DAST 온디맨드 스캔

Tier: Ultimate Offering: GitLab.com, Self-managed, GitLab Dedicated
caution
프로덕션 서버에서 DAST 스캔을 실행하지 마십시오. 사용자가 수행할 수 있는 모든 기능을 수행할 뿐만 아니라 버그를 유발하여 프로덕션 데이터의 수정 또는 손실로 이어질 수 있습니다. DAST 스캔은 테스트 서버에서만 실행하십시오.

온디맨드 스캔

온디맨드 DAST 스캔은 DevOps 생명주기 외부에서 실행됩니다. 리포지터리의 변경 사항은 스캔을 트리거하지 않습니다. 스캔을 매뉴얼으로 시작하거나 실행할 예약을 해야 합니다. 온디맨드 DAST 스캔에 대해 사이트 프로필은 스캔할 내용을 정의하고 스캐너 프로필은 어떻게 응용 프로그램을 스캔해야 하는지를 정의합니다.

온디맨드 스캔은 활성 또는 매뉴얼 모드로 실행할 수 있습니다:

온디맨드 DAST 스캔 보기

온디맨드 스캔을 보려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트나 그룹을 찾습니다.
  2. 보안 > 온디맨드 스캔을 선택합니다.

온디맨드 스캔은 상태별로 그룹화됩니다. 스캔 라이브러리에는 모든 가능한 온디맨드 스캔이 포함되어 있습니다.

온디맨드 DAST 스캔 실행

전제 조건:

  • 보호된 브랜치에 대해 온디맨드 DAST 스캔을 실행할 수 있는 권한이 있어야 합니다. 기본 브랜치는 자동으로 보호됩니다. 더 많은 정보는 보호된 브랜치의 파이프라인 보안을 참조하십시오.

기존 온디맨드 스캔을 실행하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트를 찾습니다.
  2. 보안 > 온디맨드 스캔을 선택합니다.
  3. 스캔 라이브러리 탭을 선택합니다.

  4. 스캔의 행에서 스캔 실행을 선택합니다.

    스캔에 저장된 브랜치가 더 이상 존재하지 않는 경우 다음을 수행해야 합니다:

    1. 스캔 편집.
    2. 새 브랜치를 선택합니다.
    3. 수정된 스캔을 저장합니다.

온디맨드 DAST 스캔이 실행되며, 프로젝트 대시보드에 결과가 표시됩니다.

온디맨드 스캔 생성

온디맨드 스캔을 생성하여:

  • 즉시 실행합니다.
  • 나중에 실행되도록 저장합니다.
  • 지정된 일정에 따라 실행하도록 예약합니다.

온디맨드 DAST 스캔을 생성하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트나 그룹을 찾습니다.
  2. 보안 > 온디맨드 스캔을 선택합니다.
  3. 새 스캔을 선택합니다.
  4. 스캔 이름설명 필드를 완성합니다.
  5. 브랜치 드롭다운 디렉터리에서 원하는 브랜치를 선택합니다.
  6. 선택 사항. 러너 태그를 선택합니다.
  7. 드로어를 열기 위해 스캐너 프로필 선택 또는 스캐너 프로필 변경을 선택하고, 다음 중 하나를 수행합니다:
    • 드로어에서 스캐너 프로필을 선택합니다. 또는
    • 새 프로필을 선택하여 스캐너 프로필을 만든 후 프로필 저장을 선택합니다.
  8. 사이트 프로필 선택 또는 사이트 프로필 변경을 선택하여 드로어를 열고, 다음 중 하나를 수행합니다:
    • 사이트 프로필 라이브러리 드로어에서 사이트 프로필을 선택합니다. 또는
    • 새 프로필을 선택하여 사이트 프로필을 만든 후 프로필 저장을 선택합니다.

  9. 온디맨드 스캔을 실행하려면:

    • 즉시 실행하려면 스캔 저장 및 실행을 선택합니다.
    • 나중에 실행하려면 스캔 저장을 선택합니다.

