DAST 브라우저 기반 크롤러 취약성 체크
Tier: Ultimate
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
요약
DAST 브라우저 기반 크롤러는 테스트 대상 사이트의 취약성을 스캔하는 데 사용되는 취약성 체크를 제공합니다.
DAST 브라우저 기반 크롤러는 테스트 대상 사이트의 취약성을 스캔하는 데 사용되는 취약성 체크를 제공합니다.
패시브 체크#
| ID | 체크 | 심각도 | 유형 |
|---|---|---|---|
| 1004.1 | HttpOnly 속성 없는 민감한 쿠키 | Low | Passive |
| 16.1 | Content-Type 헤더 누락 | Low | Passive |
| 16.10 | Content-Security-Policy 위반 | Info | Passive |
| 16.2 | Server 헤더가 버전 정보 노출 | Low | Passive |
| 16.3 | X-Powered-By 헤더가 버전 정보 노출 | Low | Passive |
| 16.4 | X-Backend-Server 헤더가 서버 정보 노출 | Info | Passive |
| 16.5 | AspNet 헤더가 버전 정보 노출 | Low | Passive |
| 16.6 | AspNetMvc 헤더가 버전 정보 노출 | Low | Passive |
| 16.7 | Strict-Transport-Security 헤더 누락 또는 잘못됨 | Low | Passive |
| 16.8 | Content-Security-Policy 분석 | Info | Passive |
| 16.9 | Content-Security-Policy-Report-Only 분석 | Info | Passive |
| 200.1 | 권한 없는 행위자에게 민감한 정보 노출 (사설 IP 주소) | Low | Passive |
| 209.1 | 민감한 정보가 포함된 오류 메시지 생성 | Low | Passive |
| 209.2 | 민감한 정보가 포함된 데이터베이스 오류 메시지 생성 | Low | Passive |
| 287.1 | HTTP를 통한 안전하지 않은 인증 (기본 인증) | Medium | Passive |
| 287.2 | HTTP를 통한 안전하지 않은 인증 (다이제스트 인증) | Low | Passive |
| 319.1 | 혼합 콘텐츠 | Info | Passive |
| 352.1 | 안티-CSRF 토큰 없음 | Medium | Passive |
| 359.1 | 권한 없는 행위자에게 개인 식별 정보(PII) 노출 (신용 카드) | Medium | Passive |
| 359.2 | 권한 없는 행위자에게 개인 식별 정보(PII) 노출 (미국 사회보장번호) | Medium | Passive |
| 548.1 | 디렉토리 목록을 통한 정보 노출 | Low | Passive |
| 598.1 | 민감한 쿼리 문자열과 함께 GET 요청 방법 사용 (세션 ID) | Medium | Passive |
| 598.2 | 민감한 쿼리 문자열과 함께 GET 요청 방법 사용 (비밀번호) | Medium | Passive |
| 598.3 | 민감한 쿼리 문자열과 함께 GET 요청 방법 사용 (인증 헤더 세부 정보) | Medium | Passive |
| 601.1 | 신뢰할 수 없는 사이트로 URL 리디렉션 ('오픈 리다이렉트') | Low | Passive |
| 614.1 | Secure 속성 없는 민감한 쿠키 | Low | Passive |
| 693.1 | X-Content-Type-Options: nosniff 누락 | Low | Passive |
| 798.2 | 기밀 시크릿 또는 토큰 노출 Adobe 클라이언트 ID (OAuth Web) | High | Passive |
| 798.3 | 기밀 시크릿 또는 토큰 노출 Adobe 클라이언트 시크릿 | High | Passive |
| 798.4 | 기밀 시크릿 또는 토큰 노출 Age 시크릿 키 | High | Passive |
| 798.7 | 기밀 시크릿 또는 토큰 노출 Alibaba AccessKey ID | High | Passive |
| 798.8 | 기밀 시크릿 또는 토큰 노출 Alibaba 시크릿 키 | High | Passive |
| 798.9 | 기밀 시크릿 또는 토큰 노출 Asana 클라이언트 ID | High | Passive |
| 798.10 | 기밀 시크릿 또는 토큰 노출 Asana 클라이언트 시크릿 | High | Passive |
