機能追加/お知らせ
2023年4月にリリースされた新機能では、VAddyの検査時に任意のリクエストヘッダやCookieを追加・変更できるようになりました。さらに、この機能を使用して設定を保存し、次回以降の検査にも適用できるようになりました! 検査リクエストヘッダやCookieの追加…
VAddyの検査では、事前に検査対象のアプリケーション画面のHTTPリクエストとレスポンスをテストシナリオとして記録し、それを正常遷移データとして利用し効率的に検査を行います。VAddyではこれを「クロール」と呼びます。 今まではVAddyのProxyサーバを使っ…
2023年10月からのインボイス制度対応に向けて、請求書、クレジットカード決済それぞれの対応を行いました。 請求書払い 請求書を送付し銀行振込にて支払いを行なっている場合は、VAddyから送付する請求書に発行者の名称、登録番号などが記載されています。20…
VAddyの検査時に任意のリクエストヘッダ、Cookieを追加・変更できる機能をリリースしました!これまで対応できなかったシチュエーションにも対応できるようになりました。 例えば次の画像(検査時のリクエスト情報)のように、検査時のHTTPリクエストヘッダに …
VAddyに操作ログ機能を追加しました。 画面やWebAPIの操作が記録され、過去1年分の記録が閲覧できるようになりました。(記録開始は2023年1月29日から) 例えば、ユーザ情報の変更、検査実行、WebAPIからの検査実行、登録したサーバ情報の変更、チームメンバ…
検査除外設定の機能追加と不具合修正を行いました。 機能追加 検査除外設定は、検査を実施したくない検査項目(例えばXSSなど)とメソッド、URLを指定して検査を除外できる機能です。 ログイン画面のみ検査しないようにしたいなど、特定のURLのみ検査を実施…
今までのVAddyの脆弱性診断では、VAddyが発行する認証htmlファイルを検査対象サーバに設置が必須でした。 そのため認証ファイルが置けないAuth0、AWS Cognito、Azure AD B2CのようなIDaaS利用アプリケーションは検査時にシナリオの再現ができず、それらはロ…
WebAPIとgo-VAddyツールから検査項目を指定した脆弱性診断の実行が可能になりました
VAddyエンタープライズプランで提供している、 SSRF/Log4j検査 メールヘッダインジェクション検査 安全でないデシリアライゼーション検査 の検査速度改善を行い、エンタープライズプランの検査速度が大幅に改善しました! 詳細内容 速度改善を行った検査では…
VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 本日(2021/12/13)、VAddyのエンタープライズとエンタープライズ+ プランのSSRF検査の中で、Log4jの脆弱性(CVE-2021-44228)が検…
VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 今までは、特定のサーバ(FQDN)を検査除外にする機能はありました。例えばログイン用の認証基盤サーバが別にあり、そちらは検査に含…
VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 本日(2021/6/23)、VAddyのエンタープライズとエンタープライズ+ プランに「非公開ファイル検査」を追加しました。 非公開ファイ…
VAddyはクラウド型の脆弱性診断ツールです。 これまでVAddyのXSS検査では<script>タグを用いた検査ロジックを使用していました。しかし、例えば<script>タグに関しては無効化するような処理が行われているものの、それ以外の任意のhtmlタグは挿入できる、などの状態は必ずし…
VAddyはクラウド型の脆弱性診断ツールです。 VAddyのエンタープライズプランには9つの検査項目がありますが、これに加えてSSRF(サーバサイドリクエストフォージェリ)の検査を追加しました。 ▼VAddy Enterpriseプラン検査項目一覧 SQLインジェクション検査 XS…
クラウド型脆弱性診断ツールVAddyの機能アップデートを行いました。 WebAPIで検査の結果を取得できるのですが、今回はその結果のJSONの中にクロールラベルのフィールド(crawl_label)を追加しました。 github.com WebAPIから取得できる検査結果には、脆弱性の…
クラウド型脆弱性診断ツールVAddyのSQLインジェクション検査をアップデートしました。 今まではGETやPOST時のKey=Value形式のValue側だけを対象に、SQLインジェクションの検査を実施していました。今回のアップデートにより、Key=ValueのKey側も検査対象とな…