    • 일정에 따라 실행하려면:

      • 스캔 일정 활성화 토글을 켭니다.
      • 일정 필드를 완성합니다.
      • 스캔 저장을 선택합니다.

온디맨드 DAST 스캔은 지정된대로 실행되고 프로젝트 대시보드에 결과가 표시됩니다.

온디맨드 스캔 세부정보 보기

온디맨드 스캔의 세부정보를 보려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트를 찾습니다.
  2. 보안 > 온디맨드 스캔을 선택합니다.
  3. 스캔 라이브러리 탭을 선택합니다.
  4. 저장된 스캔의 행에서 추가 작업 ()을 선택한 다음 편집을 선택합니다.

온디맨드 스캔 편집

온디맨드 스캔을 편집하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트를 찾습니다.
  2. 보안 > 온디맨드 스캔을 선택합니다.
  3. 스캔 라이브러리 탭을 선택합니다.
  4. 저장된 스캔의 행에서 추가 작업 ()을 선택한 다음 편집을 선택합니다.
  5. 저장된 스캔의 세부정보를 편집합니다.
  6. 스캔 저장을 선택합니다.

온디맨드 스캔 삭제

온디맨드 스캔을 삭제하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트를 찾습니다.
  2. 보안 > 온디맨드 스캔을 선택합니다.
  3. 스캔 라이브러리 탭을 선택합니다.
  4. 저장된 스캔의 행에서 추가 작업 ()을 선택한 다음 삭제를 선택합니다.
  5. 확인 대화상자에서 삭제를 선택합니다.

사이트 프로필

사이트 프로필은 DAST에 의해 스캔될 배포된 응용 프로그램, 웹 사이트 또는 API의 속성 및 구성 세부 정보를 정의합니다. 사이트 프로필은 .gitlab-ci.yml 또는 온디맨드 스캔에서 참조될 수 있습니다.

사이트 프로필에는 다음이 포함됩니다:

  • 프로필 이름: 스캔할 사이트에 할당하는 이름입니다. 사이트 프로필은 .gitlab-ci.yml이나 온디맨드 스캔에서 참조되지만 이름을 변경할 수 없습니다.
  • 사이트 유형: 스캔할 대상의 유형으로, 웹 사이트 또는 API 스캔입니다.
  • 대상 URL: DAST가 실행되는 URL입니다.
  • 제외된 URL: 스캔에서 제외할 URL의 쉼표로 구분된 디렉터리입니다.
  • 요청 헤더: HTTP 요청 헤더의 쉼표로 구분된 디렉터리으로, 각 이름과 값이 포함됩니다. 이러한 헤더는 DAST가 수행하는 모든 요청에 추가됩니다.
  • 인증:
    • 인증된 URL: 대상 웹 사이트에 로그인 HTML 양식이 포함된 페이지의 URL입니다. 로그인 양식으로 제출된 사용자 이름과 암호가 인증된 스캔을 생성하기 위해 사용됩니다.
    • 사용자 이름: 웹 사이트에 인증하기 위해 사용되는 사용자 이름입니다.
    • 암호: 웹 사이트에 인증하기 위해 사용되는 암호입니다.
    • 사용자 이름 양식 필드: 로그인 HTML 양식의 사용자 이름 필드의 이름입니다.
    • 암호 양식 필드: 로그인 HTML 양식의 암호 필드의 이름입니다.
    • 양식 필드 제출: 선택되면 로그인 HTML 양식이 제출되는 요소의 id 또는 name입니다.
  • 스캔 방법: API 테스트를 수행하는 방법의 유형입니다. 지원되는 방법은 OpenAPI, Postman Collections, HTTP Archive (HAR), 또는 GraphQL입니다.
    • GraphQL 엔드포인트 경로: GraphQL 엔드포인트의 경로입니다. 이 경로는 테스트할 스캔을 위한 URI를 제공하기 위해 대상 URL에 연결됩니다. GraphQL 엔드포인트는 내부조사 쿼리를 지원해야 합니다.
    • 파일 URL: OpenAPI, Postman Collection 또는 HTTP Archive 파일의 URL입니다.

