• HAR 파일 생성
  • GitLab HAR Recorder
    • GitLab HAR Recorder 설치
    • GitLab HAR Recorder를 사용하여 HAR 파일 생성
  • Insomnia API Client
    • Insomnia API Client를 사용하여 HAR 파일 생성
  • Fiddler 디버깅 프록시
    • Fiddler를 사용하여 HAR 파일 생성
  • Safari 웹 브라우저
    • Safari에서 HAR 파일 생성
  • Chrome 웹 브라우저
    • Chrome에서 HAR 파일 생성
  • Firefox 웹 브라우저
    • Firefox에서 HAR 파일 생성
• HAR 확인
  • HAR 파일 내용 확인
• HAR 파일 내용 검토
• 민감한 정보 편집 또는 삭제

HAR 파일 생성

HTTP Archive (HAR) 형식 파일은 HTTP 요청 및 HTTP 응답에 대한 정보를 교환하는 데 사용되는 산업 표준입니다. HAR 파일의 내용은 브라우저가 웹 사이트와 상호 작용하는 내용을 포함하며 JSON 형식으로 구성됩니다. 파일 확장자 .har이 일반적으로 사용됩니다.

HAR 파일은 GitLab CI/CD 파이프라인의 일환으로 웹 API Fuzz 테스트를 수행하는 데 사용할 수 있습니다.

경고: HAR 파일은 웹 클라이언트와 웹 서버 간에 교환된 정보를 저장합니다. 또한 인증 토큰, API 키, 세션 쿠키 등과 같은 민감한 정보를 저장할 수도 있습니다. 저장소에 추가하기 전에 HAR 파일 내용을 검토하는 것을 권장합니다.

HAR 파일 생성

HAR 파일은 수동으로 생성하거나 웹 세션을 기록하는 전용 도구를 사용하여 생성할 수 있습니다. 전용 도구를 사용하는 것을 권장합니다. 그러나 이러한 도구로 생성된 파일이 민감한 정보를 노출하지 않고 안전하게 사용될 수 있도록 하는 것이 중요합니다.

네트워크 활동을 기반으로 HAR 파일을 생성하는 다음 도구를 사용할 수 있습니다. 이러한 도구는 자동으로 네트워크 활동을 기록하고 HAR 파일을 생성합니다:

1. GitLab HAR Recorder.
2. Insomnia API Client.
3. Fiddler debugging proxy.
4. Safari 웹 브라우저.
5. Chrome 웹 브라우저.
6. Firefox 웹 브라우저.

경고: HAR 파일은 인증 토큰, API 키, 세션 쿠키 등과 같이 민감한 정보를 포함할 수 있습니다. 따라서 저장소에 추가하기 전에 HAR 파일 내용을 검토하는 것을 권장합니다.

GitLab HAR Recorder

GitLab HAR Recorder는 HTTP 메시지를 기록하여 이를 HTTP Archive (HAR) 파일로 저장하는 명령줄 도구입니다. GitLab HAR Recorder에 대한 자세한 내용은 홈페이지를 참조하세요.

GitLab HAR Recorder 설치

사전 요구 사항:

• Python 3.6 이상 설치.
• Microsoft Windows의 경우 Microsoft Visual C++ 14.0을 설치해야 합니다. Visual Studio Downloads 페이지에서 Build Tools for Visual Studio를 설치하면 이가 포함되어 있습니다.
• HAR Recorder 설치.

GitLab HAR Recorder 설치:

  pip install gitlab-har-recorder --extra-index-url https://gitlab.com/api/v4/projects/22441624/packages/pypi/simple

GitLab HAR Recorder를 사용하여 HAR 파일 생성

1. 프록시 포트 및 HAR 파일 이름으로 레코더 시작.
2. 프록시를 사용하여 브라우저 작업 완료.
   1. 프록시가 사용 중임을 확인하세요!
3. 레코더 중지.

HAR에 모든 요청이 포함되어 있는지 확인하려면 온라인 HAR 뷰어를 사용하세요. 예:

• HAR Viewer
• Google Admin Toolbox HAR Analyzer

Insomnia API Client

Insomnia API Client는 API 디자인 도구로 여러 용도 중 하나로 API를 디자인, 설명 및 테스트하는 데 도움을 줍니다. 또한 웹 API Fuzz 테스트에 사용할 수 있는 HAR 파일을 생성하는 데 사용할 수 있습니다.

