2023年4月にリリースされた新機能では、VAddyの検査時に任意のリクエストヘッダやCookieを追加・変更できるようになりました。さらに、この機能を使用して設定を保存し、次回以降の検査にも適用できるようになりました！ 検査リクエストヘッダやCookieの追加…

VAddyの検査では、事前に検査対象のアプリケーション画面のHTTPリクエストとレスポンスをテストシナリオとして記録し、それを正常遷移データとして利用し効率的に検査を行います。VAddyではこれを「クロール」と呼びます。 今まではVAddyのProxyサーバを使っ…

VAddyに操作ログ機能を追加しました。 画面やWebAPIの操作が記録され、過去1年分の記録が閲覧できるようになりました。（記録開始は2023年1月29日から） 例えば、ユーザ情報の変更、検査実行、WebAPIからの検査実行、登録したサーバ情報の変更、チームメンバ…

今までのVAddyの脆弱性診断では、VAddyが発行する認証htmlファイルを検査対象サーバに設置が必須でした。 そのため認証ファイルが置けないAuth0、AWS Cognito、Azure AD B2CのようなIDaaS利用アプリケーションは検査時にシナリオの再現ができず、それらはロ…

WebAPIとgo-VAddyツールから検査項目を指定した脆弱性診断の実行が可能になりました

VAddyは「継続的な脆弱性診断を実現するツール」として誕生しました。 リリースサイクルが年々短くなっていくSaaSサービスでは、定期的な脆弱性診断に加えて継続的な脆弱性診断の要求が高まっており、そうした分野で特にVAddyが利用されています。 そこで本…

全ての納品物について脆弱性診断を（手間をかけずに）実施したい。 そんな思いをお持ちのWeb制作会社の経営者・事業責任者もいらっしゃると思います。 近年では小規模な案件でもWebアプリケーションの脆弱性診断を求められるケースが増えてきており、VAddyオ…

クラウド型脆弱性診断ツールVAddyの使い方をご紹介いたします。

日本ではあまり利用者が多くないかもしれませんが、CodeshipというCIサービスがあります。今回はCodeshipとVAddyを組み合わせた継続的セキュリティテスト環境を構築してみました。CicleCI連携の時と同様に、git pushしてCodeshipのジョブを起動させ、テスト…

VAddyは開発者向けツールという位置づけですが、今回は少し趣向を変えて「非エンジニア系WebディレクターのVAddy活用法」をお話したいと思います。 http://vaddy.net/ja 「Webディレクター」の肩書を持っている方の出身は、営業、Webデザイナー、フロントエ…

VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性検査ツールです。 最近のモバイルアプリケーションやシングルページアプリケーションのような構成ですと、APIサーバに対してPOST/PUTリクエストを送信する際に、パラメー…

VAddyとCircleCIを組み合わせると、簡単に継続的セキュリティテスト環境が実現できます。git pushするとCircleCIのジョブが起動し、テストサーバにコードをデプロイ、そのテストサーバに向けてVAddyからWebの脆弱性検査を実施します。 今回は、git push -> U…

継続的セキュリティテストサービスVAddyはJenkinsプラグインを提供しているため、Hipchat Jenkinsプラグインを入れれば、CIの中でWebアプリケーションに対して脆弱性検査を自動実行して、その結果をHipchatに通知できます。 Jenkinsには、ビルド後の処理にEm…

VAddyとは?VAddyは我々が開発している、「CIで脆弱性検査（セキュリティテスト）を」というコンセプトのサービスです。Jenkins等のCIサーバを使い、JUnitやPHPUnitなどユニットテストや、Seleniumを使ったブラウザテストを行うというテスト（開発）手法は、…