API 사이트 유형을 선택할 때, 호스트 오버라이드가 사용되어 스캔 중인 API가 대상과 동일한 호스트에 있는지 확인됩니다. 이로써 잘못된 API에 대한 활성 스캔 실행의 위험을 줄입니다.

구성된 경우, 요청 헤더 및 암호 필드는 데이터베이스에 저장되기 전에 aes-256-gcm을 사용하여 암호화됩니다. 이 데이터는 유효한 시크릿 파일로만 읽거나 해독할 수 있습니다.

사이트 프로필 유효성 검사

  • 메타 태그 유효성 도입 되었습니다.

사이트 프로필 유효성은 잘못된 웹 사이트에 대한 활성 스캔 실행의 위험을 줄입니다. 활성 스캔을 실행하기 전에 사이트를 유효성 검사해야 합니다. 사이트 유효성 검사 방법 각각은 기능적으로 동등하므로 가장 적합한 방법을 사용하십시오:

  • 텍스트 파일 유효성: 대상 사이트에 텍스트 파일을 업로드해야 합니다. 텍스트 파일은 프로젝트에 고유한 이름과 콘텐츠가 할당됩니다. 유효성 검사 프로세스에서 파일의 콘텐츠를 확인합니다.
  • 헤더 유효성: 대상 사이트에 헤더 Gitlab-On-Demand-DAST가 추가되어야 하며, 프로젝트에 고유한 값을 가져야 합니다. 유효성 검사 프로세스에서 헤더가 존재하는지와 해당 값인지를 확인합니다.
  • 메타 태그 유효성: 대상 사이트에 gitlab-dast-validation이라는 메타 태그가 추가되어야 하며, 프로젝트에 고유한 값을 가져야 합니다. 페이지의 <head> 섹션에 추가되었는지 확인해야 합니다. 유효성 검사 프로세스에서 메타 태그가 존재하는지와 해당 값인지를 확인합니다.

사이트 프로필 생성

사이트 프로필을 생성하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 보안 > 보안 구성을 선택합니다.
  3. Dynamic Application Security Testing (DAST) 섹션에서 프로필 관리를 선택합니다.
  4. 새로 만들기 > 사이트 프로필을 선택합니다.
  5. 필드를 작성한 다음 프로필 저장을 선택합니다.

사이트 프로필이 저장되어 온디맨드 스캔에서 사용됩니다.

사이트 프로필 편집

note
사이트 프로필이 보안 정책에 연결되어 있으면 프로필을 이 페이지에서 편집할 수 없습니다. 자세한 정보는 스캔 실행 정책을 참조하십시오.
note
사이트 프로필의 대상 URL 또는 인증된 URL이 업데이트되면 해당 프로필과 관련된 요청 헤더 및 암호 필드가 지워집니다.

유효성 검증된 사이트 프로필의 파일, 헤더 또는 메타 태그가 편집되면 사이트의 유효성 상태가 취소됩니다.

사이트 프로필을 편집하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 보안 > 보안 구성을 선택합니다.
  3. Dynamic Application Security Testing (DAST) 섹션에서 프로필 관리를 선택합니다.
  4. 사이트 프로필 탭을 선택합니다.
  5. 프로필 행에서 더보기() 메뉴를 선택한 다음 편집을 선택합니다.
  6. 필드를 편집한 다음 프로필 저장을 선택합니다.

사이트 프로필 삭제

note
사이트 프로필이 보안 정책에 연결되어 있으면 사용자는 이 페이지에서 프로필을 삭제할 수 없습니다. 자세한 정보는 스캔 실행 정책을 참조하십시오.

사이트 프로필을 삭제하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 보안 > 보안 구성을 선택합니다.
  3. Dynamic Application Security Testing (DAST) 섹션에서 프로필 관리를 선택합니다.
  4. 사이트 프로필 탭을 선택합니다.
  5. 프로필 행에서 더보기() 메뉴를 선택한 다음 삭제를 선택합니다.
  6. 삭제를 확인하려면 삭제를 선택합니다.

