DAST 브라우저 기반 크롤러 취약점 검사
Tier: Ultimate
Offering: GitLab.com, Self-managed, GitLab Dedicated
DAST 브라우저 기반 크롤러는 테스트 중인 사이트의 취약점을 스캔하는 데 사용되는 취약점 검사를 제공합니다.
수동 검사
| ID | 검사 | 심각도 | 유형 |
|---|---|---|---|
| 1004.1 | HttpOnly 속성이 없는 민감한 쿠키 | 낮음 | 수동 |
| 16.1 | Content-Type 헤더 누락 | 낮음 | 수동 |
| 16.10 | Content-Security-Policy 위반 | 정보 | 수동 |
| 16.2 | 서버 헤더에서 버전 정보 노출 | 낮음 | 수동 |
| 16.3 | X-Powered-By 헤더에서 버전 정보 노출 | 낮음 | 수동 |
| 16.4 | X-Backend-Server 헤더에서 서버 정보 노출 | 정보 | 수동 |
| 16.5 | AspNet 헤더에서 버전 정보 노출 | 낮음 | 수동 |
| 16.6 | AspNetMvc 헤더에서 버전 정보 노출 | 낮음 | 수동 |
| 16.7 | Strict-Transport-Security 헤더 누락 또는 잘못됨 | 낮음 | 수동 |
| 16.8 | Content-Security-Policy 분석 | 정보 | 수동 |
| 16.9 | Content-Security-Policy-Report-Only 분석 | 정보 | 수동 |
| 200.1 | 민감한 정보가 무단 액세서리에게 노출됨 (사설 IP 주소) | 낮음 | 수동 |
| 209.1 | 민감한 정보가 포함된 오류 메시지 생성 | 낮음 | 수동 |
| 209.2 | 민감한 정보가 포함된 데이터베이스 오류 메시지 생성 | 낮음 | 수동 |
| 287.1 | HTTP를 통한 안전하지 않은 인증 (기본 인증) | 중간 | 수동 |
| 287.2 | HTTP를 통한 안전하지 않은 인증 (다이제스트 인증) | 낮음 | 수동 |
| 319.1 | 혼합 콘텐츠 | 정보 | 수동 |
| 352.1 | CSRF 방지 토큰 누락 | 중간 | 수동 |
| 359.1 | 무단 액세서리에게 개인 정보(PII) 노출 (신용 카드) | 중간 | 수동 |
| 359.2 | 무단 액세서리에게 개인 정보(PII) 노출 (미국 사회 보장 번호) | 중간 | 수동 |
| 548.1 | 디렉토리 목록을 통한 정보 노출 | 낮음 | 수동 |
| 598.1 | 민감한 쿼리 문자열(세션 ID)을 사용한 GET 요청 메서드 사용 | 중간 | 수동 |
| 598.2 | 민감한 쿼리 문자열(비밀번호)을 사용한 GET 요청 메서드 사용 | 중간 | 수동 |
| 598.3 | 민감한 쿼리 문자열(Authorization 헤더 세부정보)을 사용한 GET 요청 메서드 사용 | 중간 | 수동 |
| 601.1 | 신뢰되지 않은 사이트로의 URL 리디렉션 (‘열린 리디렉션’) | 낮음 | 수동 |
| 614.1 | Secure 속성이 없는 민감한 쿠키 | 낮음 | 수동 |
| 693.1 | X-Content-Type-Options: nosniff 누락 | 낮음 | 수동 |
| 798.1 | 기밀 비밀 또는 토큰 Adafruit API Key의 노출 | 높음 | 수동 |
| 798.2 | 기밀 비밀 또는 토큰 Adobe Client ID (OAuth Web)의 노출 | 높음 | 수동 |
| 798.3 | 기밀 비밀 또는 토큰 Adobe Client Secret의 노출 | 높음 | 수동 |
| 798.4 | 기밀 비밀 또는 토큰 Age 비밀 키의 노출 | 높음 | 수동 |
| 798.5 | 기밀 비밀 또는 토큰 Airtable API Key의 노출 | 높음 | 수동 |
| 798.6 | 기밀 비밀 또는 토큰 Algolia API Key의 노출 | 높음 | 수동 |