VAddyはクラウド型の脆弱性診断ツールです。 今回、ユーザが任意のタイミングでクロール(シナリオ作成)をキャンセルする機能をリリースしました。 VAddyはクロールというシナリオ作成機能によって、アクセスした画面の範囲が検査対象となります。ですので…
VAddyで脆弱性診断を実行するためには、検査対象の画面やパラメータを事前にVAddyに登録する「クロール」という作業(テストシナリオの作成)が必要になります。 *1 VAddyにはチーム機能/組織管理機能といった複数のメンバーでVAddyを利用する機能が用意さ…
VAddyの脆弱性診断の精度をより上げるために、検査対象サーバが外部接続するような検査データを送信し、実際にDNSの名前解決が行われるかを検知する外部接続検知機能を追加しました。 この機能は、海外ではOut-of-Band Testing/Detectionなどと呼ばれている…
VAddyでは、検査対象のサーバのwebrootにVAddyの認証htmlファイル(Verificationファイル)を設置しそのファイルがあれば検査が可能でした。例えば、 http://www.example.com/vaddy-1234.html のように。 今までの問題点 お客様によってはwebrootではなく、 /f…
VAddyは脆弱性診断のクラウド型ツールです。誰でも手軽に脆弱性診断が実施できます。 VAddyでは、クロール操作をしてクロールデータ(シナリオ)を作成した後に、VAddyの管理画面にてクロール毎にラベルとして自由に文言が付与できます。(下の画像参考) ク…
VAddyでは初期から、検査開始、検査結果取得、クロール一覧取得のWebAPIを提供してきました。 検査結果を1件取得するAPIはありましたが、複数の検査結果を取得する機能がありませんでした。 今回、複数の検査結果を取得するAPIを提供することにより、検査し…
VAddyの事業責任者の市川です。 VAddyは、誰でも手軽に使えて自動化もできるクラウド型の脆弱性診断ツールとして開発をし、5年間運用してきました。様々なWebアプリケーションの検査に対応できるようにチューニングし続け、加えてプライベートネット版対応、…
VAddyのチーム機能では、検査対象を管理するプロジェクトに対して、Owner, Write, Readの3つの権限がありました。今回、それに加えてプロジェクト管理権限(ProjectAdmin)を追加しました。 Ownerはそのプロジェクトを作った所有者です。Ownerの契約するプラン…
VAddyの検査中に、現在どれぐらいの検査が終わっているかを % 表示する機能をリリースしました。これで1時間を超えるような長い検査の場合でも、どれぐらいの速度で検査が終わっているか把握しやすくなりました。 検査の進捗表示 検査の最初に、検査予定のパ…
VAddyで実施した脆弱性検査レポートのPDFダウンロード機能をリリースしました。これにより、クライアントなどに提出するためのレポートをPDF形式で取得できるようになります。現在は、Professional/Platinum/Platinum+プランのみ対応となります。(無料トラ…
hostsファイルのように、DNS登録していないドメインに対してIP指定して脆弱性診断ができるようになりました!https://vaddy.net/ja/ OSのhostsファイルを使わないと動作確認ができないようなWebアプリケーションは、DNSに検査対象のFQDNが登録されておらず、…
本日、複数のFQDNをまたぐアプリケーションの脆弱性検査機能をリリースいたしました!これまでのVAddyでは検査対象として登録できるのは単一のFQDNで構成されたWebアプリケーションだけでしたが、本日リリースした機能によって複数のFQDNから構成されているW…
VAddyはクラウド型Web脆弱性検査ツールです。脆弱性診断におけるコスト問題の解決に。 チーム機能に新しい機能を追加しました。これまでは検査対象FQDNの認証(Verify)処理を行えるのはFQDNを登録したアカウント(Owner)だけでしたが、本日のアップデート…
今年の2月に発表したVAddy Platinum / Platinum +(プラス)を本日より提供開始しました! 【プレスリリース】ビットフォレストはSHIFT SECURITYと業務提携し、クラウド型Web脆弱性検査サービス「VAddy」の上位プランの提供を開始https://vaddy.net/ja/relea…
