc7c3627dbd0ebaa17674c264fcd2f2ba21ed9552a472acf8b065d39039c ...
   Waiting for services to be up and running (timeout 30 seconds)...
   

오류: sudo: The "no new privileges" flag is set, which prevents sudo from running as root.#

분석기 v5부터 기본적으로 루트가 아닌 사용자가 사용됩니다. 이로 인해 권한 있는 작업을 수행할 때 sudo를 사용해야 합니다.

이 오류는 컨테이너가 새 권한을 획득하는 것을 방지하는 특정 컨테이너 데몬 설정에서 발생합니다. 대부분의 설정에서 이것은 기본 구성이 아니며, 종종 보안 강화 가이드의 일부로 특별히 구성됩니다.

오류 메시지

이 이슈는 before_script 또는 FUZZAPI_PRE_SCRIPT가 실행될 때 생성되는 오류 메시지로 식별할 수 있습니다:

$ sudo apk add nodejs

sudo: The "no new privileges" flag is set, which prevents sudo from running as root.

sudo: If sudo is running in a container, you may need to adjust the container configuration to disable the flag.

해결 방법

이 이슈는 다음과 같은 방법으로 해결할 수 있습니다:

• root 사용자로 컨테이너를 실행합니다. 이 구성을 테스트하는 것이 권장됩니다. 모든 경우에 작동하지 않을 수 있습니다. CICD 구성을 수정하고 작업 출력을 확인하여 whoami가 gitlab이 아닌 root를 반환하는지 확인합니다. gitlab이 표시되면 다른 해결 방법을 사용합니다. 테스트 후 before_script를 제거할 수 있습니다.

  apifuzzer_fuzz:
    image:
      name: $SECURE_ANALYZERS_PREFIX/$FUZZAPI_IMAGE:$FUZZAPI_VERSION$FUZZAPI_IMAGE_SUFFIX
      docker:
        user: root
   before_script:
     - whoami
  

  작업 콘솔 출력 예시:

  Executing "step_script" stage of the job script
  Using docker image sha256:8b95f188b37d6b342dc740f68557771bb214fe520a5dc78a88c7a9cc6a0f9901 for registry.gitlab.com/security-products/api-security:5 with digest registry.gitlab.com/security-products/api-security@sha256:092909baa2b41db8a7e3584f91b982174772abdfe8ceafc97cf567c3de3179d1 ...
  $ whoami
  root
  $ /peach/analyzer-api-fuzzing
  17:17:14 [INF] API Security: Gitlab API Security
  17:17:14 [INF] API Security: -------------------
  17:17:14 [INF] API Security:
  17:17:14 [INF] API Security: version: 5.7.0
  

• 컨테이너를 래핑하고 빌드 시간에 종속성을 추가합니다. 이 옵션은 일부 고객에게 요구 사항이 될 수 있는 루트보다 낮은 권한으로 실행할 수 있는 장점이 있습니다.

  1. 기존 이미지를 래핑하는 새 Dockerfile을 만듭니다.

     ARG SECURE_ANALYZERS_PREFIX
     ARG FUZZAPI_IMAGE
     ARG FUZZAPI_VERSION
     ARG FUZZAPI_IMAGE_SUFFIX
     FROM $SECURE_ANALYZERS_PREFIX/$FUZZAPI_IMAGE:$FUZZAPI_VERSION$FUZZAPI_IMAGE_SUFFIX
     USER root
     
     RUN pip install ...
     RUN apk add ...
     
     USER gitlab
     

  2. API 퍼징 작업이 시작되기 전에 새 이미지를 빌드하고 로컬 컨테이너 레지스트리에 푸시합니다. 이미지는 작업이 완료된 후 제거해야 합니다.

     TARGET_NAME=apifuzz-$CI_COMMIT_SHA
     docker build -t $TARGET_IMAGE \
       --build-arg "SECURE_ANALYZERS_PREFIX=$SECURE_ANALYZERS_PREFIX" \
       --build-arg "FUZZAPI_IMAGE=$APISEC_IMAGE" \
       --build-arg "FUZZAPI_VERSION=$APISEC_VERSION" \
       --build-arg "FUZZAPI_IMAGE_SUFFIX=$APISEC_IMAGE_SUFFIX" \
       .
     docker login -u gitlab-ci-token -p $CI_JOB_TOKEN $CI_REGISTRY
     docker push $TARGET_IMAGE
     

  3. apifuzzer_fuzz 작업을 확장하고 새 이미지 이름을 사용합니다.

     apifuzzer_fuzz:
       image: apifuzz-$CI_COMMIT_SHA
     

  4. 레지스트리에서 임시 컨테이너를 제거합니다. 컨테이너 이미지 제거에 대한 정보는 이 문서 페이지를 참조하세요.

• GitLab 러너 구성을 변경하여 no-new-privileges 플래그를 비활성화합니다. 이는 보안에 영향을 미칠 수 있으므로 운영 및 보안 팀과 논의해야 합니다.

Index was outside the bounds of the array at Peach.Web.Runner.Services.RunnerOptions.GetHeaders()#

이 오류 메시지는 API 퍼징 분석기가 FUZZAPI_REQUEST_HEADERS 또는 FUZZAPI_REQUEST_HEADERS_BASE64 구성 변수의 값을 파싱할 수 없음을 나타냅니다.

오류 메시지

이 이슈는 두 가지 오류 메시지로 식별할 수 있습니다. 첫 번째 오류 메시지는 작업 콘솔 출력에서 볼 수 있고, 두 번째는 gl-api-security-scanner.log 파일에서 볼 수 있습니다.

작업 콘솔의 오류 메시지:

05:48:38 [ERR] API Security: Testing failed: An unexpected exception occurred: Index was outside the bounds of the array.

gl_api_security-scanner.log의 오류 메시지:

08:45:43.616 [ERR]  Unexpected exception in WebRunnerMachine::Run()
System.IndexOutOfRangeException: Index was outside the bounds of the array.
   at Peach.Web.Runner.Services.RunnerOptions.GetHeaders() in /builds/gitlab-org/security-products/analyzers/api-fuzzing-src/web/PeachWeb/Runner/Services/[RunnerOptions.cs:line 362
   at Peach.Web.Runner.Services.RunnerService.Start(Job job, IRunnerOptions options) in /builds/gitlab-org/security-products/analyzers/api-fuzzing-src/web/PeachWeb/Runner/Services/RunnerService.cs:line 67
   at Peach.Web.Core.Services.WebRunnerMachine.Run(IRunnerOptions runnerOptions, CancellationToken token) in /builds/gitlab-org/security-products/analyzers/api-fuzzing-src/web/PeachWeb/Core/Services/WebRunnerMachine.cs:line 321
08:45:43.634 [WRN]  * Session failed: An unexpected exception occurred: Index was outside the bounds of the array.
08:45:43.677 [INF]  Finished testing. Performed a total of 0 requests.

해결 방법

이 이슈는 잘못된 형식의 FUZZAPI_REQUEST_HEADERS 또는 FUZZAPI_REQUEST_HEADERS_BASE64 변수로 인해 발생합니다. 예상 형식은 쉼표로 구분된 Header: value 구조의 하나 이상의 헤더입니다. 해결 방법은 예상되는 형식에 맞게 구문을 수정하는 것입니다.

유효한 예시:

• Authorization: Bearer XYZ
• X-Custom: Value,Authorization: Bearer XYZ

유효하지 않은 예시:

• Header:,value
• HeaderA: value,HeaderB:,HeaderC: value
• Header