| 798.11 | 기밀 시크릿 또는 토큰 노출 Atlassian API 토큰 | High | Passive |
| 798.12 | 기밀 시크릿 또는 토큰 노출 AWS 액세스 토큰 | High | Passive |
| 798.13 | 기밀 시크릿 또는 토큰 노출 Bitbucket 클라이언트 ID | High | Passive |
| 798.14 | 기밀 시크릿 또는 토큰 노출 Bitbucket 클라이언트 시크릿 | High | Passive |
| 798.17 | 기밀 시크릿 또는 토큰 노출 Beamer API 토큰 | High | Passive |
| 798.20 | 기밀 시크릿 또는 토큰 노출 Clojars 배포 토큰 | High | Passive |
| 798.23 | 기밀 시크릿 또는 토큰 노출 Contentful delivery API 토큰 | High | Passive |
| 798.24 | 기밀 시크릿 또는 토큰 노출 Databricks API 토큰 | High | Passive |
| 798.26 | 기밀 시크릿 또는 토큰 노출 Discord API 키 | High | Passive |
| 798.27 | 기밀 시크릿 또는 토큰 노출 Discord 클라이언트 ID | High | Passive |
| 798.28 | 기밀 시크릿 또는 토큰 노출 Discord 클라이언트 시크릿 | High | Passive |
| 798.29 | 기밀 시크릿 또는 토큰 노출 Doppler API 토큰 | High | Passive |
| 798.30 | 기밀 시크릿 또는 토큰 노출 Dropbox API 시크릿/키 | High | Passive |
| 798.31 | 기밀 시크릿 또는 토큰 노출 Dropbox 장기 API 토큰 | High | Passive |
| 798.32 | 기밀 시크릿 또는 토큰 노출 Dropbox 단기 API 토큰 | High | Passive |
| 798.34 | 기밀 시크릿 또는 토큰 노출 Duffel API 토큰 | High | Passive |
| 798.35 | 기밀 시크릿 또는 토큰 노출 Dynatrace API 토큰 | High | Passive |
| 798.36 | 기밀 시크릿 또는 토큰 노출 EasyPost 프로덕션 API 키 | High | Passive |
| 798.37 | 기밀 시크릿 또는 토큰 노출 EasyPost 테스트 API 키 | High | Passive |
| 798.39 | 기밀 시크릿 또는 토큰 노출 Facebook 토큰 | High | Passive |
| 798.40 | 기밀 시크릿 또는 토큰 노출 Fastly API 사용자 또는 자동화 토큰 | High | Passive |
| 798.41 | 기밀 시크릿 또는 토큰 노출 Finicity 클라이언트 시크릿 | High | Passive |
| 798.42 | 기밀 시크릿 또는 토큰 노출 Finicity API 토큰 | High | Passive |
| 798.46 | 기밀 시크릿 또는 토큰 노출 Flutterwave 테스트 시크릿 키 | High | Passive |
| 798.47 | 기밀 시크릿 또는 토큰 노출 Flutterwave 테스트 암호화 키 | High | Passive |
| 798.48 | 기밀 시크릿 또는 토큰 노출 Frame.io API 토큰 | High | Passive |
| 798.50 | 기밀 시크릿 또는 토큰 노출 GoCardless API 토큰 | High | Passive |
| 798.52 | 기밀 시크릿 또는 토큰 노출 GitHub 개인 액세스 토큰 (클래식) | High | Passive |
| 798.53 | 기밀 시크릿 또는 토큰 노출 GitHub OAuth 액세스 토큰 | High | Passive |
| 798.54 | 기밀 시크릿 또는 토큰 노출 GitHub 앱 토큰 | High | Passive |
| 798.55 | 기밀 시크릿 또는 토큰 노출 GitHub 새로 고침 토큰 | High | Passive |
| 798.56 | 기밀 시크릿 또는 토큰 노출 GitLab 개인 액세스 토큰 | High | Passive |
| 798.58 | 기밀 시크릿 또는 토큰 노출 HashiCorp Terraform API 토큰 | High | Passive |
| 798.59 | 기밀 시크릿 또는 토큰 노출 Heroku API 키 또는 애플리케이션 인증 토큰 | High | Passive |
| 798.60 | 기밀 시크릿 또는 토큰 노출 HubSpot 비공개 앱 API 토큰 | High | Passive |
