Dynamic Application Security Testing(DAST)

웹 애플리케이션을 새로운 환경에서 배포하면 새로운 유형의 공격에 노출될 수 있는데, 이러한 취약점에 대해서 애플리케이션을 전반적으로 검사하는 기능을 수행함 (실제 운영 중인 프로덕션 환경에서 사용하지 말고, 반드시 테스트 환경에서만 사용할 것)

1. 조건

- Gitlab-runner를 Linux/amd64의 docker 실행기로 사용할 것

대상 애플리케이션이 배포될 것

CI/CD 파이프라인 정의에 dast stage를 추가할 것(반드시 deploy 단계 후, 추가해야 함)

2. 분석기 구성

- 프록시 기반 분석기 (더 이상 사용되지 않음)

- 브라우저 기반 분석기

기능 : 최신 웹 애플리케이션의 취약점을 검사하기 위해 GitLab에서 제작한 것. 검사는 브라우저에서 실행되어 싱글 페이지 애플리케이션과 같이 JavaScript에 크게 의존하는 테스트 애플리케이션을 최적화 함

DAST_WEBSITE: 검사할 대상 애플리케이션의 URL

DAST_AUTH_URL: 대상 웹사이트의 로그인 양식이 포함된 페이지의 URL

DAST_BROWSER_SCAN: 브라우저 기반 검사 실행 여부

- API 분석기

기능 : http 요청과 응답을 통해 다른 QA 프로세스에서 놓칠 수 있는 버그와 잠재적인 보안 문제를 발견하는데 도움을 줌

DAST_API_BETA: DAST API 버전

DAST_API_OPENAPI: OpenAPI 지정 파일 또는 URL

DAST_TARGET_URL: API 테스트 대상의 URL