VAddyに操作ログ機能を追加しました。 画面やWebAPIの操作が記録され、過去1年分の記録が閲覧できるようになりました。(記録開始は2023年1月29日から) 例えば、ユーザ情報の変更、検査実行、WebAPIからの検査実行、登録したサーバ情報の変更、チームメンバ…
検査除外設定の機能追加と不具合修正を行いました。 機能追加 検査除外設定は、検査を実施したくない検査項目(例えばXSSなど)とメソッド、URLを指定して検査を除外できる機能です。 ログイン画面のみ検査しないようにしたいなど、特定のURLのみ検査を実施…
今までのVAddyの脆弱性診断では、VAddyが発行する認証htmlファイルを検査対象サーバに設置が必須でした。 そのため認証ファイルが置けないAuth0、AWS Cognito、Azure AD B2CのようなIDaaS利用アプリケーションは検査時にシナリオの再現ができず、それらはロ…
WebAPIとgo-VAddyツールから検査項目を指定した脆弱性診断の実行が可能になりました
VAddyエンタープライズプランで提供している、 SSRF/Log4j検査 メールヘッダインジェクション検査 安全でないデシリアライゼーション検査 の検査速度改善を行い、エンタープライズプランの検査速度が大幅に改善しました! 詳細内容 速度改善を行った検査では…
先週末からのApache Log4j騒動に忙殺されて報告が遅れてしまいました。 VAddyプロジェクトは先週金曜日(2022/12/10)にThe PHP Foundationに寄付を行いました。 2021年12月10日時点 弊社CTOでありVAddy開発者の市川のTwitter ID (@cakephper)からも分かる…
VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 本日(2021/12/13)、VAddyのエンタープライズとエンタープライズ+ プランのSSRF検査の中で、Log4jの脆弱性(CVE-2021-44228)が検…
VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 今までは、特定のサーバ(FQDN)を検査除外にする機能はありました。例えばログイン用の認証基盤サーバが別にあり、そちらは検査に含…
VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 本日(2021/6/23)、VAddyのエンタープライズとエンタープライズ+ プランに「非公開ファイル検査」を追加しました。 非公開ファイ…
この記事で示す内容は日本国内の情報セキュリティ技術者が攻撃のリスクを正しく評価できるようにするための情報共有を目的に提供されます。自身の管理下にないコンピュータ等に対し攻撃やスキャンを実施する行為は場合によっては犯罪行為となりますので絶対…
VAddyはクラウド型の脆弱性診断ツールです。 これまでVAddyのXSS検査では<script>タグを用いた検査ロジックを使用していました。しかし、例えば<script>タグに関しては無効化するような処理が行われているものの、それ以外の任意のhtmlタグは挿入できる、などの状態は必ずし…
VAddyはクラウド型の脆弱性診断ツールです。 VAddyのエンタープライズプランには9つの検査項目がありますが、これに加えてSSRF(サーバサイドリクエストフォージェリ)の検査を追加しました。 ▼VAddy Enterpriseプラン検査項目一覧 SQLインジェクション検査 XS…
クラウド型脆弱性診断ツールVAddyの機能アップデートを行いました。 WebAPIで検査の結果を取得できるのですが、今回はその結果のJSONの中にクロールラベルのフィールド(crawl_label)を追加しました。 github.com WebAPIから取得できる検査結果には、脆弱性の…
クラウド型脆弱性診断ツールVAddyのSQLインジェクション検査をアップデートしました。 今まではGETやPOST時のKey=Value形式のValue側だけを対象に、SQLインジェクションの検査を実施していました。今回のアップデートにより、Key=ValueのKey側も検査対象とな…
登場人物 Webマーケ担当(IT業界10年):新人 VAddy 契約担当:西野 VAddy 開発担当:市川 第4回:脆弱性診断を実施する企業が急増している理由とは? 新人:10月のブログ記事を飛ばしてしまいました。すいません・・・。 9月末にITmediaNEWSで下記の記事を…
