VAddyで脆弱性診断を実行するためには、検査対象の画面やパラメータを事前にVAddyに登録する「クロール」という作業（テストシナリオの作成）が必要になります。 *1 VAddyにはチーム機能／組織管理機能といった複数のメンバーでVAddyを利用する機能が用意さ…

複数のユーザーによる同時クロール（テストシナリオ作成）が可能になりました

先日のアップデート、「クロールデータのラベルを利用した脆弱性検査がWebAPI経由で可能に」でお伝えした通り、クロールにつけたラベル文字列を使った任意のクロールデータを用いた脆弱性検査が可能になりました。 例えば、ログイン周りのクロールデータに「…

Jenkinsからクロールのラベルを利用した脆弱性検査が可能に

VAddyでは脆弱性検査の対象となるクロールデータ※を指定することができます。※事前に検査対象とする画面遷移やパラメータを登録したものオートクロール系の検査ツールは対象となるWebサイトをほぼ全て検査してしまうので、検査完了まで大変な時間がかかりま…

クロールデータのラベルを利用した脆弱性検査がWebAPI経由で可能に

VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。 これまでW…

WebAPI経由で過去のクロールを使った脆弱性検査が可能に。Jenkinsプラグインも対応

VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。クロールデ…

過去のクロールデータを使った脆弱性検査が可能になりました

日本ではあまり利用者が多くないかもしれませんが、CodeshipというCIサービスがあります。今回はCodeshipとVAddyを組み合わせた継続的セキュリティテスト環境を構築してみました。CicleCI連携の時と同様に、git pushしてCodeshipのジョブを起動させ、テスト…

Codeshipを使った継続的Webセキュリティテスト環境の構築

VAddyの脆弱性検査エンジンでは、ベイジアンネットワークなどのデータサイエンス分野の技術も積極的に採用しています。実装として、Java+データサイエンスという組み合わせではよく知られている、WEKAを使っています。WEKAにはK-Meansクラスタリングを行うた…

WEKAのK-Meansクラスタリングをマルチスレッド対応させました

VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性診断サービスです。http://vaddy.net/ja/ VAddyではHTTP/HTTPSのWebアプリケーションに対して脆弱性検査が可能となっていますが、ポート番号は80番と443番のみとなってい…

どのポート番号でもWeb脆弱性診断が可能になりました

VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性検査ツールです。 最近のモバイルアプリケーションやシングルページアプリケーションのような構成ですと、APIサーバに対してPOST/PUTリクエストを送信する際に、パラメー…

RestAPIサーバのセキュリティテストを実現しました

VAddyの管理画面では、脆弱性が1件以上あれば、脆弱性のあるURLと問題となっているパラメータ名、問題(SQLインジェクション or XSS)が表示されます。この情報があれば開発者は問題となっている箇所のソースコードが特定でき、修正が可能です。しかし、実際に…

検査時に送ったHTTPリクエストデータの表示機能をリリースしました

VAddyコア部分を開発している金床です。 2014年もそろそろ終わりに近づきました。今年のはじめには1行のコードすらも存在していなかったVAddyですが、春頃から市川氏と私がノリノリになったこともあり、現在は無事にJenkinsプラグインまで完成し、当時イメー…

2015年に「その発想はなかった」から「当たり前」になる、CIでの脆弱性検査(セキュリティテスト)

継続的セキュリティテストサービスVAddyのスキャンエンジンをアップデートしました。 本アップデートにより、今まで対応していなかったURLパスに含まれるパラメータの検査が可能になりました。 今までは、 /item.php?id=99のようにクエリストリングを対象にS…

VAddyスキャンエンジンをアップデートし、URLパスの検査にも対応

VAddyとCircleCIを組み合わせると、簡単に継続的セキュリティテスト環境が実現できます。git pushするとCircleCIのジョブが起動し、テストサーバにコードをデプロイ、そのテストサーバに向けてVAddyからWebの脆弱性検査を実施します。 今回は、git push -> U…

CircleCIを使った継続的Webセキュリティテスト環境の構築

継続的セキュリティテストサービスVAddyはJenkinsプラグインを提供しているため、Hipchat Jenkinsプラグインを入れれば、CIの中でWebアプリケーションに対して脆弱性検査を自動実行して、その結果をHipchatに通知できます。 Jenkinsには、ビルド後の処理にEm…

JenkinsからWebアプリに脆弱性検査し、結果をHipchatに通知

VAddyとは?VAddyは我々が開発している、「CIで脆弱性検査（セキュリティテスト）を」というコンセプトのサービスです。Jenkins等のCIサーバを使い、JUnitやPHPUnitなどユニットテストや、Seleniumを使ったブラウザテストを行うというテスト（開発）手法は、…

Git, BitBucket, Jenkins, VAddy, Seleniumを組み合わせてCIに脆弱性検査(セキュリティテスト)を導入してみました

ぼく：「数値入力欄にシングルクォートを入力するとデータベースエラーが！きっと妖怪のしわざだよ！」 執事（ジェンキンス）：「まさかぁ、そんなことあるわけが…」ぼく：「脆弱性を検査するのは執事の仕事。しっかり調べておいてよ！！」 ということで、ウ…

VAddyのSQLインジェクション検知ロジックを改良しました