| 798.7 | 기밀 비밀 또는 토큰 Alibaba AccessKey ID의 노출 | 높음 | 수동 |
| 798.8 | 기밀 비밀 또는 토큰 Alibaba Secret Key의 노출 | 높음 | 수동 |
| 798.9 | 기밀 비밀 또는 토큰 Asana Client ID의 노출 | 높음 | 수동 |
| 798.10 | 기밀 비밀 또는 토큰 Asana Client Secret의 노출 | 높음 | 수동 |
| 798.11 | 기밀 비밀 또는 토큰 Atlassian API token의 노출 | 높음 | 수동 |
| 798.12 | 기밀 비밀 또는 토큰 AWS의 노출 | 높음 | 수동 |
| 798.13 | 기밀 비밀 또는 토큰 Bitbucket Client ID의 노출 | 높음 | 수동 |
| 798.14 | 기밀 비밀 또는 토큰 Bitbucket Client Secret의 노출 | 높음 | 수동 |
| 798.15 | 기밀 비밀 또는 토큰 Bittrex Access Key의 노출 | 높음 | 수동 |
| 798.16 | 기밀 비밀 또는 토큰 Bittrex Secret Key의 노출 | 높음 | 수동 |
| 798.17 | 기밀 비밀 또는 토큰 Beamer API token의 노출 | 높음 | 수동 |
| 798.18 | 기밀 비밀 또는 토큰 Codecov Access Token의 노출 | 높음 | 수동 |
| 798.19 | 기밀 비밀 또는 토큰 Coinbase Access Token의 노출 | 높음 | 수동 |
| 798.20 | 기밀 비밀 또는 토큰 Clojars API token의 노출 | 높음 | 수동 |
| 798.21 | 기밀 비밀 또는 토큰 Confluent Access Token의 노출 | 높음 | 수동 |
| 798.22 | 기밀 비밀 또는 토큰 Confluent Secret Key의 노출 | 높음 | 수동 |
| 798.23 | 기밀 비밀 또는 토큰 Contentful delivery API token의 노출 | 높음 | 수동 |
| 798.24 | 기밀 비밀 또는 토큰 Databricks API token의 노출 | 높음 | 수동 |
| 798.25 | 기밀 비밀 또는 토큰 Datadog Access Token의 노출 | 높음 | 수동 |
| 798.26 | 기밀 비밀 또는 토큰 Discord API key의 노출 | 높음 | 수동 |
| 798.27 | 기밀 비밀 또는 토큰 Discord client ID의 노출 | 높음 | 수동 |
| 798.28 | 기밀 비밀 또는 토큰 Discord client secret의 노출 | 높음 | 수동 |
| 798.29 | 기밀 비밀 또는 토큰 Doppler API token의 노출 | 높음 | 수동 |
| 798.30 | 기밀 비밀 또는 토큰 Dropbox API secret의 노출 | 높음 | 수동 |
| 798.31 | 기밀 비밀 또는 토큰 Dropbox long lived API token의 노출 | 높음 | 수동 |
| 798.32 | 기밀 비밀 또는 토큰 Dropbox short lived API token의 노출 | 높음 | 수동 |
| 798.33 | 기밀 비밀 또는 토큰 Drone CI Access Token의 노출 | 높음 | 수동 |
| 798.34 | 기밀 비밀 또는 토큰 Duffel API token의 노출 | 높음 | 수동 |
| 798.35 | 기밀 비밀 또는 토큰 Dynatrace API token의 노출 | 높음 | 수동 |
| 798.36 | 기밀 비밀 또는 토큰 EasyPost API token의 노출 | 높음 | 수동 |
| 798.37 | 기밀 비밀 또는 토큰 EasyPost test API token의 노출 | 높음 | 수동 |
| 798.38 | 기밀 비밀 또는 토큰 Etsy Access Token의 노출 | 높음 | 수동 |
