• 온 디맨드 스캔
  • 온 디맨드 DAST 스캔 보기
  • 온 디맨드 DAST 스캔 실행
    • 온 디맨드 스캔 생성
  • 온디맨드 스캔 상세 정보 보기
  • 온디맨드 스캔 편집
  • 온디맨드 스캔 삭제
• 사이트 프로필
  • 사이트 프로필 유효성 검사
  • 사이트 프로필 생성
  • 사이트 프로필 편집
  • 사이트 프로필 삭제
  • 사이트 프로필 검증
  • 실패한 검증 다시 시도
  • 사이트 프로필의 유효성 상태 취소
  • 유효성이 검증된 사이트 프로필 헤더
    • 온디맨드 스캔용 Ruby on Rails 예시
    • 온디맨드 스캔용 Django 예시
    • 온디맨드 스캔용 Node (with Express) 예시
• 스캐너 프로필
  • 스캐너 프로필 생성
  • 스캐너 프로필 편집
  • 스캐너 프로필 삭제
• 감사

DAST 온 디맨드 스캔

경고: 프로덕션 서버에 대한 DAST 스캔을 실행하지 마십시오. 사용자가 할 수 있는 어떤 기능도 수행할 뿐만 아니라 버튼을 클릭하거나 양식을 제출하는 등의 작업을 수행할 수 있으며, 이는 버그를 유발하여 프로덕션 데이터를 수정하거나 손실을 발생시킬 수 있습니다. DAST 스캔은 테스트 서버에서만 실행하세요.

온 디맨드 스캔

• GitLab 14.1에서DAST 프로필 관리를 위한 감사가 소개되었습니다.
• GitLab 14.3에서예약된 온 디맨드 DAST 스캔이 소개되었습니다. 기본적으로 비활성화된 dast_on_demand_scans_scheduler 플래그가 있습니다.
• GitLab 14.5에서일반적으로 사용 가능한 예약된 온 디맨드 DAST 스캔이 소개되었습니다. dast_on_demand_scans_scheduler 기능 플래그가 제거되었습니다.
• GitLab 16.3에서GitLab.com 및 Self-managed에서 활성화된 러너 태그 선택이 소개되었습니다.
• GitLab 16.8에서기능 플래그 dast_ods_browser_based_scanner 뒤에 배포된 브라우저 기반 온 디맨드 DAST 스캔이 소개되었습니다.

온 디맨드 DAST 스캔은 DevOps 라이프사이클 외부에서 실행됩니다. 귀하의 저장소의 변경 사항은 스캔을 트리거하지 않습니다. 스캔을 수동으로 시작하거나 실행할 수 있도록 예약해야 합니다. 온 디맨드 DAST 스캔에서는 사이트 프로필이 스캔 대상을 정의하고, 스캐너 프로필이 애플리케이션을 스캔하는 방법을 정의합니다.

온 디맨드 스캔은 활성 또는 수동 모드로 실행할 수 있습니다:

• 수동 모드: 기본 모드로 수동적인 브라우저 기반 스캔을 실행합니다.
• 활성 모드: 잠재적으로 사이트에 피해를 줄 수 있는 능동적인 브라우저 기반 스캔을 실행합니다. 우연한 손상을 최소화하기 위해 활성 스캔 실행에는 검증된 사이트 프로필이 필요합니다.

온 디맨드 DAST 스캔 보기

온 디맨드 스캔을 보려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트 또는 그룹을 찾습니다.
2. 보안 > 온 디맨드 스캔을 선택합니다.

온 디맨드 스캔은 상태별로 그룹화됩니다. 스캔 라이브러리에는 모든 가능한 온 디맨드 스캔이 포함됩니다.

온 디맨드 DAST 스캔 실행

전제 조건:

• 보호된 브랜치에 대한 온 디맨드 DAST 스캔을 실행할 권한이 있어야 합니다. 기본 브랜치는 자동으로 보호됩니다. 자세한 내용은 보호된 브랜치의 파이프라인 보안을 참조하십시오.

