6,200개 이상의 보안 규칙
VEXLIT은 34개 언어에 걸쳐 225개 이상의 고유 CWE를 커버하는 6,200개 이상의 사전 구축 보안 규칙을 제공합니다. 모든 규칙은 실제 취약 코드베이스에 대해 테스트되어 오탐을 최소화합니다.
6,200+
전체 규칙 수
225+
고유 CWE
34
지원 언어
6
IaC 형식
OWASP Top 10 커버리지
OWASP Top 10 (2021) 전체 카테고리를 전용 탐지 규칙으로 완벽하게 커버합니다.
A01 취약한 접근 제어
경로 탐색, IDOR, CORS 잘못된 설정, 권한 상승
A02 암호화 실패
약한 해싱, 하드코딩된 키, 안전하지 않은 난수, 암호화 누락
A03 인젝션
SQL 인젝션, XSS, 명령어 인젝션, LDAP 인젝션, XPath 인젝션
A04 안전하지 않은 설계
레이스 컨디션, 대량 할당, 안전하지 않은 역직렬화
A05 보안 구성 오류
디버그 모드, 기본 자격증명, 상세 에러 메시지, 안전하지 않은 헤더
A06 취약한 컴포넌트
SCA: 12개 패키지 생태계의 알려진 CVE 탐지
A07 인증 실패
하드코딩된 비밀번호, 약한 JWT, 세션 고정, 안전하지 않은 쿠키
A08 데이터 무결성
안전하지 않은 역직렬화, 프로토타입 오염, 위험한 eval
A09 로깅 실패
로그 내 민감 데이터, 감사 추적 누락, 안전하지 않은 로깅
A10 SSRF
서버 측 요청 위조, DNS 리바인딩, URL 스킴 검증
언어별 커버리지
규칙은 분석 깊이에 따라 세 단계로 구분됩니다.
Tier 1: 완전한 Taint 분석
함수 간 분석, 상수 전파, 데드 브랜치 제거를 포함한 완전한 데이터 흐름 추적.
Tier 2: 향상된 탐지
AST 기반 분석, 스코프 추적, 타입 캐스팅 감지, 프레임워크별 규칙 포함.
Tier 3: IaC 보안
변수 해석 및 참조 체인 추적을 포함한 인프라 코드 구성 오류 탐지.
딥 프레임워크 규칙
각 프레임워크 고유 패턴의 취약점을 탐지하는 11개 프레임워크별 규칙 세트.
Spring Boot
SpEL 인젝션, JDBC 직접 쿼리, @ModelAttribute를 통한 대량 할당
Express.js
eval 인젝션, axios/fetch를 통한 SSRF, 프로토타입 오염
Django
Raw SQL, Template()을 통한 SSTI, 쿼리셋의 IDOR
Flask
Jinja2 SSTI, pickle 역직렬화, 안전하지 않은 리다이렉트
Ruby on Rails
ActiveRecord 인젝션, render inline XSS, 대량 할당
ASP.NET
BinaryFormatter 역직렬화, XXE, LDAP 인젝션
Next.js
Server Action SSRF, dangerouslySetInnerHTML XSS
FastAPI
Raw 쿼리 SQL 인젝션, httpx를 통한 SSRF
Gin / Echo (Go)
Raw DB 쿼리 SQL 인젝션, SSRF
Laravel
DB::raw 인젝션, Blade XSS ({!! !!})
Symfony
Doctrine DQL 인젝션, Twig SSTI
심각도 레벨
모든 발견사항은 공격 가능성과 영향도에 따라 4단계로 분류됩니다.
Critical (치명적)
사용자 입력에서 위험한 싱크까지 데이터 흐름이 확인된 적극적으로 악용 가능한 취약점. 즉시 수정 필요.
High (높음)
잠재적으로 악용 가능한 취약점 패턴. 위험한 패턴이 감지되었으나 데이터 흐름이 완전히 확인되지 않음.
Medium (중간)
특정 조건에서 취약점으로 이어질 수 있는 보안 민감 코드 패턴.
Low (낮음)
모범 사례 위반 또는 낮은 위험 발견사항. 검토할 가치가 있으나 직접 악용 가능성은 낮음.
규칙 커스터마이즈
vexlit.config.js를 통해 특정 규칙 비활성화, 심각도 재정의, 특정 경로 무시를 설정할 수 있습니다.
// vexlit.config.js
module.exports = {
rules: {
'VEXLIT-002': false, // 규칙 비활성화
'VEXLIT-019': 'critical', // 심각도 재정의
},
ignore: [
'test/',
'**/*.test.ts',
],
};