クラウド型脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

クロールの手動キャンセル機能をリリースしました

VAddyはクラウド型の脆弱性診断ツールです。 今回、ユーザが任意のタイミングでクロール(シナリオ作成)をキャンセルする機能をリリースしました。 VAddyはクロールというシナリオ作成機能によって、アクセスした画面の範囲が検査対象となります。ですので…

第3回:脆弱性診断ツール導入後に困ることってなに?

登場人物 Webマーケ担当(IT業界10年):新人 VAddy 契約担当:西野 VAddy 開発担当:市川 第3回:脆弱性診断ツール導入後に困ることってなに? 新人:前回の記事では「知ってる人だけ得をする!脆弱性診断の"沼”にはまらないために」についてお話を伺いまし…

脆弱性診断内製化の再定義(VAddyの考える脆弱性診断の内製化)

2020年9月9日に初めてのVAddyオンラインセミナーを開催いたしました。 そこではVAddyのご紹介はもちろんのこと、脆弱性診断内製化のトレンドについても軽く触れさせていただきました。 ここ数年、脆弱性診断の内製化の動きが加速しつつありますが、今回はVAd…

第2回:知ってる人だけ得をする!脆弱性診断の"沼”にはまらないために

登場人物 Webマーケ担当(IT業界10年):新人 VAddy 契約担当:西野 VAddy 開発担当:市川 第2回:知ってる人だけ得をする!脆弱性診断の"沼”にはまらないために 新人:前回の記事では「今、需要が高まってきている脆弱性診断とは?」についてお話を伺いまし…

VAddyで同時クロールを実現した技術的な背景

先日、複数人で同時に同じプロジェクトでクロールできる機能をリリースしました。それを実現するまでに出た課題、検討事項、解決策が一般的なWeb開発とは異なる背景が多くて面白そうなので書きたいと思います。 blog-ja.vaddy.net 前提 クロールはブラウザや…

複数のユーザーによる同時クロール(テストシナリオ作成)が可能になりました

VAddyで脆弱性診断を実行するためには、検査対象の画面やパラメータを事前にVAddyに登録する「クロール」という作業(テストシナリオの作成)が必要になります。 *1 VAddyにはチーム機能/組織管理機能といった複数のメンバーでVAddyを利用する機能が用意さ…

第1回:今、需要が高まってきている「脆弱性診断」とは?

登場人物 Webマーケ担当(IT業界10年):新人 VAddy 契約担当:西野 VAddy 開発担当:市川 第1回:今、需要が高まってきている「脆弱性診断」とは? 新人:脆弱性診断ツール「VAddy(バディ)」に関わらせてもらうことになったけど、そもそも脆弱性診断とい…

VAddyを使った脆弱性診断例 〜SaaS事業者編〜

VAddyは「継続的な脆弱性診断を実現するツール」として誕生しました。 リリースサイクルが年々短くなっていくSaaSサービスでは、定期的な脆弱性診断に加えて継続的な脆弱性診断の要求が高まっており、そうした分野で特にVAddyが利用されています。 そこで本…

VAddyを使った脆弱性診断例 〜Web制作会社(受託開発)編〜

全ての納品物について脆弱性診断を(手間をかけずに)実施したい。 そんな思いをお持ちのWeb制作会社の経営者・事業責任者もいらっしゃると思います。 近年では小規模な案件でもWebアプリケーションの脆弱性診断を求められるケースが増えてきており、VAddyオ…

VAddyの脆弱性診断システムに外部接続検知機能を追加しました

VAddyの脆弱性診断の精度をより上げるために、検査対象サーバが外部接続するような検査データを送信し、実際にDNSの名前解決が行われるかを検知する外部接続検知機能を追加しました。 この機能は、海外ではOut-of-Band Testing/Detectionなどと呼ばれている…

たったこれだけ!VAddyを使った脆弱性診断のはじめ方

クラウド型脆弱性診断ツールVAddyの使い方をご紹介いたします。

VAddyの認証ファイルの設置場所や拡張子が自由になりました(一部仕様変更あり)

VAddyでは、検査対象のサーバのwebrootにVAddyの認証htmlファイル(Verificationファイル)を設置しそのファイルがあれば検査が可能でした。例えば、 http://www.example.com/vaddy-1234.html のように。 今までの問題点 お客様によってはwebrootではなく、 /f…

VAddyのクロール時にラベルを付与できるようになりました

VAddyは脆弱性診断のクラウド型ツールです。誰でも手軽に脆弱性診断が実施できます。 VAddyでは、クロール操作をしてクロールデータ(シナリオ)を作成した後に、VAddyの管理画面にてクロール毎にラベルとして自由に文言が付与できます。(下の画像参考) ク…

急な在宅勤務/テレワークでもできる脆弱性診断

新型コロナウイルス感染症への対策として、在宅勤務/テレワークを推奨または強制する企業が増えています。弊社ビットフォレストでも2020年2月18日より全従業員を在宅勤務にしています。 新型コロナウイルスについては早晩収束に向かうことを期待しています…

VAddy WebAPIに検査結果一覧の取得機能を追加しました

VAddyでは初期から、検査開始、検査結果取得、クロール一覧取得のWebAPIを提供してきました。 検査結果を1件取得するAPIはありましたが、複数の検査結果を取得する機能がありませんでした。 今回、複数の検査結果を取得するAPIを提供することにより、検査し…

組織管理機能と検査項目を増強したVAddyエンタープライズプランをリリース!

