クラウド型Web脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

2021-01-01から1年間の記事一覧

VAddyの検査時間が大幅に改善しました!

VAddyエンタープライズプランで提供している、 SSRF/Log4j検査 メールヘッダインジェクション検査 安全でないデシリアライゼーション検査 の検査速度改善を行い、エンタープライズプランの検査速度が大幅に改善しました! 詳細内容 速度改善を行った検査では…

The PHP Foundationに寄付を行いました

先週末からのApache Log4j騒動に忙殺されて報告が遅れてしまいました。 VAddyプロジェクトは先週金曜日(2022/12/10)にThe PHP Foundationに寄付を行いました。 2021年12月10日時点 弊社CTOでありVAddy開発者の市川のTwitter ID (@cakephper)からも分かる…

VAddyの脆弱性診断にLog4jの脆弱性(CVE-2021-44228)の検査を追加しました

VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 本日(2021/12/13)、VAddyのエンタープライズとエンタープライズ+ プランのSSRF検査の中で、Log4jの脆弱性(CVE-2021-44228)が検…

特定のURLを検査しない検査除外設定をリリースしました

VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 今までは、特定のサーバ(FQDN)を検査除外にする機能はありました。例えばログイン用の認証基盤サーバが別にあり、そちらは検査に含…

VAddyの脆弱性診断項目に非公開ファイル検査が加わりました

VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 本日(2021/6/23)、VAddyのエンタープライズとエンタープライズ+ プランに「非公開ファイル検査」を追加しました。 非公開ファイ…

本場のWordPressプラグインのSQLインジェクションはVAddyで検出できるか

この記事で示す内容は日本国内の情報セキュリティ技術者が攻撃のリスクを正しく評価できるようにするための情報共有を目的に提供されます。自身の管理下にないコンピュータ等に対し攻撃やスキャンを実施する行為は場合によっては犯罪行為となりますので絶対…

VAddyのXSS(クロスサイトスクリプティング)検査に検査パターンを追加しました

VAddyはクラウド型の脆弱性診断ツールです。 これまでVAddyのXSS検査では<script>タグを用いた検査ロジックを使用していました。しかし、例えば<script>タグに関しては無効化するような処理が行われているものの、それ以外の任意のhtmlタグは挿入できる、などの状態は必ずし…

VAddyにSSRF脆弱性(CWE-918)検査機能を追加

VAddyはクラウド型の脆弱性診断ツールです。 VAddyのエンタープライズプランには9つの検査項目がありますが、これに加えてSSRF(サーバサイドリクエストフォージェリ)の検査を追加しました。 ▼VAddy Enterpriseプラン検査項目一覧 SQLインジェクション検査 XS…