사이트 프로필 유효성 검사

사이트를 유효성 검사하려면 활성 스캔을 실행해야 합니다.

전제 조건:

  • 프로젝트에 실행자가 있어야 합니다.
  • GitLab 서버의 인증서가 신뢰할 수 있어야 하며, 자체 서명된 인증서를 사용해서는 안 됩니다.

사이트 프로필을 유효성 검사하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. Secure > Security configuration을 선택합니다.
  3. Dynamic Application Security Testing (DAST) 섹션에서 프로필 관리를 선택합니다.
  4. 사이트 프로필 탭을 선택합니다.
  5. 프로필 행에서 유효성 검사를 선택합니다.
  6. 유효성 검사 방법을 선택합니다.
    1. 텍스트 파일 유효성 검사의 경우:
      1. 단계 2에 나열된 유효성 파일을 다운로드합니다.
      2. 유효성 파일을 호스트에 업로드하여 단계 3의 위치 또는 원하는 위치에 저장합니다.
      3. 필요한 경우 단계 3의 파일 위치를 편집합니다.
      4. 유효성 검사를 선택합니다.
    2. 헤더 유효성 검사의 경우:
      1. 단계 2의 클립보드 아이콘을 선택합니다.
      2. 유효성을 검사할 사이트의 헤더를 편집하고 클립보드 내용을 붙여넣습니다.
      3. 단계 3의 입력 필드를 선택하고 헤더의 위치를 입력합니다.
      4. 유효성 검사를 선택합니다.
    3. 메타 태그 유효성 검사의 경우:
      1. 단계 2의 클립보드 아이콘을 선택합니다.
      2. 유효성을 검사할 사이트의 콘텐츠를 편집하고 클립보드 내용을 붙여넣습니다.
      3. 단계 3의 입력 필드를 선택하고 메타 태그의 위치를 입력합니다.
      4. 유효성 검사를 선택합니다.

사이트가 유효성이 검사되면 활성 스캔을 해당 사이트에 대해 실행할 수 있습니다. 사이트 프로필의 유효성 상태는 매뉴얼으로 철회되었을 때 또는 해당 파일, 헤더 또는 메타 태그가 편집되었을 때에만 철회됩니다.

실패한 유효성 검사 재시도

실패한 사이트 유효성 검사 시도는 프로필 관리 페이지의 사이트 프로필 탭에 나열됩니다.

사이트 프로필의 실패한 유효성 검사를 다시 시도하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. Secure > Security configuration을 선택합니다.
  3. Dynamic Application Security Testing (DAST) 섹션에서 프로필 관리를 선택합니다.
  4. 사이트 프로필 탭을 선택합니다.
  5. 프로필 행에서 유효성 재시도를 선택합니다.

사이트 프로필의 유효성 상태 철회

caution
사이트 프로필의 유효성 상태를 철회하면 동일한 URL을 공유하는 모든 사이트 프로필의 유효성 상태도 철회됩니다.

사이트 프로필의 유효성 상태를 철회하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. Secure > Security configuration을 선택합니다.
  3. Dynamic Application Security Testing (DAST) 섹션에서 프로필 관리를 선택합니다.
  4. 검증된 프로필 옆에서 유효성 철회를 선택합니다.

사이트 프로필의 유효성 상태가 철회됩니다.

검증된 사이트 프로필 헤더

다음은 애플리케이션에서 필요한 사이트 프로필 헤더를 제공하는 코드 샘플입니다.

