クラウド型Web脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

機能追加/お知らせ

過去のクロールデータを使った脆弱性検査が可能になりました

VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。クロールデ…

チーム機能について

※2017年9月12日追記2017年9月12日に価格変更を行いました。 料金プラン改定のお知らせ 本記事に掲載されているStandardプランの新規申し込みは終了しております。 新たに提供を開始したStarterプランでもチーム機能はご利用いただけます。 先日提供を開始し…

ついに! 10分で脆弱性検査が体験できるVAddy簡易クロール機能をリリース

VAddyでは、テスト対象のサーバの登録とクロールデータの生成を行った後に脆弱性検査を開始します。クロールデータとは、スキャン対象のURLやパラメータを記録した物で、これを元にVAddyのスキャナーがサイトの構成を学んで検査を行います。クロールデータの…

WEKAのK-Meansクラスタリングをマルチスレッド対応させました

VAddyの脆弱性検査エンジンでは、ベイジアンネットワークなどのデータサイエンス分野の技術も積極的に採用しています。実装として、Java+データサイエンスという組み合わせではよく知られている、WEKAを使っています。WEKAにはK-Meansクラスタリングを行うた…

どのポート番号でもWeb脆弱性診断が可能になりました

VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性診断サービスです。http://vaddy.net/ja/ VAddyではHTTP/HTTPSのWebアプリケーションに対して脆弱性検査が可能となっていますが、ポート番号は80番と443番のみとなってい…

RestAPIサーバのセキュリティテストを実現しました

VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性検査ツールです。 最近のモバイルアプリケーションやシングルページアプリケーションのような構成ですと、APIサーバに対してPOST/PUTリクエストを送信する際に、パラメー…

検査時に送ったHTTPリクエストデータの表示機能をリリースしました

VAddyの管理画面では、脆弱性が1件以上あれば、脆弱性のあるURLと問題となっているパラメータ名、問題(SQLインジェクション or XSS)が表示されます。この情報があれば開発者は問題となっている箇所のソースコードが特定でき、修正が可能です。しかし、実際に…

VAddyスキャンエンジンをアップデートし、URLパスの検査にも対応

継続的セキュリティテストサービスVAddyのスキャンエンジンをアップデートしました。 本アップデートにより、今まで対応していなかったURLパスに含まれるパラメータの検査が可能になりました。 今までは、 /item.php?id=99のようにクエリストリングを対象にS…

VAddyのSQLインジェクション検知ロジックを改良しました

ぼく:「数値入力欄にシングルクォートを入力するとデータベースエラーが!きっと妖怪のしわざだよ!」 執事(ジェンキンス):「まさかぁ、そんなことあるわけが…」ぼく:「脆弱性を検査するのは執事の仕事。しっかり調べておいてよ!!」 ということで、ウ…