API 보안 테스트 취약점 점검
Tier: Ultimate
Offering: GitLab.com, Self-managed, GitLab Dedicated
API 보안 테스트는 테스트 중인 API에서 취약점을 스캔하는 데 사용되는 취약점 점검을 제공합니다.
수동 점검
| 점검 항목 | 심각도 | 유형 | 프로필 |
|---|---|---|---|
| 애플리케이션 정보 확인 | 중 | 수동 | 수동, 수동-빠른, 활동-빠른, 활동-완전, 빠른, 완전 |
| 평문 인증 확인 | 높음 | 수동 | 수동, 수동-빠른, 활동-빠른, 활동-완전, 빠른, 완전 |
| JSON 해킹 | 중 | 수동 | 수동, 수동-빠른, 활동-빠른, 활동-완전, 빠른, 완전 |
| 민감한 정보 노출 | 높음 | 수동 | 수동, 수동-빠른, 활동-빠른, 활동-완전, 빠른, 완전 |
| 세션 쿠키 | 중 | 수동 | 수동, 수동-빠른, 활동-빠른, 활동-완전, 빠른, 완전 |
활성 점검
| 점검 항목 | 심각도 | 유형 | 프로필 |
|---|---|---|---|
| CORS | 중 | 활성 | 활동-완전, 완전 |
| DNS 리바인딩 | 중 | 활성 | 활동-완전, 완전 |
| 프레임워크 디버그 모드 | 높음 | 활성 | 활동-빠른, 활동-완전, 빠른, 완전 |
| 하트블리드 OpenSSL 취약점 | 높음 | 활성 | 활동-완전, 완전 |
| HTML 인젝션 확인 | 중 | 활성 | 활동-빠른, 활동-완전, 빠른, 완전 |
| 안전하지 않은 HTTP 메소드 | 중 | 활성 | 활동-빠른, 활동-완전, 빠른, 완전 |
| JSON 인젝션 | 중 | 활성 | 활동-빠른, 활동-완전, 빠른, 완전 |
| 오픈 리디렉트 | 중 | 활성 | 활동-완전, 완전 |
| OS 명령 인젝션 | 높음 | 활성 | 활동-빠른, 활동-완전, 빠른, 완전 |
| 패스 순회 | 높음 | 활성 | 활동-완전, 완전 |
| 민감한 파일 | 중 | 활성 | 활동-완전, 완전 |
| 쉘쇼크 | 높음 | 활성 | 활동-완전, 완전 |
| SQL 인젝션 | 높음 | 활성 | 활동-빠른, 활동-완전, 빠른, 완전 |
| TLS 구성 | 높음 | 활성 | 활동-완전, 완전 |
| 인증 토큰 | 높음 | 활성 | 활동-빠른, 활동-완전, 빠른, 완전 |
| XML 외부 엔터티 | 높음 | 활성 | 활동-완전, 완전 |
| XML 인젝션 | 중 | 활성 | 활동-빠른, 활동-완전, 빠른, 완전 |
프로필별 API 보안 테스트 점검
수동-빠른
활성-빠른
- 애플리케이션 정보 확인
- 평문 인증 확인
- 프레임워크 디버그 모드
- HTML 인젝션 확인
- 안전하지 않은 HTTP 메소드
- JSON 해킹
- JSON 인젝션
- OS 명령 인젝션
- 민감한 정보 노출
- 세션 쿠키
- SQL 인젝션
- 인증 토큰
- XML 인젝션
활성-완전
- 애플리케이션 정보 확인
- 평문 인증 확인
- CORS
- DNS 리바인딩
- 프레임워크 디버그 모드
- 하트블리드 OpenSSL 취약점
- HTML 인젝션 확인
- 안전하지 않은 HTTP 메소드
- JSON 해킹
- JSON 인젝션
- 오픈 리디렉트
- OS 명령 인젝션
- 패스 순회
- 민감한 파일
- 민감한 정보 노출
- 세션 쿠키
- 쉘쇼크
- SQL 인젝션
- TLS 구성
- 인증 토큰
- XML 인젝션
- XML 외부 엔터티
퀵
- 애플리케이션 정보 확인
- 평문 인증 확인
- 프레임워크 디버그 모드
- HTML 삽입 검사
- 보안되지 않은 HTTP 메서드
- JSON 해지킹
- JSON 삽입
- OS 명령 삽입
- 민감한 정보
- 세션 쿠키
- SQL 삽입
- 인증 토큰
- XML 삽입
도움말