요청 시점의 Ruby on Rails 예시

다음은 Ruby on Rails 애플리케이션에서 사용자 정의 헤더를 추가하는 방법입니다: 

class DastWebsiteTargetController < ActionController::Base
  def dast_website_target
    response.headers['Gitlab-On-Demand-DAST'] = '0dd79c9a-7b29-4e26-a815-eaaf53fcab1c'
    head :ok
  end
end

요청 시점의 Django 예시

다음은 Django 애플리케이션에서 사용자 정의 헤더를 추가하는 방법입니다: 

class DastWebsiteTargetView(View):
    def head(self, *args, **kwargs):
      response = HttpResponse()
      response['Gitlab-On-Demand-DAST'] = '0dd79c9a-7b29-4e26-a815-eaaf53fcab1c'
      
      return response

요청 시점의 Node (with Express) 예시

다음은 Node (with Express)에서 사용자 정의 헤더를 추가하는 방법입니다: 

app.get('/dast-website-target', function(req, res) {
  res.append('Gitlab-On-Demand-DAST', '0dd79c9a-7b29-4e26-a815-eaaf53fcab1c')
  res.send('Respond to DAST ping')
})

스캐너 프로필

스캐너 프로필은 보안 스캐너의 구성 세부 정보를 정의합니다. 스캐너 프로필은 .gitlab-ci.yml 또는 온디맨드 스캔에서 참조될 수 있습니다.

스캐너 프로필에는 다음이 포함됩니다:

  • 프로필 이름: 스캐너 프로필에 지정하는 이름입니다. 예: “Spider_15”. 스캐너 프로필이 .gitlab-ci.yml 또는 온디맨드 스캔에서 참조되는 동안에는 이름을 바꿀 수 없습니다.
  • 스캔 모드: 매뉴얼 스캔은 대상으로 전송된 모든 HTTP 메시지(요청 및 응답)를 모니터링합니다. 활성 스캔은 잠재적인 취약점을 찾기 위해 대상을 공격합니다.
  • 크롤 타임아웃: 크롤러가 사이트를 순회하는 데 허용된 최대 분 수입니다.
  • 대상 타임아웃: DAST가 스캔을 시작하기 전에 사이트가 이용 가능한지를 기다리는 최대 초 수입니다.
  • 디버그 메시지: DAST 콘솔 출력에 디버그 메시지를 포함합니다.

스캐너 프로필 생성하기

스캐너 프로필을 생성하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 보안 > 보안 구성을 선택합니다.
  3. Dynamic Application Security Testing (DAST) 섹션에서 프로필 관리를 선택합니다.
  4. 새로 만들기 > 스캐너 프로필을 선택합니다.
  5. 양식을 작성합니다. 각 필드의 자세한 내용은 Scanner profile를 참조하십시오.
  6. 프로필 저장을 선택합니다.

스캐너 프로필 편집하기

note
스캐너 프로필이 보안 정책에 연결되어 있는 경우 이 페이지에서 프로필을 편집할 수 없습니다. 자세한 내용은 Scan execution policies를 참조하십시오.

스캐너 프로필을 편집하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 보안 > 보안 구성을 선택합니다.
  3. Dynamic Application Security Testing (DAST) 섹션에서 프로필 관리를 선택합니다.
  4. 스캐너 프로필 탭을 선택합니다.
  5. 스캐너 행에서 더 많은 작업 () 메뉴를 선택한 다음 편집을 선택합니다.
  6. 양식을 편집합니다.
  7. 프로필 저장을 선택합니다.

스캐너 프로필 삭제하기

note
스캐너 프로필이 보안 정책에 연결되어 있는 경우이 페이지에서 프로필을 삭제할 수 없습니다. 자세한 내용은 Scan execution policies를 참조하십시오.

스캐너 프로필을 삭제하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 보안 > 보안 구성을 선택합니다.
  3. Dynamic Application Security Testing (DAST) 섹션에서 프로필 관리를 선택합니다.
  4. 스캐너 프로필 탭을 선택합니다.
  5. 스캐너 행에서 더 많은 작업 () 메뉴를 선택한 다음 삭제를 선택합니다.
  6. 삭제를 선택합니다.

감사

DAST 프로필, DAST 스캐너 프로필 및 DAST 사이트 프로필의 생성, 업데이트 및 삭제는 감사 로그에 포함됩니다.