DAST 브라우저 기반 크롤러 취약점 점검
Tier: Ultimate
Offering: GitLab.com, Self-Managed, GitLab Dedicated
DAST 브라우저 기반 크롤러는 테스트 중인 사이트의 취약점을 스캔하는 데 사용되는 취약점 점검을 제공합니다.
수동 점검
| ID | Check | Severity | Type |
|---|---|---|---|
| 1004.1 | HttpOnly 속성이 없는 민감한 쿠키 | Low | Passive |
| 16.1 | 누락된 Content-Type 헤더 | Low | Passive |
| 16.10 | Content-Security-Policy 위반 | Info | Passive |
| 16.2 | 서버 헤더가 버전 정보를 노출함 | Low | Passive |
| 16.3 | X-Powered-By 헤더가 버전 정보를 노출함 | Low | Passive |
| 16.4 | X-Backend-Server 헤더가 서버 정보를 노출함 | Info | Passive |
| 16.5 | AspNet 헤더가 버전 정보를 노출함 | Low | Passive |
| 16.6 | AspNetMvc 헤더가 버전 정보를 노출함 | Low | Passive |
| 16.7 | Strict-Transport-Security 헤더가 누락되었거나 잘못됨 | Low | Passive |
| 16.8 | Content-Security-Policy 분석 | Info | Passive |
| 16.9 | Content-Security-Policy-Report-Only 분석 | Info | Passive |
| 200.1 | 미인가된 사용자에게 민감한 정보 노출 (사설 IP 주소) | Low | Passive |
| 209.1 | 민감한 정보를 포함한 오류 메시지 생성 | Low | Passive |
| 209.2 | 민감한 정보를 포함한 데이터베이스 오류 메시지 생성 | Low | Passive |
| 287.1 | HTTP를 통한 인증의 불안전함 (기본 인증) | Medium | Passive |
| 287.2 | HTTP를 통한 인증의 불안전함 (다이제스트 인증) | Low | Passive |
| 319.1 | 혼합 콘텐츠 | Info | Passive |
| 352.1 | 안티 CSRF 토큰 누락 | Medium | Passive |
| 359.1 | 미인가된 사용자에게 개인 개인 정보 (PII) 노출 (신용 카드) | Medium | Passive |
| 359.2 | 미인가된 사용자에게 개인 개인 정보 (PII) 노출 (미국 사회 보장 번호) | Medium | Passive |
| … (중략) | |||
| 798.118 | 민감한 비밀 노출 또는 토큰 Twitch API 토큰 | High | Passive |
| 798.119 | 민감한 비밀 노출 또는 토큰 Twitter API 키 | High | Passive |
| 798.120 | 민감한 비밀 노출 또는 토큰 Twitter API 시크릿 | High | Passive |
| 798.121 | 민감한 비밀 노출 또는 토큰 Twitter 액세스 토큰 | High | Passive |
| 798.122 | 민감한 비밀 노출 또는 토큰 Twitter 액세스 시크릿 | High | Passive |
| 798.123 | 민감한 비밀 노출 또는 토큰 Twitter Bearer 토큰 | High | Passive |
| 798.124 | 민감한 비밀 노출 또는 토큰 Typeform API 토큰 | High | Passive |
| 798.125 | 민감한 비밀 노출 또는 토큰 Yandex API 키 | High | Passive |
| 798.126 | 민감한 비밀 노출 또는 토큰 Yandex AWS 액세스 토큰 | High | Passive |
| 798.127 | 민감한 비밀 노출 또는 토큰 Yandex 액세스 토큰 | High | Passive |
| 798.128 | 민감한 비밀 노출 또는 토큰 Zendesk 시크릿 키 | High | Passive |
| 829.1 | 신뢰되지 않은 제어 영역에서 기능 추가 | Low | Passive |
| 829.2 | 잘못된 하위 자원 무결성 값 검출 | Medium | Passive |
활성화된 체크
| ID | 체크 | 심각도 | 유형 |
|---|---|---|---|
| 113.1 | HTTP 헤더의 CRLF 시퀀스에 대한 적절한 중립화가 이루어지지 않음 | 높음 | 활성 |
| 1336.1 | 서버 측 템플릿 인젝션 | 높음 | 활성 |
| 16.11 | TRACE HTTP 메서드가 활성화됨 | 높음 | 활성 |
| 22.1 | 제한된 디렉토리로의 경로명의 적절한 제한이 이루어지지 않음 (경로 순회) | 높음 | 활성 |
| 611.1 | 외부 XML 엔티티 인젝션 (XXE) | 높음 | 활성 |
| 74.1 | XSLT 인젝션 | 높음 | 활성 |
| 78.1 | OS 명령어 인젝션 | 높음 | 활성 |
| 89.1 | SQL 인젝션 | 높음 | 활성 |
| 917.1 | 표현 언어 인젝션 | 높음 | 활성 |
| 918.1 | 서버 측 요청 위조 | 높음 | 활성 |
| 94.1 | 서버 측 코드 인젝션 (PHP) | 높음 | 활성 |
| 94.2 | 서버 측 코드 인젝션 (루비) | 높음 | 활성 |
| 94.3 | 서버 측 코드 인젝션 (파이썬) | 높음 | 활성 |
| 94.4 | 서버 측 코드 인젝션 (NodeJS) | 높음 | 활성 |
| 943.1 | 데이터 쿼리 로직에서 특수 요소의 적절한 중립화가 이루어지지 않음 | 높음 | 활성 |
| 98.1 | PHP 원격 파일 포함 | 높음 | 활성 |
도움말