DAST 브라우저 기반 크롤러 취약점 점검
Tier: Ultimate
Offering: GitLab.com, Self-managed, GitLab Dedicated
DAST 브라우저 기반 크롤러는 테스트 중인 사이트의 취약점을 스캔하는 데 사용되는 취약점 점검을 제공합니다.
매뉴얼 점검
| ID | 점검 | 심각도 | 유형 |
|---|---|---|---|
| 1004.1 | HttpOnly 속성이 없는 민감한 쿠키 | Low | Passive |
| 16.1 | 콘텐츠 유형 헤더 누락 | Low | Passive |
| 16.10 | Content-Security-Policy 위반 | Info | Passive |
| 16.2 | 서버 헤더가 버전 정보를 노출함 | Low | Passive |
| 16.3 | X-Powered-By 헤더가 버전 정보를 노출함 | Low | Passive |
| 16.4 | X-Backend-Server 헤더가 서버 정보를 노출함 | Info | Passive |
| 16.5 | AspNet 헤더가 버전 정보를 노출함 | Low | Passive |
| 16.6 | AspNetMvc 헤더가 버전 정보를 노출함 | Low | Passive |
| 16.7 | Strict-Transport-Security 헤더 누락 또는 잘못됨 | Low | Passive |
| 16.8 | Content-Security-Policy 분석 | Info | Passive |
| 16.9 | Content-Security-Policy-Report-Only 분석 | Info | Passive |
| 200.1 | 민감한 정보 노출로부터 권한 없는 액터(사설 IP 주소) | Low | Passive |
| 209.1 | 민감한 정보가 포함된 오류 메시지 생성 | Low | Passive |
| 209.2 | 민감한 정보가 포함된 데이터베이스 오류 메시지 생성 | Low | Passive |
| 287.1 | HTTP를 통한 인증 불안전 (Basic Authentication) | Medium | Passive |
| 287.2 | HTTP를 통한 인증 불안전 (Digest Authentication) | Low | Passive |
| 319.1 | 혼합 콘텐츠 | Info | Passive |
| 352.1 | 안티-CSRF 토큰 부재 | Medium | Passive |
| 359.1 | 비승인된 액터(신용 카드)에 개인 개인 정보(PII) 노출 | Medium | Passive |
| 359.2 | 비승인된 액터(미국 주민등록 번호)에 개인 개인 정보(PII) 노출 | Medium | Passive |
| 548.1 | 디렉터리 디렉터리을 통한 정보 노출 | Low | Passive |
| 598.1 | 민감한 쿼리 문자열(세션 ID)을 사용한 GET 요청 메서드 사용 | Medium | Passive |
| 598.2 | 민감한 쿼리 문자열(암호)을 사용한 GET 요청 메서드 사용 | Medium | Passive |
| 598.3 | 민감한 쿼리 문자열(인증 헤더 세부 정보)을 사용한 GET 요청 메서드 사용 | Medium | Passive |
| 601.1 | 신뢰할 수 없는 사이트로의 URL 리디렉션 (‘오픈 리디렉트’) | Low | Passive |
| 614.1 | Secure 속성이 없는 민감한 쿠키 | Low | Passive |
| 693.1 | X-Content-Type-Options: nosniff 누락 | Low | Passive |
| 798.1 | 기밀 정보나 토큰(Adafruit API Key) 노출 | High | Passive |
| 798.2 | 기밀 정보나 토큰(Adobe Client ID (OAuth Web)) 노출 | High | Passive |
| 798.3 | 기밀 정보나 토큰(Adobe Client Secret) 노출 | High | Passive |
| 798.4 | 기밀 정보나 토큰(계정 비밀 키) 노출 | High | Passive |
| 798.5 | 기밀 정보나 토큰(Airtable API Key) 노출 | High | Passive |
| 798.6 | 기밀 정보나 토큰(Algolia API Key) 노출 | High | Passive |
| 798.7 | 기밀 정보나 토큰(Alibaba AccessKey ID) 노출 | High | Passive |
| 798.8 | 기밀 정보나 토큰(Alibaba Secret Key) 노출 | High | Passive |
| 798.9 | 기밀 정보나 토큰(Asana Client ID) 노출 | High | Passive |
| 798.10 | 기밀 정보나 토큰(Asana Client Secret) 노출 | High | Passive |
| 798.11 | 기밀 정보나 토큰(Atlassian API token) 노출 | High | Passive |
| 798.12 | 기밀 정보나 토큰(AWS) 노출 | High | Passive |
| … (중략) | … | … | … |
활성화된 점검 항목
| ID | 점검 | 심각도 | 유형 |
|---|---|---|---|
| 113.1 | HTTP 헤더에서의 CRLF 시퀀스의 부적절한 무효화 | 높음 | 활성 |
| 1336.1 | 서버 측 템플릿 인젝션 | 높음 | 활성 |
| 16.11 | 활성화된 TRACE HTTP 메소드 | 높음 | 활성 |
| 22.1 | 제한된 디렉터리로의 경로명의 부적절한 제한 (경로 조작) | 높음 | 활성 |
| 611.1 | 외부 XML 엔티티 인젝션 (XXE) | 높음 | 활성 |
| 74.1 | XSLT 인젝션 | 높음 | 활성 |
| 78.1 | OS 명령어 인젝션 | 높음 | 활성 |
| 89.1 | SQL 인젝션 | 높음 | 활성 |
| 917.1 | 표현 언어 인젝션 | 높음 | 활성 |
| 918.1 | 서버 측 요청 위조 | 높음 | 활성 |
| 94.1 | 서버 측 코드 인젝션 (PHP) | 높음 | 활성 |
| 94.2 | 서버 측 코드 인젝션 (루비) | 높음 | 활성 |
| 94.3 | 서버 측 코드 인젝션 (파이썬) | 높음 | 활성 |
| 94.4 | 서버 측 코드 인젝션 (NodeJS) | 높음 | 활성 |
| 943.1 | 데이터 쿼리 논리에서 특별 요소의 부적절한 무효화 | 높음 | 활성 |
| 98.1 | PHP 원격 파일 포함 | 높음 | 활성 |
도움말