VAddyコア部分を開発している金床です。 2014年もそろそろ終わりに近づきました。今年のはじめには1行のコードすらも存在していなかったVAddyですが、春頃から市川氏と私がノリノリになったこともあり、現在は無事にJenkinsプラグインまで完成し、当時イメー…

継続的セキュリティテストサービスVAddyのスキャンエンジンをアップデートしました。 本アップデートにより、今まで対応していなかったURLパスに含まれるパラメータの検査が可能になりました。 今までは、 /item.php?id=99のようにクエリストリングを対象にS…

VAddyとCircleCIを組み合わせると、簡単に継続的セキュリティテスト環境が実現できます。git pushするとCircleCIのジョブが起動し、テストサーバにコードをデプロイ、そのテストサーバに向けてVAddyからWebの脆弱性検査を実施します。 今回は、git push -> U…

2014/11/18に、Googleがセキュリティスキャンのテスト用のWebアプリケーション Firing Range を公開したようです。http://googleonlinesecurity.blogspot.jp/2014/11/ready-aim-fire-open-source-tool-to-test.html Webアプリケーションのリポジトリはこちら…

継続的セキュリティテストサービスVAddyはJenkinsプラグインを提供しているため、Hipchat Jenkinsプラグインを入れれば、CIの中でWebアプリケーションに対して脆弱性検査を自動実行して、その結果をHipchatに通知できます。 Jenkinsには、ビルド後の処理にEm…

VAddyとは?VAddyは我々が開発している、「CIで脆弱性検査（セキュリティテスト）を」というコンセプトのサービスです。Jenkins等のCIサーバを使い、JUnitやPHPUnitなどユニットテストや、Seleniumを使ったブラウザテストを行うというテスト（開発）手法は、…

ぼく：「数値入力欄にシングルクォートを入力するとデータベースエラーが！きっと妖怪のしわざだよ！」 執事（ジェンキンス）：「まさかぁ、そんなことあるわけが…」ぼく：「脆弱性を検査するのは執事の仕事。しっかり調べておいてよ！！」 ということで、ウ…

VAddyの開発をしている市川です。 今日は、最初の投稿ということで、VAddyが目指す世界と使命の話をしたいと思います。 VAddyは、継続的WEBセキュリティテストサービスです。http://vaddy.net CI（継続的インテグレーション）に簡単に組み込めて、開発初期か…