この記事で示す内容は日本国内の情報セキュリティ技術者が攻撃のリスクを正しく評価できるようにするための情報共有を目的に提供されます。自身の管理下にないコンピュータ等に対し攻撃やスキャンを実施する行為は場合によっては犯罪行為となりますので絶対…

VAddyはクラウド型の脆弱性診断ツールです。 これまでVAddyのXSS検査では<script>タグを用いた検査ロジックを使用していました。しかし、例えば<script>タグに関しては無効化するような処理が行われているものの、それ以外の任意のhtmlタグは挿入できる、などの状態は必ずし…

VAddyはクラウド型の脆弱性診断ツールです。 VAddyのエンタープライズプランには9つの検査項目がありますが、これに加えてSSRF(サーバサイドリクエストフォージェリ)の検査を追加しました。 ▼VAddy Enterpriseプラン検査項目一覧 SQLインジェクション検査 XS…

クラウド型脆弱性診断ツールVAddyの機能アップデートを行いました。 WebAPIで検査の結果を取得できるのですが、今回はその結果のJSONの中にクロールラベルのフィールド(crawl_label)を追加しました。 github.com WebAPIから取得できる検査結果には、脆弱性の…

クラウド型脆弱性診断ツールVAddyのSQLインジェクション検査をアップデートしました。 今まではGETやPOST時のKey=Value形式のValue側だけを対象に、SQLインジェクションの検査を実施していました。今回のアップデートにより、Key=ValueのKey側も検査対象とな…

登場人物 Webマーケ担当（IT業界10年）：新人 VAddy 契約担当：西野 VAddy 開発担当：市川 第4回：脆弱性診断を実施する企業が急増している理由とは？ 新人：10月のブログ記事を飛ばしてしまいました。すいません・・・。 9月末にITmediaNEWSで下記の記事を…

VAddyはクラウド型の脆弱性診断ツールです。 今回、ユーザが任意のタイミングでクロール（シナリオ作成）をキャンセルする機能をリリースしました。 VAddyはクロールというシナリオ作成機能によって、アクセスした画面の範囲が検査対象となります。ですので…

登場人物 Webマーケ担当（IT業界10年）：新人 VAddy 契約担当：西野 VAddy 開発担当：市川 第3回：脆弱性診断ツール導入後に困ることってなに？ 新人：前回の記事では「知ってる人だけ得をする！脆弱性診断の"沼”にはまらないために」についてお話を伺いまし…

2020年9月9日に初めてのVAddyオンラインセミナーを開催いたしました。 そこではVAddyのご紹介はもちろんのこと、脆弱性診断内製化のトレンドについても軽く触れさせていただきました。 ここ数年、脆弱性診断の内製化の動きが加速しつつありますが、今回はVAd…

登場人物 Webマーケ担当（IT業界10年）：新人 VAddy 契約担当：西野 VAddy 開発担当：市川 第2回：知ってる人だけ得をする！脆弱性診断の"沼”にはまらないために 新人：前回の記事では「今、需要が高まってきている脆弱性診断とは？」についてお話を伺いまし…