Insomnia API Client를 사용하여 HAR 파일 생성

1. API 정의 또는 가져오기.
   • Postman v2.
   • Curl.
   • OpenAPI v2, v3.
2. 각 API 호출이 작동하는지 확인.
   • OpenAPI 사양을 가져왔다면 작동하는 데이터를 추가하세요.
3. API > Import/Export 선택.
4. Export Data > Current Workspace 선택.
5. HAR 파일에 포함할 요청 선택.
6. Export 선택.
7. Select Export Type 드롭다운 목록에서 HAR – HTTP Archive Format 선택.
8. Done 선택.
9. HAR 파일의 위치와 파일 이름 입력.

Fiddler 디버깅 프록시

Fiddler는 웹 디버깅 도구입니다. HTTP 및 HTTPS 네트워크 트래픽을 캡처하고 각 요청을 검사할 수 있습니다. 또한 요청 및 응답을 HAR 형식으로 내보낼 수 있습니다.

Fiddler를 사용하여 HAR 파일 생성

1. Fiddler 홈페이지에 이동하여 로그인합니다. 계정이 없는 경우 먼저 계정을 생성하세요.
2. API를 호출하는 페이지를 찾아보세요. Fiddler는 자동으로 요청을 캡처합니다.
3. 하나 이상의 요청을 선택한 후, 컨텍스트 메뉴에서 Export > Selected Sessions 선택.
4. Choose Format 드롭다운 목록에서 HTTPArchive v1.2 선택.
5. 파일 이름을 입력하고 Save 선택.

Fiddler는 내보내기가 성공했다는 팝업 메시지를 표시합니다.

Safari 웹 브라우저

Safari는 Apple이 유지보수하는 웹 브라우저입니다. 웹 개발이 진화함에 따라 브라우저는 새로운 기능을 지원합니다. Safari를 사용하면 네트워크 트래픽을 탐색하고 HAR 파일로 내보낼 수 있습니다.

Safari에서 HAR 파일 생성

준비 사항:

• Develop 메뉴 항목을 활성화합니다.
  1. Safari의 기본 설정을 엽니다. Command+,를 누르거나 메뉴에서 Safari > Preferences를 선택합니다.
  2. 고급 탭을 선택한 다음, 메뉴 막대에 개발 메뉴 항목 표시를 선택합니다.
  3. 환경설정 창을 닫습니다.

1. Web Inspector를 엽니다. Option+Command+i를 누르거나 메뉴에서 Develop > Show Web Inspector를 선택합니다.
2. 네트워크 탭을 선택한 다음 로그 보존을 선택합니다.
3. API를 호출하는 페이지를 탐색합니다.
4. Web Inspector를 열고 네트워크 탭을 선택합니다.
5. 내보낼 요청을 마우스 오른쪽 버튼으로 클릭하고 HAR로 내보내기를 선택합니다.
6. 파일 이름을 입력하고 저장을 선택합니다.

Chrome 웹 브라우저

Chrome은 Google이 유지보수하는 웹 브라우저입니다. 웹 개발이 진화함에 따라 브라우저는 새로운 기능을 지원합니다. Chrome을 사용하면 네트워크 트래픽을 탐색하고 HAR 파일로 내보낼 수 있습니다.

Chrome에서 HAR 파일 생성

1. Chrome의 컨텍스트 메뉴에서 Inspect를 선택합니다.
2. 네트워크 탭을 선택합니다.
3. 로그 보존을 선택합니다.
4. API를 호출하는 페이지를 탐색합니다.
5. 하나 이상의 요청을 선택합니다.
6. 마우스 오른쪽 버튼을 클릭하고 모든 내용을 포함한 HAR로 저장을 선택합니다.
7. 파일 이름을 입력하고 저장을 선택합니다.
8. 추가 요청을 추가하려면 동일한 파일에 선택하여 저장합니다.

Firefox 웹 브라우저

Firefox는 Mozilla가 유지보수하는 웹 브라우저입니다. 웹 개발이 진화함에 따라 브라우저는 새로운 기능을 지원합니다. Firefox를 사용하면 네트워크 트래픽을 탐색하고 HAR 파일로 내보낼 수 있습니다.

