クラウド型Web脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

操作ログ機能をリリースしました

VAddyに操作ログ機能を追加しました。 画面やWebAPIの操作が記録され、過去1年分の記録が閲覧できるようになりました。(記録開始は2023年1月29日から) 例えば、ユーザ情報の変更、検査実行、WebAPIからの検査実行、登録したサーバ情報の変更、チームメンバ…

検査除外ですべての検査を除外する機能追加と不具合の修正

検査除外設定の機能追加と不具合修正を行いました。 機能追加 検査除外設定は、検査を実施したくない検査項目(例えばXSSなど)とメソッド、URLを指定して検査を除外できる機能です。 ログイン画面のみ検査しないようにしたいなど、特定のURLのみ検査を実施…

VAddyがAuth0、Cognito、Azure AD B2Cに対応! IDaaS利用アプリの脆弱性診断が可能に

今までのVAddyの脆弱性診断では、VAddyが発行する認証htmlファイルを検査対象サーバに設置が必須でした。 そのため認証ファイルが置けないAuth0、AWS Cognito、Azure AD B2CのようなIDaaS利用アプリケーションは検査時にシナリオの再現ができず、それらはロ…

WebAPIとgo-VAddyツールから脆弱性診断の検査項目が指定できるようになりました

WebAPIとgo-VAddyツールから検査項目を指定した脆弱性診断の実行が可能になりました

VAddyの検査時間が大幅に改善しました!

VAddyエンタープライズプランで提供している、 SSRF/Log4j検査 メールヘッダインジェクション検査 安全でないデシリアライゼーション検査 の検査速度改善を行い、エンタープライズプランの検査速度が大幅に改善しました! 詳細内容 速度改善を行った検査では…

The PHP Foundationに寄付を行いました

先週末からのApache Log4j騒動に忙殺されて報告が遅れてしまいました。 VAddyプロジェクトは先週金曜日(2022/12/10)にThe PHP Foundationに寄付を行いました。 2021年12月10日時点 弊社CTOでありVAddy開発者の市川のTwitter ID (@cakephper)からも分かる…

VAddyの脆弱性診断にLog4jの脆弱性(CVE-2021-44228)の検査を追加しました

VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 本日(2021/12/13)、VAddyのエンタープライズとエンタープライズ+ プランのSSRF検査の中で、Log4jの脆弱性(CVE-2021-44228)が検…

特定のURLを検査しない検査除外設定をリリースしました

VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 今までは、特定のサーバ(FQDN)を検査除外にする機能はありました。例えばログイン用の認証基盤サーバが別にあり、そちらは検査に含…

VAddyの脆弱性診断項目に非公開ファイル検査が加わりました

VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 本日(2021/6/23)、VAddyのエンタープライズとエンタープライズ+ プランに「非公開ファイル検査」を追加しました。 非公開ファイ…

本場のWordPressプラグインのSQLインジェクションはVAddyで検出できるか

この記事で示す内容は日本国内の情報セキュリティ技術者が攻撃のリスクを正しく評価できるようにするための情報共有を目的に提供されます。自身の管理下にないコンピュータ等に対し攻撃やスキャンを実施する行為は場合によっては犯罪行為となりますので絶対…