機能追加/お知らせ
VAddyは開発現場で使える脆弱性検査ツールとして誰でも簡単に使えるように設計しています。https://vaddy.net/ja/最近VAddyユーザの方や、興味がある方とお話すると、たとえ簡単なお問い合わせフォームだとしても、発注元からXSSの検査は最低限行うような指…
VAddyはクラウド型のWeb脆弱性検査ツールです。 誰でも簡単に使えて手軽に自動化もできます。 VAddy利用者から要望が多かったレポート機能をリリースしました! 今までは、検査で脆弱性が発見された場合は、該当URL、パラメータ、脆弱性種別を表示しているの…
9/30(金)のプレミアムフライデーの夜に、アップデートを行いました!今までは、検査開始画面から該当クロールデータ(シナリオ)をプルダウンで指定するか、検査実行用のクライアントツールからクロールIDを指定した検査実行のみでした。本アップデートによ…
VAddyは手軽にWebの脆弱性検査が実施でき、CI連携など自動化も可能なSaaSです。既存のVAddyは、VAddyサーバからインターネット経由でWebサーバに検査リクエストを送る仕組みのため、検査対象のWebサーバはグローバルIPを持つ環境が必要でした。ユーザからの…
VAddyのWeb脆弱性検査では、今までもURLパスの検査を対象にしてきました。http://blog-ja.vaddy.net/post/104745539236/semantic-url-scanning 今までは、下記のようにURLパスの最後の階層のみを検査対象にしてきました。例えば、 http://example.com/foo/ba…
お待たせしました!ご要望の多かったクロールデータの閲覧機能をリリースしました。 クロールデータとは、検査対象のWebアプリケーションのURLやパラメータ情報です。VAddyでは検査前にお客様に実際のアプリケーションを操作していただき、クロールデータと…
VAddyのAPIを操作して脆弱性検査を実行できるクライアント go-vaddy をリリースしました。今まで、VAddyとCI連携を簡単に実現するために、Jenkins VAddy pluginの配布と、Ruby実装のvaddy-api-rubyの配布をしてきました。Jenkinsではない環境やRubyがインス…
VAddyでは最初に検査対象となるサーバ名を登録すると、Verificationコードが自動発行されます。このコードを含むhtmlファイルを検査対象のwebrootに設置してもらい、本当にそのサーバの所有者か確認(Verify)します。参考:「スキャン対象サーバの登録・認証…
VAddyでは、Webアプリケーションの脆弱性が発見されると、脆弱性が存在するURLやパラメータ名、検査リクエストデータが表示されます。今回のアップデートでは、それらに加えて脆弱性が発見された際のレスポンスデータを表示する機能を追加しました。検査時の…
先日のアップデート、「クロールデータのラベルを利用した脆弱性検査がWebAPI経由で可能に」でお伝えした通り、クロールにつけたラベル文字列を使った任意のクロールデータを用いた脆弱性検査が可能になりました。 例えば、ログイン周りのクロールデータに「…
VAddyでは脆弱性検査の対象となるクロールデータ※を指定することができます。※事前に検査対象とする画面遷移やパラメータを登録したものオートクロール系の検査ツールは対象となるWebサイトをほぼ全て検査してしまうので、検査完了まで大変な時間がかかりま…
VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。 これまでW…
VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。クロールデ…
※2017年9月12日追記2017年9月12日に価格変更を行いました。 料金プラン改定のお知らせ 本記事に掲載されているStandardプランの新規申し込みは終了しております。 新たに提供を開始したStarterプランでもチーム機能はご利用いただけます。 先日提供を開始し…
VAddyでは、テスト対象のサーバの登録とクロールデータの生成を行った後に脆弱性検査を開始します。クロールデータとは、スキャン対象のURLやパラメータを記録した物で、これを元にVAddyのスキャナーがサイトの構成を学んで検査を行います。クロールデータの…
VAddyの脆弱性検査エンジンでは、ベイジアンネットワークなどのデータサイエンス分野の技術も積極的に採用しています。実装として、Java+データサイエンスという組み合わせではよく知られている、WEKAを使っています。WEKAにはK-Meansクラスタリングを行うた…
VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性診断サービスです。http://vaddy.net/ja/ VAddyではHTTP/HTTPSのWebアプリケーションに対して脆弱性検査が可能となっていますが、ポート番号は80番と443番のみとなってい…
VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性検査ツールです。 最近のモバイルアプリケーションやシングルページアプリケーションのような構成ですと、APIサーバに対してPOST/PUTリクエストを送信する際に、パラメー…
VAddyの管理画面では、脆弱性が1件以上あれば、脆弱性のあるURLと問題となっているパラメータ名、問題(SQLインジェクション or XSS)が表示されます。この情報があれば開発者は問題となっている箇所のソースコードが特定でき、修正が可能です。しかし、実際に…
継続的セキュリティテストサービスVAddyのスキャンエンジンをアップデートしました。 本アップデートにより、今まで対応していなかったURLパスに含まれるパラメータの検査が可能になりました。 今までは、 /item.php?id=99のようにクエリストリングを対象にS…
ぼく:「数値入力欄にシングルクォートを入力するとデータベースエラーが!きっと妖怪のしわざだよ!」 執事(ジェンキンス):「まさかぁ、そんなことあるわけが…」ぼく:「脆弱性を検査するのは執事の仕事。しっかり調べておいてよ!!」 ということで、ウ…