| 798.39 | 기밀 비밀 또는 토큰 Facebook의 노출 | 높음 | 수동 |
| 798.40 | 기밀 비밀 또는 토큰 Fastly API key의 노출 | 높음 | 수동 |
| 798.41 | 기밀 비밀 또는 토큰 Finicity Client Secret의 노출 | 높음 | 수동 |
| 798.42 | 기밀 비밀 또는 토큰 Finicity API token의 노출 | 높음 | 수동 |
| 798.43 | 기밀 비밀 또는 토큰 Flickr Access Token의 노출 | 높음 | 수동 |
| 798.44 | 기밀 비밀 또는 토큰 Finnhub Access Token의 노출 | 높음 | 수동 |
| 798.46 | 기밀 비밀 또는 토큰 Flutterwave Secret Key의 노출 | 높음 | 수동 |
| 798.47 | 기밀 비밀 또는 토큰 Flutterwave Encryption Key의 노출 | 높음 | 수동 |
| 798.48 | 기밀 비밀 또는 토큰 Frame.io API token의 노출 | 높음 | 수동 |
| 798.49 | 기밀 비밀 또는 토큰 FreshBooks Access Token의 노출 | 높음 | 수동 |
| 798.50 | 기밀 비밀 또는 토큰 GoCardless API token의 노출 | 높음 | 수동 |
| 798.52 | 기밀 비밀 또는 토큰 GitHub personal access token의 노출 | 높음 | 수동 |
| 798.53 | 기밀 비밀 또는 토큰 GitHub OAuth Access Token의 노출 | 높음 | 수동 |
| 798.54 | 기밀 비밀 또는 토큰 GitHub App Token의 노출 | 높음 | 수동 |
| 798.55 | 기밀 비밀 또는 토큰 GitHub Refresh Token의 노출 | 높음 | 수동 |
| 798.56 | 기밀 비밀 또는 토큰 GitLab personal access token의 노출 | 높음 | 수동 |
| 798.57 | 기밀 비밀 또는 토큰 Gitter Access Token의 노출 | 높음 | 수동 |
| 798.58 | 기밀 비밀 또는 토큰 HashiCorp Terraform user/org API token의 노출 | 높음 | 수동 |
| 798.59 | 기밀 비밀 또는 토큰 Heroku API Key의 노출 | 높음 | 수동 |
| 798.60 | 기밀 비밀 또는 토큰 HubSpot API Token의 노출 | 높음 | 수동 |
| 798.61 | 기밀 비밀 또는 토큰 Intercom API Token의 노출 | 높음 | 수동 |
| 798.62 | 기밀 비밀 또는 토큰 Kraken Access Token의 노출 | 높음 | 수동 |
| 798.63 | 기밀 비밀 또는 토큰 Kucoin Access Token의 노출 | 높음 | 수동 |
| 798.64 | 기밀 비밀 또는 토큰 Kucoin Secret Key의 노출 | 높음 | 수동 |
| 798.65 | 기밀 비밀 또는 토큰 LaunchDarkly Access Token의 노출 | 높음 | 수동 |
| 798.66 | 기밀 비밀 또는 토큰 Linear API Token의 노출 | 높음 | 수동 |
| 798.67 | 기밀 비밀 또는 토큰 Linear Client Secret의 노출 | 높음 | 수동 |
| 798.68 | 기밀 비밀 또는 토큰 LinkedIn Client ID의 노출 | 높음 | 수동 |
| 798.69 | 기밀 비밀 또는 토큰 LinkedIn Client secret의 노출 | 높음 | 수동 |
| 798.70 | 기밀 비밀 또는 토큰 Lob API Key의 노출 | 높음 | 수동 |
| 798.72 | 기밀 비밀 또는 토큰 Mailchimp API key의 노출 | 높음 | 수동 |
| 798.74 | 기밀 비밀 또는 토큰 Mailgun private API token의 노출 | 높음 | 수동 |
