Tier 2 애플리케이션 보안 테스트를 실행하는 데 권장되는 도구에는 사전 구성된 도구와 맞춤 도구의 두 가지 카테고리가 있습니다. 사전 구성된 스캔 도구는 동적 스캔을 위한 OWASP Zed Attack Proxy (ZAP)와 정적 스캔을 위한 Fluid Attacks* 입니다. 이러한 도구용으로 구성 파일이 생성되었으며 아래의 사전 구성된 스캔 섹션에서 확인할 수 있습니다.
CWE 호환 플랫폼으로 이미 애플리케이션을 검사하고 있다면 사전 구성된 도구를 사용할 필요가 없습니다. 이 경우 스캔할 CWE를 지정하는 정책을 업로드해야 합니다. 자세한 내용은 아래의 맞춤 스캔 섹션을 참고하세요.
* 참고: 사전 구성된 정적 검사 도구는 TypeScript 또는 JavaScript 애플리케이션과 호환되지 않습니다. 애플리케이션이 TypeScript 또는 JavaScript로 프로그래밍된 경우 커스텀 정적 스캔 도구 중 하나를 사용하세요.
사전 구성된 검사
| 검색 도구 | Web |
Mobile |
Local |
API |
Extension |
Serverless |
안내 |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
OWASP ZAP ZAP Docker 컨테이너를 사용하여 애플리케이션에 대해 자동 동적 검사(DAST)를 실행합니다. 사전 정의된 구성 파일에는 이미 필요한 모든 CWE가 포함되어 있습니다. 환경 및 Docker 실행 명령어에 추가하기만 하면 됩니다. 여기에서 시작하기 |
||||||
FluidAttacks Free & Open Source CLI |
FluidAttacks 오픈소스 CLI를 활용하여 애플리케이션에 대한 자동 정적 (SAST) 스캔을 수행하세요. 필요한 모든 CWE를 포함하도록 Docker 이미지가 생성되었습니다. 컨테이너를 시작하고 그 내에서 스캔 명령어를 실행하기만 하면 됩니다. 여기에서 시작하기 |
맞춤 DAST/SAST 도구
CASA 커스텀 스캔 요구사항을 충족하는 모든 CWE 호환 앱 스캔 도구를 사용할 수 있습니다. 상용 및 오픈소스 옵션의 목록(일부)은 아래에 CWE 호환 도구의 예로 제공됩니다.
시작하기