| 798.61 | 기밀 시크릿 또는 토큰 노출 Intercom API 토큰 | High | Passive |
| 798.66 | 기밀 시크릿 또는 토큰 노출 Linear API 토큰 | High | Passive |
| 798.67 | 기밀 시크릿 또는 토큰 노출 Linear 클라이언트 시크릿 또는 ID (OAuth 2.0) | High | Passive |
| 798.68 | 기밀 시크릿 또는 토큰 노출 LinkedIn 클라이언트 ID | High | Passive |
| 798.69 | 기밀 시크릿 또는 토큰 노출 LinkedIn 클라이언트 시크릿 | High | Passive |
| 798.70 | 기밀 시크릿 또는 토큰 노출 Lob API 키 | High | Passive |
| 798.72 | 기밀 시크릿 또는 토큰 노출 Mailchimp API 키 | High | Passive |
| 798.74 | 기밀 시크릿 또는 토큰 노출 Mailgun 비공개 API 토큰 | High | Passive |
| 798.75 | 기밀 시크릿 또는 토큰 노출 Mailgun 웹훅 서명 키 | High | Passive |
| 798.78 | 기밀 시크릿 또는 토큰 노출 MessageBird 액세스 키 | High | Passive |
| 798.81 | 기밀 시크릿 또는 토큰 노출 New Relic 사용자 API 키 | High | Passive |
| 798.82 | 기밀 시크릿 또는 토큰 노출 New Relic 사용자 API ID | High | Passive |
| 798.83 | 기밀 시크릿 또는 토큰 노출 New Relic ingest 브라우저 API 토큰 | High | Passive |
| 798.84 | 기밀 시크릿 또는 토큰 노출 npm 액세스 토큰 | High | Passive |
| 798.90 | 기밀 시크릿 또는 토큰 노출 PlanetScale 비밀번호 | High | Passive |
| 798.91 | 기밀 시크릿 또는 토큰 노출 PlanetScale API 토큰 | High | Passive |
| 798.93 | 기밀 시크릿 또는 토큰 노출 Postman API 토큰 | High | Passive |
| 798.94 | 기밀 시크릿 또는 토큰 노출 SSH 개인 키 | High | Passive |
| 798.95 | 기밀 시크릿 또는 토큰 노출 Pulumi API 토큰 | High | Passive |
| 798.96 | 기밀 시크릿 또는 토큰 노출 PyPi 업로드 토큰 | High | Passive |
| 798.97 | 기밀 시크릿 또는 토큰 노출 RubyGems API 토큰 | High | Passive |
| 798.101 | 기밀 시크릿 또는 토큰 노출 SendGrid API 토큰 | High | Passive |
| 798.102 | 기밀 시크릿 또는 토큰 노출 Brevo API 토큰 | High | Passive |
| 798.104 | 기밀 시크릿 또는 토큰 노출 Shippo API 토큰 | High | Passive |
| 798.105 | 기밀 시크릿 또는 토큰 노출 Shopify 개인 액세스 토큰 | High | Passive |
| 798.106 | 기밀 시크릿 또는 토큰 노출 Shopify 맞춤 앱 액세스 토큰 | High | Passive |
| 798.107 | 기밀 시크릿 또는 토큰 노출 Shopify 비공개 앱 액세스 토큰 | High | Passive |
| 798.108 | 기밀 시크릿 또는 토큰 노출 Shopify 공유 시크릿 | High | Passive |
| 798.109 | 기밀 시크릿 또는 토큰 노출 Slack 봇 사용자 OAuth 토큰 | High | Passive |
| 798.110 | 기밀 시크릿 또는 토큰 노출 Slack 웹훅 | High | Passive |
| 798.111 | 기밀 시크릿 또는 토큰 노출 Stripe 라이브 시크릿 키 | High | Passive |
| 798.117 | 기밀 시크릿 또는 토큰 노출 Twilio API 키 | High | Passive |
| 798.118 | 기밀 시크릿 또는 토큰 노출 Twitch OAuth 클라이언트 시크릿 | High | Passive |
| 798.121 | 기밀 시크릿 또는 토큰 노출 X 토큰 | High | Passive |
| 798.124 | 기밀 시크릿 또는 토큰 노출 Typeform 개인 액세스 토큰 | High | Passive |
| 798.130 | 기밀 시크릿 또는 토큰 노출 Anthropic API 키 | High | Passive |