기존 온 디맨드 스캔을 실행하려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
2. 보안 > 온 디맨드 스캔을 선택합니다.
3. 스캔 라이브러리 탭을 선택합니다.

4. 스캔 행에서 스캔 실행을 선택합니다.

   스캔에 저장된 브랜치가 더 이상 존재하지 않으면 다음을 수행해야 합니다:

   1. 스캔 편집을 선택합니다.
   2. 새 브랜치를 선택합니다.
   3. 편집된 스캔을 저장합니다.

온 디맨드 DAST 스캔이 실행되고 프로젝트 대시보드에 결과가 표시됩니다.

온 디맨드 스캔 생성

온 디맨드 DAST 스캔을 만들어:

• 즉시 실행합니다.
• 나중에 실행하도록 저장합니다.
• 지정된 일정에 따라 실행하도록 예약합니다.

온 디맨드 DAST 스캔을 생성하려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트 또는 그룹을 찾습니다.
2. 보안 > 온 디맨드 스캔을 선택합니다.
3. 새 스캔을 선택합니다.
4. 스캔 이름과 설명 필드를 완성합니다.
5. 브랜치 드롭다운 목록에서 원하는 브랜치를 선택합니다.
6. 선택 사항. 러너 태그를 선택합니다.
7. 스캐너 프로필 선택 또는 스캐너 프로필 변경을 선택하여 서랍을 열고 다음을 수행합니다:
   • 서랍에서 스캐너 프로필을 선택하거나, 또는
   • 새 프로필을 선택하여 스캐너 프로필을 생성한 다음 프로필 저장을 선택합니다.
8. 사이트 프로필 선택 또는 사이트 프로필 변경을 선택하여 서랍을 열고 다음을 수행합니다:
   • 사이트 프로필 라이브러리 서랍에서 사이트 프로필을 선택하거나,
   • 새 프로필을 선택하여 사이트 프로필을 생성한 다음 프로필 저장을 선택합니다.

9. 온 디맨드 스캔을 실행하려면:

   • 즉시 실행하려면 스캔 저장 및 실행을 선택합니다.
   • 나중에 실행하려면 스캔 저장을 선택합니다.

   • 일정에 따라 실행하도록 예약하려면:

     • 스캔 일정 사용 토글을 켭니다.
     • 일정 필드를 완성합니다.
     • 스캔 저장을 선택합니다.

온 디맨드 DAST 스캔은 지정된대로 실행되고 프로젝트 대시보드에 결과가 표시됩니다.

온디맨드 스캔 상세 정보 보기

온디맨드 스캔의 상세 정보를 보려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
2. 보안 > 온디맨드 스캔을 선택합니다.
3. 스캔 라이브러리 탭을 선택합니다.
4. 저장된 스캔의 행에서 더보기 작업 ()을 선택한 후 편집을 선택합니다.

온디맨드 스캔 편집

온디맨드 스캔을 편집하려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
2. 보안 > 온디맨드 스캔을 선택합니다.
3. 스캔 라이브러리 탭을 선택합니다.
4. 저장된 스캔의 행에서 더보기 작업 ()을 선택한 후 편집을 선택합니다.
5. 저장된 스캔의 세부 정보를 편집합니다.
6. 스캔 저장을 선택합니다.

온디맨드 스캔 삭제

온디맨드 스캔을 삭제하려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
2. 보안 > 온디맨드 스캔을 선택합니다.
3. 스캔 라이브러리 탭을 선택합니다.
4. 저장된 스캔의 행에서 더보기 작업 ()을 선택한 후 삭제를 선택합니다.
5. 확인 대화상자에서 삭제를 선택합니다.

