동적 애플리케이션 보안 테스트
코드가 아닌 실행 중인 앱을 스캔합니다. 지속적으로 업데이트되는 12,000+ CVE 인텔리전스와 함께, 정적 분석으로 발견할 수 없는 런타임 취약점을 탐지합니다.
12,000+
CVE 및 취약점 검사
11+
지능형 능동 검사
실시간
스캔 변화 추적
작동 방식
DAST는 공격자와 동일한 방식으로 외부에서 웹사이트를 스캔합니다.
1. 도메인 소유권 인증
루트 도메인을 등록하고 DNS TXT, HTML 파일, 또는 Meta 태그로 소유권을 인증합니다. 이를 통해 본인 소유의 도메인만 스캔할 수 있습니다.
2. 스캔 유형 선택
패시브 스캔은 보안 헤더, 쿠키, SSL, 노출된 파일을 확인합니다. 액티브 스캔은 추가로 사이트를 크롤링하여 폼과 파라미터를 찾고, XSS, SQL Injection, SSRF 등을 테스트합니다.
3. 결과 확인
각 발견 사항에는 심각도, 신뢰도 점수, 상세 증거, 해결 방법이 포함됩니다. Scan Diff를 통해 이전 스캔 대비 신규, 해결됨, 변동 없음을 확인할 수 있습니다.
DAST 위치
DAST 스캔은 팀 대시보드의 도메인 탭에서 사용할 수 있습니다.
- 1.대시보드 → 팀 → 팀 선택 → 도메인 탭
- 2.도메인 추가 → 소유권 인증 → 패시브 또는 액티브 스캔 실행
- 3.도메인 설정에서 인증 및 정기 스캔 설정
도메인 인증
스캔 전 도메인 소유권 인증이 필수입니다. 이는 본인이 소유하지 않은 웹사이트의 무단 스캔을 방지하는 보안 요구사항입니다.
DNS TXT 레코드
_vexlit.yourdomain.com에 제공된 인증 토큰으로 TXT 레코드를 추가합니다. 모든 호스팅 제공업체에서 사용 가능한 권장 방법입니다.
HTML 파일
웹사이트 루트에 인증 토큰이 포함된 HTML 파일을 업로드합니다. https://yourdomain.com/{token}.html로 접근 가능해야 합니다.
Meta 태그
홈페이지의 <head> 섹션에 제공된 토큰으로 <meta name="vexlit-verification"> 태그를 추가합니다.
- •루트 도메인 인증 시 모든 서브도메인이 포함됩니다 (예: example.com 인증 → api.example.com 스캔 가능)
- •인증은 90일 후 만료되며 DNS를 통해 자동으로 재인증됩니다
- •팀 관리자만 도메인을 추가하고 인증할 수 있습니다
패시브 스캔
패시브 스캔은 요청을 수정하지 않고 HTTP 응답을 분석합니다. 언제든지 안전하게 실행할 수 있으며 애플리케이션에 영향을 주지 않습니다.
보안 헤더
HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy를 확인합니다.
쿠키 보안
모든 쿠키의 Secure, HttpOnly, SameSite 플래그를 검증합니다.
SSL/TLS
인증서 만료, TLS 버전 (TLS 1.0/1.1 플래그), 설정 문제를 확인합니다.
CORS 설정
과도하게 허용적인 Access-Control-Allow-Origin 설정을 탐지합니다.
정보 노출
노출된 .env 파일, .git 디렉토리, 서버 버전 헤더, 기술 스택 노출을 찾습니다.
액티브 스캔
액티브 스캔은 웹사이트를 크롤링하고 엔드포인트를 발견한 후, 정밀하게 설계된 요청을 보내 취약점을 테스트합니다. 애플리케이션 보호를 위해 속도가 제한됩니다.
인젝션 공격
SQL Injection (에러 기반 및 시간 기반), Command Injection, Server-Side Template Injection (SSTI)을 테스트합니다.
크로스 사이트 스크립팅 (XSS)
안전한 테스트 페이로드를 삽입하여 URL 파라미터와 폼 필드에서 반사형 XSS를 탐지합니다.
접근 제어
SSRF (서버 사이드 요청 위조), IDOR (안전하지 않은 직접 객체 참조), 오픈 리다이렉트, 경로 탐색을 테스트합니다.
