API 취약성 평가, 테스트 및 모니터링에 유용한 도구를 소개합니다.
실행 중인 API에 요청을 보내 취약점을 탐지하는 도구.
웹 애플리케이션 및 API 보안 테스트를 위한 업계 표준 도구입니다. 프록시 기반 차단 및 스캔 기능.
모든 엔드포인트를 자동으로 크롤링하고 테스트하기 위해 OpenAPI/Swagger 정의를 가져옵니다.
OWASP에서 개발한 오픈소스 보안 테스트 도구. CI/CD 파이프라인에 쉽게 통합할 수 있습니다.
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-api-scan.py \ -t https://api.example.com/openapi.json \ -f openapi \ -r report.html
API 개발 및 테스트를 위한 필수 도구입니다. 보안 테스트에도 유용합니다.
// 상태 코드 유효성 검사 pm.test("Status is 200", () => { pm.response.to.have.status(200); }); // 보안 헤더 유효성 검사 pm.test("Security headers present", () => { pm.response.to.have.header("X-Content-Type-Options"); pm.response.to.have.header("Strict-Transport-Security"); }); // 민감한 데이터 노출 여부 확인 pm.test("No sensitive data exposed", () => { const body = pm.response.json(); pm.expect(body).to.not.have.property("password"); pm.expect(body).to.not.have.property("password_hash"); pm.expect(body).to.not.have.property("secret"); });
명령줄에서 빠른 API 테스트. 스크립트 작성 및 자동화가 간편합니다.
# 응답 헤더 확인 curl -s -D - -o /dev/null https://api.example.com/health # 인증 없이 액세스 시도 curl -s -w "%{http_code}" https://api.example.com/api/users # BOLA 테스트(다른 사용자의 리소스에 액세스) curl -s -H "Authorization: Bearer $TOKEN" \ https://api.example.com/api/users/OTHER_USER_ID
패턴 기반 정적 분석 도구. 사용자 지정 규칙을 쉽게 만들 수 있습니다.
종속성 취약성 스캔 및 코드 분석.
패키지 관리자 및 컨테이너에 대한 취약성 검사.
# Node.js 종속성 확인 npm audit --production # Semgrep으로 보안 검사 semgrep --config=p/security-audit ./src # Trivy로 컨테이너 스캔 trivy image --severity HIGH,CRITICAL myapp:latest
기계가 읽을 수 있는 형식으로 API 사양을 정의합니다. 보안 테스트를 위한 입력으로도 사용됩니다.
OpenAPI 사양을 위한 린터 도구. 보안 모범 사례를 준수하는지 확인합니다.
콩, AWS API 게이트웨이, Apigee 등입니다.
AWS WAF, Cloudflare, ModSecurity 및 기타.
ELK Stack, Splunk, Datadog 및 기타.
Specialized tools for testing and securing LLMs, AI agents, and ML pipelines.
LLM vulnerability scanner that probes for prompt injection, data leakage, hallucination, and other LLM-specific weaknesses.
# Install garak pip install garak # Run prompt injection probes against an OpenAI model garak --model_type openai --model_name gpt-4 \ --probes promptinject # Run all probes and generate report garak --model_type openai --model_name gpt-4 \ --probes all --report_prefix my_audit
Addresses: LLM01: Prompt Injection, LLM06: Excessive Agency
Prompt injection detection framework with multi-layer defense: heuristics, LLM-based analysis, and vector similarity.
Addresses: LLM01: Prompt Injection
Runtime guardrails framework for LLM applications. Define conversation boundaries using Colang rules.
Addresses: LLM02: Insecure Output Handling, ASI07: Inadequate Guardrails
Python Risk Identification Tool for generative AI. Automates red-teaming with multi-turn attack strategies.
Addresses: LLM01: Prompt Injection, LLM07: Insecure Plugin Design
| 목적 | 권장 도구 | 타이밍 |
|---|---|---|
| API 사양 보안 점검 | Spectral | 설계/사양 단계 |
| 코드 보안 분석 | Semgrep | 개발 / 홍보 |
| 종속성 취약성 점검 | Snyk / npm audit | 빌드 시간 / 주기적 |
| 수동 보안 테스트 | Burp Suite / Postman | 테스트 / QA 단계 |
| 자동화된 스캔(CI/CD) | OWASP ZAP | 사전 배포 |
| 프로덕션 환경 보호 | WAF + API Gateway | 운영 중 |
| 로그 모니터링 및 이상 징후 탐지 | SIEM (ELK / Datadog) | 운영 중 / 지속 |
| LLM vulnerability scanning | Garak / PyRIT | Pre-deployment / Periodic |
| Prompt injection detection | Rebuff | Runtime / Integration |
| LLM runtime guardrails | NeMo Guardrails | Runtime / Continuous |
| AI red-teaming automation | PyRIT | Testing / QA phase |
| AI model supply chain verification | Semgrep / ModelScan | Build time / Pre-deployment |