사이트 프로필

• 사이트 프로필 기능, 스캔 방법 및 파일 URL은 GitLab 15.6에서 GitLab.com 및 Self-Managed에 활성화되었습니다.
• GraphQL 엔드포인트 경로 기능은 GitLab 15.7에서 도입되었습니다.

사이트 프로필은 DAST에 의해 스캔될 배포된 애플리케이션, 웹사이트 또는 API의 속성 및 구성 세부정을 정의합니다. 사이트 프로필은 .gitlab-ci.yml 및 온디맨드 스캔에서 참조될 수 있습니다.

사이트 프로필에는 다음이 포함되어 있습니다:

• 프로필 이름: 스캔할 사이트에 할당하는 이름입니다. 사이트 프로필은 .gitlab-ci.yml 또는 온디맨드 스캔에서 참조되지만 이름을 바꿀 수 없습니다.
• 사이트 유형: 스캔할 대상의 유형으로, 웹사이트 또는 API 스캔 중 하나입니다.
• 대상 URL: DAST가 실행되는 URL입니다.
• 제외된 URL: 스캔에서 제외할 URL의 쉼표로 구분된 목록입니다.
• 요청 헤더: HTTP 요청 헤더의 이름과 값이 포함된 쉼표로 구분된 목록입니다. 이러한 헤더는 DAST에 의해 수행되는 모든 요청에 추가됩니다.
• 인증:
  • 인증된 URL: 대상 웹사이트에 로그인 HTML 양식이 포함된 페이지의 URL입니다. 로그인 양식에서 사용자 이름과 암호가 제출되어 인증된 스캔을 만듭니다.
  • 사용자 이름: 웹사이트에 인증하기 위해 사용되는 사용자 이름입니다.
  • 암호: 웹사이트에 인증하기 위해 사용되는 암호입니다.
  • 사용자 이름 양식 필드: 로그인 HTML 양식의 사용자 이름 필드의 이름입니다.
  • 암호 양식 필드: 로그인 HTML 양식의 암호 필드의 이름입니다.
  • 양식 제출 필드: 선택되면 로그인 HTML 양식을 제출하는 요소의 id 또는 name입니다.
• 스캔 방법: API 테스트를 수행하기 위한 방법의 유형입니다. 지원되는 방법은 OpenAPI, Postman Collections, HTTP Archive (HAR) 또는 GraphQL입니다.
  • GraphQL 엔드포인트 경로: GraphQL 엔드포인트의 경로입니다. 이 경로는 테스트할 스캔의 URI를 제공하기 위해 대상 URL과 연결됩니다. GraphQL 엔드포인트는 내재 쿼리를 지원해야 합니다.
  • 파일 URL: OpenAPI, Postman Collection 또는 HTTP Archive 파일의 URL입니다.

API 사이트 유형을 선택한 경우, 호스트 재정의가 사용되어 스캔 대상인 API가 대상과 동일한 호스트에 있는지 확인됩니다. 이는 잘못된 API에 대한 활성 스캔을 줄이기 위해 수행됩니다.

구성된 경우, 요청 헤더 및 암호 필드는 데이터베이스에 저장되기 전에 aes-256-gcm을 사용하여 암호화됩니다. 이 데이터는 유효한 비밀 파일로만 읽히고 복호화될 수 있습니다.

사이트 프로필 유효성 검사

• 메타 태그 유효성 검사는 GitLab 14.2에서 도입되었습니다.

사이트 프로필 유효성 검사는 잘못된 웹사이트에 대한 활성 스캔을 줄이기 위한 것입니다. 활성 스캔을 실행하기 전에 사이트가 유효성이 검증되어야 합니다. 사이트의 각 유효성 검증 방법은 기능적으로 동등하기 때문에 가장 적합한 것을 사용하십시오:

