VAddyの脆弱性診断では、事前に検査したい画面をクロールという形でシナリオを作り、それを元にスキャンを実行します。 本日、複数のシナリオ(クロールデータ)をまとめて実行できるスキャン一括機能をリリースしました。(2024年9月時点では本機能はAdvanc…
市川です。今年のPHPカンファレンス、1月から6月まで毎月開催されてて一部では月刊PHPカンファレンスとも言われています。 VAddyとしても一緒に盛り上げていきたいため、協賛募集しているカンファレンス全てにスポンサーとして参加しています。 1月 PHPカン…
VAddyで、クロールしたURLの一覧情報のCSVダウンロード、発見した脆弱性情報のCSVダウンロード機能をリリースしました。 クロールしたURLの一覧情報のCSVダウンロード クロールしたURL一覧は画面上で表示できていましたが、この情報をCSVダウンロードしてサ…
2023年4月にリリースされた新機能では、VAddyの検査時に任意のリクエストヘッダやCookieを追加・変更できるようになりました。さらに、この機能を使用して設定を保存し、次回以降の検査にも適用できるようになりました! 検査リクエストヘッダやCookieの追加…
この記事の後半にPHPerチャレンジのトークンについて書いてあります。 市川です。今年のPHPカンファレンス、1月の北海道、2月の関西と非常に盛り上がりましたね。 VAddyとしても一緒に盛り上げていきたいため、協賛募集しているカンファレンス全てにスポンサ…
半年前から釣りにハマりました、市川です。 2024年はなんと、1月から6月まで毎月PHPカンファレンスが開催されます! VAddyとしても一緒に盛り上げていきたいため、協賛募集しているカンファレンス全てにスポンサーとして参加することにしました。 1月 PHPカ…
VAddyの検査では、事前に検査対象のアプリケーション画面のHTTPリクエストとレスポンスをテストシナリオとして記録し、それを正常遷移データとして利用し効率的に検査を行います。VAddyではこれを「クロール」と呼びます。 今まではVAddyのProxyサーバを使っ…
2023年10月からのインボイス制度対応に向けて、請求書、クレジットカード決済それぞれの対応を行いました。 請求書払い 請求書を送付し銀行振込にて支払いを行なっている場合は、VAddyから送付する請求書に発行者の名称、登録番号などが記載されています。20…
VAddyの検査時に任意のリクエストヘッダ、Cookieを追加・変更できる機能をリリースしました!これまで対応できなかったシチュエーションにも対応できるようになりました。 例えば次の画像(検査時のリクエスト情報)のように、検査時のHTTPリクエストヘッダに …
VAddyに操作ログ機能を追加しました。 画面やWebAPIの操作が記録され、過去1年分の記録が閲覧できるようになりました。(記録開始は2023年1月29日から) 例えば、ユーザ情報の変更、検査実行、WebAPIからの検査実行、登録したサーバ情報の変更、チームメンバ…
検査除外設定の機能追加と不具合修正を行いました。 機能追加 検査除外設定は、検査を実施したくない検査項目(例えばXSSなど)とメソッド、URLを指定して検査を除外できる機能です。 ログイン画面のみ検査しないようにしたいなど、特定のURLのみ検査を実施…
今までのVAddyの脆弱性診断では、VAddyが発行する認証htmlファイルを検査対象サーバに設置が必須でした。 そのため認証ファイルが置けないAuth0、AWS Cognito、Azure AD B2CのようなIDaaS利用アプリケーションは検査時にシナリオの再現ができず、それらはロ…
WebAPIとgo-VAddyツールから検査項目を指定した脆弱性診断の実行が可能になりました
VAddyエンタープライズプランで提供している、 SSRF/Log4j検査 メールヘッダインジェクション検査 安全でないデシリアライゼーション検査 の検査速度改善を行い、エンタープライズプランの検査速度が大幅に改善しました! 詳細内容 速度改善を行った検査では…
先週末からのApache Log4j騒動に忙殺されて報告が遅れてしまいました。 VAddyプロジェクトは先週金曜日(2022/12/10)にThe PHP Foundationに寄付を行いました。 2021年12月10日時点 弊社CTOでありVAddy開発者の市川のTwitter ID (@cakephper)からも分かる…
VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 本日(2021/12/13)、VAddyのエンタープライズとエンタープライズ+ プランのSSRF検査の中で、Log4jの脆弱性(CVE-2021-44228)が検…
VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 今までは、特定のサーバ(FQDN)を検査除外にする機能はありました。例えばログイン用の認証基盤サーバが別にあり、そちらは検査に含…
VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 本日(2021/6/23)、VAddyのエンタープライズとエンタープライズ+ プランに「非公開ファイル検査」を追加しました。 非公開ファイ…
この記事で示す内容は日本国内の情報セキュリティ技術者が攻撃のリスクを正しく評価できるようにするための情報共有を目的に提供されます。自身の管理下にないコンピュータ等に対し攻撃やスキャンを実施する行為は場合によっては犯罪行為となりますので絶対…
VAddyはクラウド型の脆弱性診断ツールです。 これまでVAddyのXSS検査では<script>タグを用いた検査ロジックを使用していました。しかし、例えば<script>タグに関しては無効化するような処理が行われているものの、それ以外の任意のhtmlタグは挿入できる、などの状態は必ずし…
VAddyはクラウド型の脆弱性診断ツールです。 VAddyのエンタープライズプランには9つの検査項目がありますが、これに加えてSSRF(サーバサイドリクエストフォージェリ)の検査を追加しました。 ▼VAddy Enterpriseプラン検査項目一覧 SQLインジェクション検査 XS…
クラウド型脆弱性診断ツールVAddyの機能アップデートを行いました。 WebAPIで検査の結果を取得できるのですが、今回はその結果のJSONの中にクロールラベルのフィールド(crawl_label)を追加しました。 github.com WebAPIから取得できる検査結果には、脆弱性の…
クラウド型脆弱性診断ツールVAddyのSQLインジェクション検査をアップデートしました。 今まではGETやPOST時のKey=Value形式のValue側だけを対象に、SQLインジェクションの検査を実施していました。今回のアップデートにより、Key=ValueのKey側も検査対象とな…
登場人物 Webマーケ担当(IT業界10年):新人 VAddy 契約担当:西野 VAddy 開発担当:市川 第4回:脆弱性診断を実施する企業が急増している理由とは? 新人:10月のブログ記事を飛ばしてしまいました。すいません・・・。 9月末にITmediaNEWSで下記の記事を…
VAddyはクラウド型の脆弱性診断ツールです。 今回、ユーザが任意のタイミングでクロール(シナリオ作成)をキャンセルする機能をリリースしました。 VAddyはクロールというシナリオ作成機能によって、アクセスした画面の範囲が検査対象となります。ですので…
登場人物 Webマーケ担当(IT業界10年):新人 VAddy 契約担当:西野 VAddy 開発担当:市川 第3回:脆弱性診断ツール導入後に困ることってなに? 新人:前回の記事では「知ってる人だけ得をする!脆弱性診断の"沼”にはまらないために」についてお話を伺いまし…
2020年9月9日に初めてのVAddyオンラインセミナーを開催いたしました。 そこではVAddyのご紹介はもちろんのこと、脆弱性診断内製化のトレンドについても軽く触れさせていただきました。 ここ数年、脆弱性診断の内製化の動きが加速しつつありますが、今回はVAd…
登場人物 Webマーケ担当(IT業界10年):新人 VAddy 契約担当:西野 VAddy 開発担当:市川 第2回:知ってる人だけ得をする!脆弱性診断の"沼”にはまらないために 新人:前回の記事では「今、需要が高まってきている脆弱性診断とは?」についてお話を伺いまし…
先日、複数人で同時に同じプロジェクトでクロールできる機能をリリースしました。それを実現するまでに出た課題、検討事項、解決策が一般的なWeb開発とは異なる背景が多くて面白そうなので書きたいと思います。 blog-ja.vaddy.net 前提 クロールはブラウザや…
VAddyで脆弱性診断を実行するためには、検査対象の画面やパラメータを事前にVAddyに登録する「クロール」という作業(テストシナリオの作成)が必要になります。 *1 VAddyにはチーム機能/組織管理機能といった複数のメンバーでVAddyを利用する機能が用意さ…