설정 오류
CORS 원본 반사, HTTP 메서드 변조 (TRACE/PUT/DELETE), 디렉토리 목록 노출을 확인합니다.
CVE 탐지
12,000개 이상의 Nuclei 커뮤니티 템플릿을 활용하여 알려진 CVE, 기본 자격 증명, 일반적인 설정 오류를 탐지합니다.
인증 스캔
인증 자격 증명을 설정하여 로그인 뒤에 숨겨진 페이지까지 스캔할 수 있습니다.
Form POST 로그인
전통적인 로그인 폼 (WordPress, Django, Rails 등)에 사용합니다. 로그인 URL, 필드명, 자격 증명을 입력합니다.
JSON API 로그인
REST API 인증 (Supabase, Firebase, 커스텀 API)에 사용합니다. 엔드포인트, 필드명, 자격 증명, 응답 내 토큰 경로를 입력합니다.
쿠키 직접 입력
OAuth나 SSO 기반 사이트에 사용합니다. 브라우저 DevTools에서 세션 쿠키를 복사하여 직접 붙여넣습니다.
인증 자격 증명은 암호화되어 저장됩니다. 스캐너는 스캔 중 세션 획득에만 사용하며, 이후 인증된 페이지를 크롤링합니다.
정기 스캔
자동 반복 스캔을 설정하여 도메인의 새로운 취약점을 지속적으로 모니터링합니다.
- ⏱매일 — 24시간마다 실행
- ⏱매주 — 7일마다 실행
- ⏱매월 — 30일마다 실행
각 정기 스캔은 이전 스캔 결과와 자동으로 비교되어 Scan Diff를 통해 신규, 해결됨, 변동 없음을 표시합니다.
지난 스캔 이후 무엇이 변했는지 확인하세요
모든 스캔은 자동으로 이전 스캔과 비교됩니다. 새로운 취약점, 수정 확인, 변경 없는 이슈를 즉시 확인하세요.
- ●신규 — 이전 스캔에 없던 취약점
- ●해결됨 — 이전에 있었지만 현재 해결된 취약점
- ●변동 없음 — 이전 스캔에서 지속되는 취약점
신뢰도 점수
각 발견 사항에는 탐지 신뢰도를 나타내는 점수가 포함됩니다.
- ●높음 — 직접적 증거 (에러 메시지, 반사된 페이로드, 파일 내용)
- ●보통 — 간접적 증거 (타이밍 이상, 응답 차이)
- ●낮음 — 휴리스틱 탐지 (구조적 패턴, 잠재적 이슈)
OpenAPI / Swagger 스캔
Swagger 또는 OpenAPI 스펙 URL을 제공하면 크롤링 없이 API 엔드포인트를 직접 스캔합니다.
→OpenAPI 3.x 및 Swagger 2.0 스펙 지원
→엔드포인트, 메서드, 파라미터 자동 추출
→각 엔드포인트에 모든 능동 검사 (XSS, SQLi, SSRF 등) 실행
→인증 설정 (쿠키 또는 Bearer 토큰) 자동 재사용
플랜별 접근 권한
DAST 스캔은 Team 플랜 이상에서 사용 가능합니다. 모든 스캔 유형은 도메인 검증이 필요합니다.
| 기능 | Free/Pro | Team | Enterprise |
|---|---|---|---|
| 수동 스캔 | — | ✓ | ✓ |
| 능동 스캔 | — | ✓ | ✓ |
| API 스캔 (OpenAPI) | — | ✓ | ✓ |
| 검증된 도메인 | 0 | 5 | 무제한 |
| 월간 스캔 횟수 | 0 | 30/mo | 무제한 |
| 정기 스캔 | — | ✓ | ✓ |
안전성 및 규정 준수
VEXLIT DAST는 프로덕션 환경에서 안전하게 사용할 수 있도록 설계되었습니다.
- ✓도메인 인증 필수 — 본인 소유 사이트만 스캔 가능
- ✓속도 제한 요청 — 과부하로부터 애플리케이션 보호
- ✓robots.txt 준수 — 크롤링 제한 사항 존중
- ✓내부 IP 차단 — 사설 네트워크 스캔 방지 (127.x, 10.x, 192.168.x)
- ✓파괴적 테스트 없음 — DoS 및 무차별 대입 페이로드 제외
- ✓429 자동 일시 중지 — 속도 제한 응답 존중