| 798.131 | 기밀 시크릿 또는 토큰 노출 CircleCI 액세스 토큰 | High | Passive |
| 798.132 | 기밀 시크릿 또는 토큰 노출 CircleCI 개인 액세스 토큰 | High | Passive |
| 798.133 | 기밀 시크릿 또는 토큰 노출 Contentful 미리보기 API 토큰 | High | Passive |
| 798.134 | 기밀 시크릿 또는 토큰 노출 Contentful 개인 액세스 토큰 | High | Passive |
| 798.135 | 기밀 시크릿 또는 토큰 노출 DigitalOcean OAuth 액세스 토큰 | High | Passive |
| 798.136 | 기밀 시크릿 또는 토큰 노출 DigitalOcean 개인 액세스 토큰 | High | Passive |
| 798.137 | 기밀 시크릿 또는 토큰 노출 DigitalOcean 새로 고침 토큰 | High | Passive |
| 798.138 | 기밀 시크릿 또는 토큰 노출 GCP OAuth 클라이언트 시크릿 | High | Passive |
| 798.139 | 기밀 시크릿 또는 토큰 노출 Google (GCP) 서비스 계정 | High | Passive |
| 798.140 | 기밀 시크릿 또는 토큰 노출 GitLab 개인 액세스 토큰 (라우팅 가능) | High | Passive |
| 798.141 | 기밀 시크릿 또는 토큰 노출 GitLab 개인 액세스 토큰 (라우팅 가능) | High | Passive |
| 798.142 | 기밀 시크릿 또는 토큰 노출 GitLab 파이프라인 트리거 토큰 | High | Passive |
| 798.143 | 기밀 시크릿 또는 토큰 노출 GitLab Runner 등록 토큰 | High | Passive |
| 798.144 | 기밀 시크릿 또는 토큰 노출 GitLab Runner 인증 토큰 | High | Passive |
| 798.145 | 기밀 시크릿 또는 토큰 노출 GitLab 피드 토큰 | High | Passive |
| 798.146 | 기밀 시크릿 또는 토큰 노출 GitLab OAuth 애플리케이션 시크릿 | High | Passive |
| 798.147 | 기밀 시크릿 또는 토큰 노출 GitLab 피드 토큰 v2 | High | Passive |
| 798.148 | 기밀 시크릿 또는 토큰 노출 GitLab Kubernetes 에이전트 토큰 | High | Passive |
| 798.149 | 기밀 시크릿 또는 토큰 노출 GitLab 수신 이메일 토큰 | High | Passive |
| 798.150 | 기밀 시크릿 또는 토큰 노출 GitLab 배포 토큰 | High | Passive |
| 798.151 | 기밀 시크릿 또는 토큰 노출 GitLab SCIM OAuth 토큰 | High | Passive |
| 798.152 | 기밀 시크릿 또는 토큰 노출 GitLab CI 빌드 토큰 | High | Passive |
| 798.153 | 기밀 시크릿 또는 토큰 노출 Grafana API 토큰 | High | Passive |
| 798.154 | 기밀 시크릿 또는 토큰 노출 HashiCorp Vault 배치 토큰 | High | Passive |
| 798.155 | 기밀 시크릿 또는 토큰 노출 Instagram 액세스 토큰 | High | Passive |
| 798.156 | 기밀 시크릿 또는 토큰 노출 Intercom 클라이언트 시크릿 또는 클라이언트 ID | High | Passive |
| 798.157 | 기밀 시크릿 또는 토큰 노출 Ionic 개인 액세스 토큰 | High | Passive |
| 798.158 | 기밀 시크릿 또는 토큰 노출 Artifactory API 키 | High | Passive |
| 798.159 | 기밀 시크릿 또는 토큰 노출 Artifactory 아이덴티티 토큰 | High | Passive |
| 798.160 | 기밀 시크릿 또는 토큰 노출 MaxMind 라이선스 키 | High | Passive |
| 798.161 | 기밀 시크릿 또는 토큰 노출 Meta 액세스 토큰 | High | Passive |
| 798.162 | 기밀 시크릿 또는 토큰 노출 Oculus 액세스 토큰 | High | Passive |
| 798.163 | 기밀 시크릿 또는 토큰 노출 Onfido Live API 토큰 | High | Passive |