Firefox에서 HAR 파일 생성

1. Firefox의 컨텍스트 메뉴에서 Inspect를 선택합니다.
2. 네트워크 탭을 선택합니다.
3. API를 호출하는 페이지를 탐색합니다.
4. 네트워크 탭을 확인하고 요청이 기록되고 있는지 확인합니다. 네트워크 활동에 대한 자세한 정보를 확인하려면 메시지가 요청 수행하거나 페이지를 다시 로드하여 네트워크 활동에 대한 자세한 정보를 확인하세요라면, 요청을 기록하기 시작하려면 다시 로드를 선택합니다.
5. 하나 이상의 요청을 선택합니다.
6. 마우스 오른쪽 버튼을 클릭하고 모든 것을 HAR로 저장을 선택합니다.
7. 파일 이름을 입력하고 저장을 선택합니다.
8. 추가 요청을 추가하려면 동일한 파일에 선택하여 저장합니다.

HAR 확인

HAR 파일을 사용하기 전에 민감한 정보가 노출되지 않도록 하는 것이 중요합니다.

각 HAR 파일에 대해 다음을 수행해야 합니다:

• HAR 파일의 내용 확인
• 민감한 정보를 비치하는지 HAR 파일 검토
• 민감한 정보를 편집하거나 제거

HAR 파일 내용 확인

HAR 파일의 내용을 구조화된 방식으로 표시할 수 있는 도구를 사용하는 것을 권장합니다. 여러 HAR 파일 뷰어가 온라인에서 사용할 수 있습니다. HAR 파일을 업로드하지 않으려면 컴퓨터에 설치된 도구를 사용할 수도 있습니다. HAR 파일은 JSON 형식을 사용하므로 텍스트 편집기에서도 볼 수 있습니다.

HAR 파일을 보는 데 권장되는 도구는 다음과 같습니다:

• HAR Viewer - (온라인)
• Google Admin Toolbox HAR Analyzer - (온라인)
• Fiddler - 로컬
• Insomnia API Client - 로컬

HAR 파일 내용 검토

다음을 포함하는지 HAR 파일을 검토합니다:

• 애플리케이션 접근을 지원하는 정보, 예를 들어: 인증 토큰, 인증 토큰, 쿠키, API 키.
• 개인 식별 정보(PII).

민감한 정보를 편집하거나 삭제해야 한다는 것을 강력히 권장합니다.

시작 목록으로 다음을 사용합니다. 이 목록은 철저한 것은 아닙니다.

• 비밀을 찾습니다. 예를 들어: 귀하의 애플리케이션이 인증을 필요로 하는 경우, 인증 정보가 일반적으로 위치하는지 확인합니다:
  • 인증과 관련된 헤더. 예를 들어: 쿠키, 인증. 이러한 헤더에는 유효한 정보가 포함될 수 있습니다.
  • 인증과 관련된 요청. 이러한 요청의 본문에는 사용자 자격 증명 또는 토큰과 같은 정보가 포함될 수 있습니다.
  • 세션 토큰. 세션 토큰은 애플리케이션에 액세스를 부여할 수 있습니다. 이러한 토큰의 위치는 다양할 수 있습니다. 헤더, 쿼리 매개변수 또는 본문에 있을 수 있습니다.
• 개인 식별 정보 찾기
  • 예를 들어, 귀하의 애플리케이션이 사용자 목록과 해당 개인 데이터(전화, 이름, 이메일)를 검색하는 경우.
  • 인증 정보에는 개인 정보도 포함될 수 있습니다.

민감한 정보 편집 또는 삭제

HAR 파일 내용 검토 중 발견된 민감한 정보를 편집하거나 삭제하세요. HAR 파일은 JSON 파일이며 텍스트 편집기에서 편집할 수 있습니다.

HAR 파일을 편집한 후에는 HAR 파일 뷰어에서 형식과 구조가 유지되었는지 확인하세요.

다음 예제는 Visual Studio Code 텍스트 편집기를 사용하여 헤더에 있는 인증 토큰을 편집하는 방법을 보여줍니다.