VAddyブログ

- 継続的セキュリティテストへの道 -

機能追加

VAddy脆弱性検査の進捗表示機能をリリースしました

VAddyの検査中に、現在どれぐらいの検査が終わっているかを % 表示する機能をリリースしました。これで1時間を超えるような長い検査の場合でも、どれぐらいの速度で検査が終わっているか把握しやすくなりました。 検査の進捗表示 検査の最初に、検査予定のパ…

DNS登録していないドメインでもIP指定して脆弱性検査可能に!

hostsファイルのように、DNS登録していないドメインに対してIP指定して脆弱性診断ができるようになりました!https://vaddy.net/ja/ OSのhostsファイルを使わないと動作確認ができないようなWebアプリケーションは、DNSに検査対象のFQDNが登録されておらず、…

VAddyで複数FQDNをまたぐアプリケーションの脆弱性検査が可能に!

本日、複数のFQDNをまたぐアプリケーションの脆弱性検査機能をリリースいたしました!これまでのVAddyでは検査対象として登録できるのは単一のFQDNで構成されたWebアプリケーションだけでしたが、本日リリースした機能によって複数のFQDNから構成されているW…

チーム機能メンバーがVerify処理できる新機能をリリース

VAddyはクラウド型Web脆弱性検査ツールです。脆弱性診断におけるコスト問題の解決に。 チーム機能に新しい機能を追加しました。これまでは検査対象FQDNの認証(Verify)処理を行えるのはFQDNを登録したアカウント(Owner)だけでしたが、本日のアップデート…

VAddy検査結果レポート機能をリリース

VAddyはクラウド型のWeb脆弱性検査ツールです。 誰でも簡単に使えて手軽に自動化もできます。 VAddy利用者から要望が多かったレポート機能をリリースしました! 今までは、検査で脆弱性が発見された場合は、該当URL、パラメータ、脆弱性種別を表示しているの…

クロール(シナリオ)を指定した脆弱性検査がより簡単にできるようになりました

9/30(金)のプレミアムフライデーの夜に、アップデートを行いました!今までは、検査開始画面から該当クロールデータ(シナリオ)をプルダウンで指定するか、検査実行用のクライアントツールからクロールIDを指定した検査実行のみでした。本アップデートによ…

PrivateNet版VAddyをリリースしました。ローカル環境でも手軽に脆弱性検査できます!

VAddyは手軽にWebの脆弱性検査が実施でき、CI連携など自動化も可能なSaaSです。既存のVAddyは、VAddyサーバからインターネット経由でWebサーバに検査リクエストを送る仕組みのため、検査対象のWebサーバはグローバルIPを持つ環境が必要でした。ユーザからの…

VAddyの脆弱性検査で、URLパスのすべての階層が検査可能に

VAddyのWeb脆弱性検査では、今までもURLパスの検査を対象にしてきました。http://blog-ja.vaddy.net/post/104745539236/semantic-url-scanning 今までは、下記のようにURLパスの最後の階層のみを検査対象にしてきました。例えば、 http://example.com/foo/ba…

クロールデータの閲覧機能をリリースしました! テストシナリオの振返りに便利

お待たせしました!ご要望の多かったクロールデータの閲覧機能をリリースしました。 クロールデータとは、検査対象のWebアプリケーションのURLやパラメータ情報です。VAddyでは検査前にお客様に実際のアプリケーションを操作していただき、クロールデータと…

検査対象サーバの所有者確認でエラーがあった場合に、レスポンスコードとメッセージを表示するようにしました

VAddyでは最初に検査対象となるサーバ名を登録すると、Verificationコードが自動発行されます。このコードを含むhtmlファイルを検査対象のwebrootに設置してもらい、本当にそのサーバの所有者か確認(Verify)します。参考:「スキャン対象サーバの登録・認証…

脆弱性を発見した際のレスポンスデータ表示機能を追加。XSSは該当箇所をハイライト

VAddyでは、Webアプリケーションの脆弱性が発見されると、脆弱性が存在するURLやパラメータ名、検査リクエストデータが表示されます。今回のアップデートでは、それらに加えて脆弱性が発見された際のレスポンスデータを表示する機能を追加しました。検査時の…

Jenkinsからクロールのラベルを利用した脆弱性検査が可能に

先日のアップデート、「クロールデータのラベルを利用した脆弱性検査がWebAPI経由で可能に」でお伝えした通り、クロールにつけたラベル文字列を使った任意のクロールデータを用いた脆弱性検査が可能になりました。 例えば、ログイン周りのクロールデータに「…

クロールデータのラベルを利用した脆弱性検査がWebAPI経由で可能に

VAddyでは脆弱性検査の対象となるクロールデータ※を指定することができます。※事前に検査対象とする画面遷移やパラメータを登録したものオートクロール系の検査ツールは対象となるWebサイトをほぼ全て検査してしまうので、検査完了まで大変な時間がかかりま…

WebAPI経由で過去のクロールを使った脆弱性検査が可能に。Jenkinsプラグインも対応

VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。 これまでW…

過去のクロールデータを使った脆弱性検査が可能になりました

VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。クロールデ…

チーム機能について

※2017年9月12日追記2017年9月12日に価格変更を行いました。 料金プラン改定のお知らせ 本記事に掲載されているStandardプランの新規申し込みは終了しております。 新たに提供を開始したStarterプランでもチーム機能はご利用いただけます。 先日提供を開始し…

ついに! 10分で脆弱性検査が体験できるVAddy簡易クロール機能をリリース

VAddyでは、テスト対象のサーバの登録とクロールデータの生成を行った後に脆弱性検査を開始します。クロールデータとは、スキャン対象のURLやパラメータを記録した物で、これを元にVAddyのスキャナーがサイトの構成を学んで検査を行います。クロールデータの…

どのポート番号でもWeb脆弱性診断が可能になりました

VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性診断サービスです。http://vaddy.net/ja/ VAddyではHTTP/HTTPSのWebアプリケーションに対して脆弱性検査が可能となっていますが、ポート番号は80番と443番のみとなってい…

RestAPIサーバのセキュリティテストを実現しました

VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性検査ツールです。 最近のモバイルアプリケーションやシングルページアプリケーションのような構成ですと、APIサーバに対してPOST/PUTリクエストを送信する際に、パラメー…

検査時に送ったHTTPリクエストデータの表示機能をリリースしました

VAddyの管理画面では、脆弱性が1件以上あれば、脆弱性のあるURLと問題となっているパラメータ名、問題(SQLインジェクション or XSS)が表示されます。この情報があれば開発者は問題となっている箇所のソースコードが特定でき、修正が可能です。しかし、実際に…

VAddyスキャンエンジンをアップデートし、URLパスの検査にも対応

継続的セキュリティテストサービスVAddyのスキャンエンジンをアップデートしました。 本アップデートにより、今まで対応していなかったURLパスに含まれるパラメータの検査が可能になりました。 今までは、 /item.php?id=99のようにクエリストリングを対象にS…

VAddyのSQLインジェクション検知ロジックを改良しました

ぼく:「数値入力欄にシングルクォートを入力するとデータベースエラーが!きっと妖怪のしわざだよ!」 執事(ジェンキンス):「まさかぁ、そんなことあるわけが…」ぼく:「脆弱性を検査するのは執事の仕事。しっかり調べておいてよ!!」 ということで、ウ…