VAddyはクラウド型の脆弱性診断ツールです。 今回、ユーザが任意のタイミングでクロール(シナリオ作成)をキャンセルする機能をリリースしました。 VAddyはクロールというシナリオ作成機能によって、アクセスした画面の範囲が検査対象となります。ですので…
登場人物 Webマーケ担当(IT業界10年):新人 VAddy 契約担当:西野 VAddy 開発担当:市川 第3回:脆弱性診断ツール導入後に困ることってなに? 新人:前回の記事では「知ってる人だけ得をする!脆弱性診断の"沼”にはまらないために」についてお話を伺いまし…
2020年9月9日に初めてのVAddyオンラインセミナーを開催いたしました。 そこではVAddyのご紹介はもちろんのこと、脆弱性診断内製化のトレンドについても軽く触れさせていただきました。 ここ数年、脆弱性診断の内製化の動きが加速しつつありますが、今回はVAd…
登場人物 Webマーケ担当(IT業界10年):新人 VAddy 契約担当:西野 VAddy 開発担当:市川 第2回:知ってる人だけ得をする!脆弱性診断の"沼”にはまらないために 新人:前回の記事では「今、需要が高まってきている脆弱性診断とは?」についてお話を伺いまし…
先日、複数人で同時に同じプロジェクトでクロールできる機能をリリースしました。それを実現するまでに出た課題、検討事項、解決策が一般的なWeb開発とは異なる背景が多くて面白そうなので書きたいと思います。 blog-ja.vaddy.net 前提 クロールはブラウザや…
VAddyで脆弱性診断を実行するためには、検査対象の画面やパラメータを事前にVAddyに登録する「クロール」という作業(テストシナリオの作成)が必要になります。 *1 VAddyにはチーム機能/組織管理機能といった複数のメンバーでVAddyを利用する機能が用意さ…
登場人物 Webマーケ担当(IT業界10年):新人 VAddy 契約担当:西野 VAddy 開発担当:市川 第1回:今、需要が高まってきている「脆弱性診断」とは? 新人:脆弱性診断ツール「VAddy(バディ)」に関わらせてもらうことになったけど、そもそも脆弱性診断とい…
VAddyは「継続的な脆弱性診断を実現するツール」として誕生しました。 リリースサイクルが年々短くなっていくSaaSサービスでは、定期的な脆弱性診断に加えて継続的な脆弱性診断の要求が高まっており、そうした分野で特にVAddyが利用されています。 そこで本…
全ての納品物について脆弱性診断を(手間をかけずに)実施したい。 そんな思いをお持ちのWeb制作会社の経営者・事業責任者もいらっしゃると思います。 近年では小規模な案件でもWebアプリケーションの脆弱性診断を求められるケースが増えてきており、VAddyオ…
VAddyの脆弱性診断の精度をより上げるために、検査対象サーバが外部接続するような検査データを送信し、実際にDNSの名前解決が行われるかを検知する外部接続検知機能を追加しました。 この機能は、海外ではOut-of-Band Testing/Detectionなどと呼ばれている…
クラウド型脆弱性診断ツールVAddyの使い方をご紹介いたします。
VAddyでは、検査対象のサーバのwebrootにVAddyの認証htmlファイル(Verificationファイル)を設置しそのファイルがあれば検査が可能でした。例えば、 http://www.example.com/vaddy-1234.html のように。 今までの問題点 お客様によってはwebrootではなく、 /f…
VAddyは脆弱性診断のクラウド型ツールです。誰でも手軽に脆弱性診断が実施できます。 VAddyでは、クロール操作をしてクロールデータ(シナリオ)を作成した後に、VAddyの管理画面にてクロール毎にラベルとして自由に文言が付与できます。(下の画像参考) ク…
新型コロナウイルス感染症への対策として、在宅勤務/テレワークを推奨または強制する企業が増えています。弊社ビットフォレストでも2020年2月18日より全従業員を在宅勤務にしています。 新型コロナウイルスについては早晩収束に向かうことを期待しています…
VAddyでは初期から、検査開始、検査結果取得、クロール一覧取得のWebAPIを提供してきました。 検査結果を1件取得するAPIはありましたが、複数の検査結果を取得する機能がありませんでした。 今回、複数の検査結果を取得するAPIを提供することにより、検査し…