| 798.75 | 기밀 비밀 또는 토큰 Mailgun webhook signing key의 노출 | 높음 | 수동 |
| 798.77 | 기밀 비밀 또는 토큰 Mattermost Access Token의 노출 | 높음 | 수동 |
| 798.78 | 기밀 비밀 또는 토큰 MessageBird API token의 노출 | 높음 | 수동 |
| 798.80 | 기밀 비밀 또는 토큰 Netlify Access Token의 노출 | 높음 | 수동 |
| 798.81 | 기밀 비밀 또는 토큰 New Relic user API Key의 노출 | 높음 | 수동 |
| 798.82 | 기밀 비밀 또는 토큰 New Relic user API ID의 노출 | 높음 | 수동 |
| 798.83 | 기밀 비밀 또는 토큰 New Relic ingest browser API token의 노출 | 높음 | 수동 |
| 798.84 | 기밀 비밀 또는 토큰 npm access token의 노출 | 높음 | 수동 |
| 798.86 | 기밀 비밀 또는 토큰 Okta Access Token의 노출 | 높음 | 수동 |
| 798.87 | 기밀 비밀 또는 토큰 Plaid Client ID의 노출 | 높음 | 수동 |
| 798.88 | 기밀 비밀 또는 토큰 Plaid Secret key의 노출 | 높음 | 수동 |
| 798.89 | 기밀 비밀 또는 토큰 Plaid API Token의 노출 | 높음 | 수동 |
| 798.90 | 기밀 비밀 또는 토큰 PlanetScale password의 노출 | 높음 | 수동 |
| 798.91 | 기밀 비밀 또는 토큰 PlanetScale API token의 노출 | 높음 | 수동 |
| 798.92 | 기밀 비밀 또는 토큰 PlanetScale OAuth token의 노출 | 높음 | 수동 |
| 798.93 | 기밀 비밀 또는 토큰 Postman API token의 노출 | 높음 | 수동 |
| 798.94 | 기밀 비밀 또는 토큰 Private Key의 노출 | 높음 | 수동 |
| 798.95 | 기밀 비밀 또는 토큰 Pulumi API token의 노출 | 높음 | 수동 |
| 798.96 | 기밀 비밀 또는 토큰 PyPI upload token의 노출 | 높음 | 수동 |
| 798.97 | 기밀 비밀 또는 토큰 RubyGems API token의 노출 | 높음 | 수동 |
| 798.98 | 기밀 비밀 또는 토큰 RapidAPI Access Token의 노출 | 높음 | 수동 |
| 798.99 | 기밀 비밀 또는 토큰 Sendbird Access ID의 노출 | 높음 | 수동 |
| 798.100 | 기밀 비밀 또는 토큰 Sendbird Access Token의 노출 | 높음 | 수동 |
| 798.101 | 기밀 비밀 또는 토큰 SendGrid API token의 노출 | 높음 | 수동 |
| 798.102 | 기밀 비밀 또는 토큰 Sendinblue API token의 노출 | 높음 | 수동 |
| 798.103 | 기밀 비밀 또는 토큰 Sentry Access Token의 노출 | 높음 | 수동 |
| 798.104 | 기밀 비밀 또는 토큰 Shippo API token의 노출 | 높음 | 수동 |
| 798.105 | 기밀 비밀 또는 토큰 Shopify access token의 노출 | 높음 | 수동 |
| 798.106 | 기밀 비밀 또는 토큰 Shopify custom access token의 노출 | 높음 | 수동 |
| 798.107 | 기밀 비밀 또는 토큰 Shopify private app access token의 노출 | 높음 | 수동 |
| 798.108 | 기밀 비밀 또는 토큰 Shopify shared secret의 노출 | 높음 | 수동 |