• 텍스트 파일 유효성 검사: 대상 사이트에 텍스트 파일을 업로드해야 합니다. 텍스트 파일은 프로젝트에 고유한 이름과 내용이 할당됩니다. 유효성 검사 과정에서 파일의 내용이 확인됩니다.
• 헤더 유효성 검사: 대상 사이트에 Gitlab-On-Demand-DAST 헤더가 추가되어야 하며 이는 프로젝트에 고유한 값을 가져야 합니다. 유효성 검사 과정에서 헤더가 있는지 확인되며 그 값도 확인됩니다.
• 메타 태그 유효성 검사: 대상 사이트에 gitlab-dast-validation이라는 메타 태그가 추가되어야 하며 이는 프로젝트에 고유한 값을 가져야 합니다. <head> 섹션에 추가되었는지 확인하고 값도 확인됩니다.

사이트 프로필 생성

사이트 프로필을 생성하려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
2. 보안 > 보안 구성을 선택합니다.
3. Dynamic Application Security Testing (DAST) 섹션에서 프로필 관리를 선택합니다.
4. 새로 만들기 > 사이트 프로필을 선택합니다.
5. 필드를 작성한 다음 프로필 저장을 선택합니다.

사이트 프로필이 저장되어 온 디맨드 스캔에 사용됩니다.

사이트 프로필 편집

참고: 만약 사이트 프로필이 보안 정책에 연결되어 있다면, 이 페이지에서 프로필을 편집할 수 없습니다. 자세한 내용은 스캔 실행 정책을 참고하세요.

참고: 사이트 프로필의 대상 URL 또는 인증된 URL이 업데이트되면, 해당 프로필에 연결된 요청 헤더 및 암호 필드가 지워집니다.

검증된 사이트 프로필의 파일, 헤더 또는 메타 태그가 편집되면 사이트의 검증 상태가 취소됩니다.

사이트 프로필을 편집하려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
2. 보안 > 보안 구성을 선택합니다.
3. Dynamic Application Security Testing (DAST) 섹션에서 프로필 관리를 선택합니다.
4. 사이트 프로필 탭을 선택합니다.
5. 프로필 행에서 더보기 () 메뉴를 선택한 다음 편집을 선택합니다.
6. 필드를 편집한 다음 프로필 저장을 선택합니다.

사이트 프로필 삭제

참고: 사이트 프로필이 보안 정책에 연결되어 있다면, 이 페이지에서 프로필을 삭제할 수 없습니다. 자세한 내용은 스캔 실행 정책을 참고하세요.

사이트 프로필을 삭제하려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
2. 보안 > 보안 구성을 선택합니다.
3. Dynamic Application Security Testing (DAST) 섹션에서 프로필 관리를 선택합니다.
4. 사이트 프로필 탭을 선택합니다.
5. 프로필 행에서 더보기 () 메뉴를 선택한 다음 삭제를 선택합니다.
6. 삭제를 확인하기 위해 삭제를 선택합니다.

사이트 프로필 검증

사이트를 검증하여 액티브 스캔을 실행하는 것이 필요합니다.

전제 조건:

• 프로젝트에 실행할 러너가 있어야 합니다.
• GitLab 서버의 인증서가 신뢰받고 자체 서명된 인증서를 사용하면 안 됩니다.

사이트 프로필을 검증하려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
2. 보안 > 보안 구성을 선택합니다.
3. Dynamic Application Security Testing (DAST) 섹션에서 프로필 관리를 선택합니다.
4. 사이트 프로필 탭을 선택합니다.
5. 프로필 행에서 검증을 선택합니다.
6. 검증 방법을 선택합니다.
   1. 텍스트 파일 검증의 경우:
      1. 단계 2에 나열된 검증 파일을 다운로드합니다.
      2. 검증 파일을 호스트에 업로드하여 단계 3의 위치 또는 선호하는 위치에 업로드합니다.
      3. 필요한 경우, 단계 3의 파일 위치를 편집합니다.
      4. 검증을 선택합니다.
   2. 헤더 검증의 경우:
      1. 단계 2의 클립보드 아이콘을 선택합니다.
      2. 검증할 사이트 헤더를 편집하고 클립보드 내용을 붙여넣습니다.
      3. 단계 3의 입력 필드를 선택하고 헤더 위치를 입력합니다.
      4. 검증을 선택합니다.
   3. 메타 태그 검증의 경우:
      1. 단계 2의 클립보드 아이콘을 선택합니다.
      2. 검증할 사이트 내용을 편집하고 클립보드 내용을 붙여넣습니다.
      3. 단계 3의 입력 필드를 선택하고 메타 태그의 위치를 입력합니다.
      4. 검증을 선택합니다.