VAddyの事業責任者の市川です。 VAddyは、誰でも手軽に使えて自動化もできるクラウド型の脆弱性診断ツールとして開発をし、5年間運用してきました。様々なWebアプリケーションの検査に対応できるようにチューニングし続け、加えてプライベートネット版対応、…

VAddy プロジェクト管理権限を追加しました

VAddyのチーム機能では、検査対象を管理するプロジェクトに対して、Owner, Write, Readの3つの権限がありました。今回、それに加えてプロジェクト管理権限(ProjectAdmin)を追加しました。 Ownerはそのプロジェクトを作った所有者です。Ownerの契約するプラン…

VAddy脆弱性検査の進捗表示機能をリリースしました

VAddyの検査中に、現在どれぐらいの検査が終わっているかを % 表示する機能をリリースしました。これで1時間を超えるような長い検査の場合でも、どれぐらいの速度で検査が終わっているか把握しやすくなりました。 検査の進捗表示 検査の最初に、検査予定のパ…

VAddy脆弱性検査レポートPDF機能をリリース

VAddyで実施した脆弱性検査レポートのPDFダウンロード機能をリリースしました。これにより、クライアントなどに提出するためのレポートをPDF形式で取得できるようになります。現在は、Professional/Platinum/Platinum+プランのみ対応となります。(無料トラ…

DNS登録していないドメインでもIP指定して脆弱性検査可能に!

hostsファイルのように、DNS登録していないドメインに対してIP指定して脆弱性診断ができるようになりました!https://vaddy.net/ja/ OSのhostsファイルを使わないと動作確認ができないようなWebアプリケーションは、DNSに検査対象のFQDNが登録されておらず、…

VAddyで複数FQDNをまたぐアプリケーションの脆弱性検査が可能に!

本日、複数のFQDNをまたぐアプリケーションの脆弱性検査機能をリリースいたしました!これまでのVAddyでは検査対象として登録できるのは単一のFQDNで構成されたWebアプリケーションだけでしたが、本日リリースした機能によって複数のFQDNから構成されているW…

チーム機能メンバーがVerify処理できる新機能をリリース

VAddyはクラウド型Web脆弱性検査ツールです。脆弱性診断におけるコスト問題の解決に。 チーム機能に新しい機能を追加しました。これまでは検査対象FQDNの認証(Verify)処理を行えるのはFQDNを登録したアカウント(Owner)だけでしたが、本日のアップデート…

脆弱性対応サポートと手動診断がパッケージされたVAddy Platinum/Platinum +プランがリリースされました!

今年の2月に発表したVAddy Platinum / Platinum +(プラス)を本日より提供開始しました! 【プレスリリース】ビットフォレストはSHIFT SECURITYと業務提携し、クラウド型Web脆弱性検査サービス「VAddy」の上位プランの提供を開始https://vaddy.net/ja/relea…

蓄積型XSS(クロスサイトスクリプティング)の検査を追加しました

VAddyは開発現場で使える脆弱性検査ツールとして誰でも簡単に使えるように設計しています。https://vaddy.net/ja/最近VAddyユーザの方や、興味がある方とお話すると、たとえ簡単なお問い合わせフォームだとしても、発注元からXSSの検査は最低限行うような指…

開発現場に脆弱性検査を!VAddyユーザーミートアップ Vol.8を開催しました。

VAddyユーザーミートアップ Vol8を開催しました。今回の会場はなんと「大阪」! ついに関西上陸です。 これまで東京と福岡で開催していたVAddyミートアップですが、EC-CUBEでおなじみの株式会社ロックオン様にご協力いただき、VAddyミートアップ in 大阪が実…

VAddy検査結果レポート機能をリリース

VAddyはクラウド型のWeb脆弱性検査ツールです。 誰でも簡単に使えて手軽に自動化もできます。 VAddy利用者から要望が多かったレポート機能をリリースしました! 今までは、検査で脆弱性が発見された場合は、該当URL、パラメータ、脆弱性種別を表示しているの…

クロール(シナリオ)を指定した脆弱性検査がより簡単にできるようになりました

9/30(金)のプレミアムフライデーの夜に、アップデートを行いました!今までは、検査開始画面から該当クロールデータ(シナリオ)をプルダウンで指定するか、検査実行用のクライアントツールからクロールIDを指定した検査実行のみでした。本アップデートによ…

ビットフォレスト福岡オフィス開設記念パーティは夜の1時を超えて・・

VAddyを運営している株式会社ビットフォレストは大手町の本社のみでしたが、今年から福岡オフィスを開設し営業しています。しばらくは、VAddy開発リーダの私、市川のみが福岡オフィスに常駐し、今後は採用活動や九州の窓口として機能していく予定です。 2017…

VAddyユーザーミートアップ Vol.7を開催しました

2017年8月24日にVAddyユーザーミートアップVol.7を開催しました。 会場は今回もコワーキングスペース茅場町Co-Edoです。 今年は「セキュリティ x Web開発」というテーマで、Webアプリケーション開発者向けのセキュリティ対策tipsなどをお送りしています。 夏…

クラウドサーバに対する脆弱性診断の事前申請について各社に問い合わせてみた結果

先日このようなブログ記事が公開されました。 クラウドサービスを脆弱性診断する時のお作法 とある企業において脆弱性診断をされている「とある診断員」さんのブログで、クラウドサービス(IaaS)の利用者が脆弱性診断をする際の注意点がまとめられています…