| 798.109 | 기밀 비밀 또는 토큰 Slack token의 노출 | 높음 | 수동 |
| 798.110 | 기밀 비밀 또는 토큰 Slack Webhook의 노출 | 높음 | 수동 |
| 798.111 | 기밀 비밀 또는 토큰 Stripe의 노출 | 높음 | 수동 |
| 798.112 | 기밀 비밀 또는 토큰 Square Access Token의 노출 | 높음 | 수동 |
| 798.113 | 기밀 비밀 또는 토큰 Squarespace Access Token의 노출 | 높음 | 수동 |
| 798.114 | 기밀 비밀 또는 토큰 SumoLogic Access ID의 노출 | 높음 | 수동 |
| 798.115 | 기밀 비밀 또는 토큰 SumoLogic Access Token의 노출 | 높음 | 수동 |
| 798.116 | 기밀 비밀 또는 토큰 Travis CI Access Token의 노출 | 높음 | 수동 |
| 798.117 | 기밀 비밀 또는 토큰 Twilio API Key의 노출 | 높음 | 수동 |
| 798.118 | 기밀 비밀 또는 토큰 Twitch API token의 노출 | 높음 | 수동 |
| 798.119 | 기밀 비밀 또는 토큰 Twitter API Key의 노출 | 높음 | 수동 |
| 798.120 | 기밀 비밀 또는 토큰 Twitter API Secret의 노출 | 높음 | 수동 |
| 798.121 | 기밀 비밀 또는 토큰 Twitter Access Token의 노출 | 높음 | 수동 |
| 798.122 | 기밀 비밀 또는 토큰 Twitter Access Secret의 노출 | 높음 | 수동 |
| 798.123 | 기밀 비밀 또는 토큰 Twitter Bearer Token의 노출 | 높음 | 수동 |
| 798.124 | 기밀 비밀 또는 토큰 Typeform API token의 노출 | 높음 | 수동 |
| 798.125 | 기밀 비밀 또는 토큰 Yandex API Key의 노출 | 높음 | 수동 |
| 798.126 | 기밀 비밀 또는 토큰 Yandex AWS Access Token의 노출 | 높음 | 수동 |
| 798.127 | 기밀 비밀 또는 토큰 Yandex Access Token의 노출 | 높음 | 수동 |
| 798.128 | 기밀 비밀 또는 토큰 Zendesk Secret Key의 노출 | 높음 | 수동 |
| 829.1 | 신뢰할 수 없는 제어 영역에서 기능 포함 | 낮음 | 수동 |
| 829.2 | 잘못된 서브 리소스 무결성 값 감지 | 중간 | 수동 |
활성 검사
| ID | 검사 | 심각도 | 유형 |
|---|---|---|---|
| 113.1 | HTTP 헤더에서 CRLF 시퀀스의 잘못된 중화 | 높음 | 활성 |
| 1336.1 | 서버 측 템플릿 주입 | 높음 | 활성 |
| 16.11 | TRACE HTTP 메소드 활성화 | 높음 | 활성 |
| 22.1 | 제한된 디렉토리에 대한 경로 이름의 잘못된 제한 (경로 탐색) | 높음 | 활성 |
| 611.1 | 외부 XML 엔티티 주입 (XXE) | 높음 | 활성 |
| 74.1 | XSLT 주입 | 높음 | 활성 |
| 78.1 | OS 명령어 주입 | 높음 | 활성 |
| 89.1 | SQL 주입 | 높음 | 활성 |
| 917.1 | 표현 언어 주입 | 높음 | 활성 |
| 918.1 | 서버 측 요청 위조 | 높음 | 활성 |
| 94.1 | 서버 측 코드 주입 (PHP) | 높음 | 활성 |
| 94.2 | 서버 측 코드 주입 (Ruby) | 높음 | 활성 |
| 94.3 | 서버 측 코드 주입 (Python) | 높음 | 활성 |
| 94.4 | 서버 측 코드 주입 (NodeJS) | 높음 | 활성 |
| 943.1 | 데이터 쿼리 논리에서 특수 요소의 잘못된 중화 | 높음 | 활성 |
| 98.1 | PHP 원격 파일 포함 | 높음 | 활성 |
도움말