사이트가 검증되고 액티브 스캔이 실행될 수 있습니다. 사이트 프로필의 검증 상태는 수동으로 폐기되거나, 파일, 헤더 또는 메타 태그가 수동으로 폐기될 때에만 취소됩니다.

실패한 검증 다시 시도

• GitLab 14.3에서 도입.
• 기본적으로 활성화된 상태인 feature flag dast_failed_site_validations 뒤에 배치되어 배포됩니다. - GitLab 14.4에서 dast_failed_site_validations 기능 플래그가 제거되었습니다.

실패한 사이트 검증 시도는 프로필 관리 페이지의 사이트 프로필 탭에 나열됩니다.

사이트 프로필의 실패한 검증을 다시 시도하려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
2. 보안 > 보안 구성을 선택합니다.
3. Dynamic Application Security Testing (DAST) 섹션에서 프로필 관리를 선택합니다.
4. 사이트 프로필 탭을 선택합니다.
5. 프로필 행에서 검증 다시 시도를 선택합니다.

사이트 프로필의 유효성 상태 취소

경고: 사이트 프로필의 유효성 상태를 취소하면 동일한 URL을 공유하는 모든 사이트 프로필의 유효성 상태도 취소됩니다.

사이트 프로필의 유효성 상태를 취소하려면:

1. 왼쪽 사이드바에서 검색 또는 이동하여 이동을 선택하고 프로젝트를 찾습니다.
2. 보안 > 보안 구성을 선택합니다.
3. 동적 응용 프로그램 보안 테스트 (DAST) 섹션에서 프로필 관리를 선택합니다.
4. 확인된 프로필 옆에서 유효성 취소를 선택합니다.

사이트 프로필의 유효성 상태는 취소됩니다.

유효성이 검증된 사이트 프로필 헤더

다음은 필요한 사이트 프로필 헤더를 응용 프로그램에 제공하는 코드 샘플입니다.

온디맨드 스캔용 Ruby on Rails 예시

다음은 Ruby on Rails 응용 프로그램에 사용자 지정 헤더를 추가하는 방법입니다:

class DastWebsiteTargetController < ActionController::Base
  def dast_website_target
    response.headers['Gitlab-On-Demand-DAST'] = '0dd79c9a-7b29-4e26-a815-eaaf53fcab1c'
    head :ok
  end
end

온디맨드 스캔용 Django 예시

다음은 Django에서 사용자 지정 헤더 추가하는 방법입니다:

class DastWebsiteTargetView(View):
    def head(self, *args, **kwargs):
      response = HttpResponse()
      response['Gitlab-On-Demand-DAST'] = '0dd79c9a-7b29-4e26-a815-eaaf53fcab1c'

      return response

온디맨드 스캔용 Node (with Express) 예시

다음은 Node (with Express)에서 사용자 지정 헤더 추가하는 방법입니다:

app.get('/dast-website-target', function(req, res) {
  res.append('Gitlab-On-Demand-DAST', '0dd79c9a-7b29-4e26-a815-eaaf53fcab1c')
  res.send('Respond to DAST ping')
})

스캐너 프로필

• 브라우저 기반 온디맨드 DAST 스캔이 기능 플래그 dast_ods_browser_based_scanner 뒤에 추가로 AJAX 스파이더 옵션이 더 이상 지원되지 않습니다.
• 브라우저 기반 온디맨드 DAST 스캔이 기능 플래그 dast_ods_browser_based_scanner 뒤에 추가로 스파이더 시간 제한이 크롤 시간 제한으로 이름이 변경되었습니다.