| 798.164 | 기밀 시크릿 또는 토큰 노출 OpenAI API 키 | High | Passive |
| 798.165 | 기밀 시크릿 또는 토큰 노출 URL의 비밀번호 | High | Passive |
| 798.166 | 기밀 시크릿 또는 토큰 노출 PGP 개인 키 | High | Passive |
| 798.167 | 기밀 시크릿 또는 토큰 노출 PKCS8 개인 키 | High | Passive |
| 798.168 | 기밀 시크릿 또는 토큰 노출 RSA 개인 키 | High | Passive |
| 798.169 | 기밀 시크릿 또는 토큰 노출 Segment 공개 API 토큰 | High | Passive |
| 798.170 | 기밀 시크릿 또는 토큰 노출 Brevo SMTP 토큰 | High | Passive |
| 798.171 | 기밀 시크릿 또는 토큰 노출 Shippo 테스트 API 토큰 | High | Passive |
| 798.172 | 기밀 시크릿 또는 토큰 노출 Slack 앱 수준 토큰 | High | Passive |
| 798.173 | 기밀 시크릿 또는 토큰 노출 SSH (DSA) 개인 키 | High | Passive |
| 798.174 | 기밀 시크릿 또는 토큰 노출 SSH (EC) 개인 키 | High | Passive |
| 798.175 | 기밀 시크릿 또는 토큰 노출 Stripe 라이브 제한 키 | High | Passive |
| 798.176 | 기밀 시크릿 또는 토큰 노출 Stripe 게시 가능한 라이브 키 | High | Passive |
| 798.177 | 기밀 시크릿 또는 토큰 노출 Stripe 시크릿 테스트 키 | High | Passive |
| 798.178 | 기밀 시크릿 또는 토큰 노출 Stripe 제한 테스트 키 | High | Passive |
| 798.179 | 기밀 시크릿 또는 토큰 노출 Stripe 게시 가능한 테스트 키 | High | Passive |
| 798.180 | 기밀 시크릿 또는 토큰 노출 Tailscale 키 | High | Passive |
| 798.181 | 기밀 시크릿 또는 토큰 노출 Yandex Cloud IAM 쿠키 v1-1 | High | Passive |
| 798.182 | 기밀 시크릿 또는 토큰 노출 Yandex Cloud IAM 쿠키 v1-2 | High | Passive |
| 798.183 | 기밀 시크릿 또는 토큰 노출 Yandex Cloud IAM 쿠키 v1-3 | High | Passive |
| 798.184 | 기밀 시크릿 또는 토큰 노출 Yandex Cloud AWS API 호환 액세스 시크릿 | High | Passive |
| 829.1 | 신뢰할 수 없는 제어 범위의 기능 포함 | Low | Passive |
| 829.2 | 잘못된 하위 리소스 무결성 값 감지 | Medium | Passive |
액티브 체크#
| ID | 체크 | 심각도 | 유형 |
|---|---|---|---|
| 113.1 | HTTP 헤더에서 CRLF 시퀀스의 부적절한 중화 | High | Active |
| 1336.1 | 서버 사이드 템플릿 인젝션 | High | Active |
| 16.11 | TRACE HTTP 방법 활성화됨 | High | Active |
| 22.1 | 제한된 디렉토리로의 경로 이름 제한 부적절 (경로 탐색) | High | Active |
| 611.1 | 외부 XML 엔터티 인젝션 (XXE) | High | Active |
| 74.1 | XSLT 인젝션 | High | Active |
| 78.1 | OS 명령 인젝션 | High | Active |
| 79.1 | 크로스 사이트 스크립팅 | High | Active |
| 89.1 | SQL 인젝션 | High | Active |
| 917.1 | 표현식 언어 인젝션 | High | Active |
| 918.1 | 서버 사이드 요청 위조 | High | Active |
| 94.1 | 서버 사이드 코드 인젝션 (PHP) | High | Active |
| 94.2 | 서버 사이드 코드 인젝션 (Ruby) | High | Active |
| 94.3 | 서버 사이드 코드 인젝션 (Python) | High | Active |
| 94.4 | 서버 사이드 코드 인젝션 (NodeJS) | High | Active |
| 943.1 | 데이터 쿼리 논리에서 특수 요소의 부적절한 중화 | High | Active |
| 98.1 | PHP 원격 파일 포함 | High | Active |