クラウド型脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

VAddyにSSRF脆弱性(CWE-918)検査機能を追加

VAddyはクラウド型の脆弱性診断ツールです。 VAddyのエンタープライズプランには9つの検査項目がありますが、これに加えてSSRF(サーバサイドリクエストフォージェリ)の検査を追加しました。 ▼VAddy Enterpriseプラン検査項目一覧 SQLインジェクション検査 XS…

VAddy WebAPIアップデート 検査結果のJSONにクロールラベルフィールドを追加

クラウド型脆弱性診断ツールVAddyの機能アップデートを行いました。 WebAPIで検査の結果を取得できるのですが、今回はその結果のJSONの中にクロールラベルのフィールド(crawl_label)を追加しました。 github.com WebAPIから取得できる検査結果には、脆弱性の…

脆弱性診断ツールVAddyのSQLインジェクション検査にDBカラムの検査を追加しました

クラウド型脆弱性診断ツールVAddyのSQLインジェクション検査をアップデートしました。 今まではGETやPOST時のKey=Value形式のValue側だけを対象に、SQLインジェクションの検査を実施していました。今回のアップデートにより、Key=ValueのKey側も検査対象とな…

第4回:脆弱性診断を実施する企業が急増している理由とは?

登場人物 Webマーケ担当(IT業界10年):新人 VAddy 契約担当:西野 VAddy 開発担当:市川 第4回:脆弱性診断を実施する企業が急増している理由とは? 新人:10月のブログ記事を飛ばしてしまいました。すいません・・・。 9月末にITmediaNEWSで下記の記事を…

クロールの手動キャンセル機能をリリースしました

VAddyはクラウド型の脆弱性診断ツールです。 今回、ユーザが任意のタイミングでクロール(シナリオ作成)をキャンセルする機能をリリースしました。 VAddyはクロールというシナリオ作成機能によって、アクセスした画面の範囲が検査対象となります。ですので…

第3回:脆弱性診断ツール導入後に困ることってなに?

登場人物 Webマーケ担当(IT業界10年):新人 VAddy 契約担当:西野 VAddy 開発担当:市川 第3回:脆弱性診断ツール導入後に困ることってなに? 新人:前回の記事では「知ってる人だけ得をする!脆弱性診断の"沼”にはまらないために」についてお話を伺いまし…

脆弱性診断内製化の再定義(VAddyの考える脆弱性診断の内製化)

2020年9月9日に初めてのVAddyオンラインセミナーを開催いたしました。 そこではVAddyのご紹介はもちろんのこと、脆弱性診断内製化のトレンドについても軽く触れさせていただきました。 ここ数年、脆弱性診断の内製化の動きが加速しつつありますが、今回はVAd…

第2回:知ってる人だけ得をする!脆弱性診断の"沼”にはまらないために

登場人物 Webマーケ担当(IT業界10年):新人 VAddy 契約担当:西野 VAddy 開発担当:市川 第2回:知ってる人だけ得をする!脆弱性診断の"沼”にはまらないために 新人:前回の記事では「今、需要が高まってきている脆弱性診断とは?」についてお話を伺いまし…

VAddyで同時クロールを実現した技術的な背景

先日、複数人で同時に同じプロジェクトでクロールできる機能をリリースしました。それを実現するまでに出た課題、検討事項、解決策が一般的なWeb開発とは異なる背景が多くて面白そうなので書きたいと思います。 blog-ja.vaddy.net 前提 クロールはブラウザや…

複数のユーザーによる同時クロール(テストシナリオ作成)が可能になりました

VAddyで脆弱性診断を実行するためには、検査対象の画面やパラメータを事前にVAddyに登録する「クロール」という作業(テストシナリオの作成)が必要になります。 *1 VAddyにはチーム機能/組織管理機能といった複数のメンバーでVAddyを利用する機能が用意さ…