스캐너 프로필은 보안 스캐너의 구성 세부 정보를 정의합니다. 스캐너 프로필은 .gitlab-ci.yml에서 참조되거나 온디맨드 스캔에서 사용될 수 있습니다.

스캐너 프로필에는 다음이 포함됩니다:

• 프로필 이름: 스캐너 프로필에 지정하는 이름입니다. 예: “스파이더_15”. 스캐너 프로필이 .gitlab-ci.yml 또는 온디맨드 스캔에서 참조되는 동안에는 이름을 바꿀 수 없습니다.
• 스캔 모드: 수동 스캔은 대상으로 보낸 모든 HTTP 메시지(요청 및 응답)를 모니터링합니다. 능동 스캔은 잠재적인 취약점을 찾기 위해 대상을 공격합니다.
• 크롤 타임아웃: 크롤러가 사이트를 횡단하는 데 허용된 최대 분수입니다.
• 대상 타임아웃: DAST가 스캔을 시작하기 전에 사이트가 이용 가능해질 때까지 기다리는 최대 초수입니다.
• 디버그 메시지: DAST 콘솔 출력에 디버그 메시지를 포함합니다.

스캐너 프로필 생성

스캐너 프로필을 생성하려면:

1. 왼쪽 사이드바에서 검색 또는 이동하여 이동을 선택하고 프로젝트를 찾습니다.
2. 보안 > 보안 구성을 선택합니다.
3. 동적 응용 프로그램 보안 테스트 (DAST) 섹션에서 프로필 관리를 선택합니다.
4. 새로 만들기 > 스캐너 프로필을 선택합니다.
5. 양식을 작성합니다. 각 필드의 자세한 내용은 스캐너 프로필을 참조하십시오.
6. 프로필 저장을 선택합니다.

스캐너 프로필 편집

참고: 스캐너 프로필이 보안 정책에 연결되어 있는 경우에는 이 페이지에서 프로필을 편집할 수 없습니다. 자세한 내용은 스캔 실행 정책을 참조하십시오.

스캐너 프로필을 편집하려면:

1. 왼쪽 사이드바에서 검색 또는 이동하여 이동을 선택하고 프로젝트를 찾습니다.
2. 보안 > 보안 구성을 선택합니다.
3. 동적 응용 프로그램 보안 테스트 (DAST) 섹션에서 프로필 관리를 선택합니다.
4. 스캐너 프로필 탭을 선택합니다.
5. 스캐너의 행에서 더 많은 작업 () 메뉴를 선택한 다음 편집을 선택합니다.
6. 양식을 편집합니다.
7. 프로필 저장을 선택합니다.

스캐너 프로필 삭제

참고: 스캐너 프로필이 보안 정책에 연결되어 있는 경우에는 이 페이지에서 프로필을 삭제할 수 없습니다. 자세한 내용은 스캔 실행 정책을 참조하십시오.

스캐너 프로필을 삭제하려면:

1. 왼쪽 사이드바에서 검색 또는 이동하여 이동을 선택하고 프로젝트를 찾습니다.
2. 보안 > 보안 구성을 선택합니다.
3. 동적 응용 프로그램 보안 테스트 (DAST) 섹션에서 프로필 관리를 선택합니다.
4. 스캐너 프로필 탭을 선택합니다.
5. 스캐너의 행에서 더 많은 작업 () 메뉴를 선택한 다음 삭제를 선택합니다.
6. 삭제를 선택합니다.

감사

• GitLab 14.1에서 도입되었습니다.

DAST 프로필, DAST 스캐너 프로필 및 DAST 사이트 프로필의 생성, 업데이트 및 삭제 내역은 감사 로그에 포함되어 있습니다.