VAddyブログ

- 継続的セキュリティテストへの道 -

regular

VAddy脆弱性検査レポートPDF機能をリリース

VAddyで実施した脆弱性検査レポートのPDFダウンロード機能をリリースしました。これにより、クライアントなどに提出するためのレポートをPDF形式で取得できるようになります。現在は、Professional/Platinum/Platinum+プランのみ対応となります。(無料トラ…

DNS登録していないドメインでもIP指定して脆弱性検査可能に!

hostsファイルのように、DNS登録していないドメインに対してIP指定して脆弱性診断ができるようになりました!https://vaddy.net/ja/ OSのhostsファイルを使わないと動作確認ができないようなWebアプリケーションは、DNSに検査対象のFQDNが登録されておらず、…

VAddyで複数FQDNをまたぐアプリケーションの脆弱性検査が可能に!

本日、複数のFQDNをまたぐアプリケーションの脆弱性検査機能をリリースいたしました!これまでのVAddyでは検査対象として登録できるのは単一のFQDNで構成されたWebアプリケーションだけでしたが、本日リリースした機能によって複数のFQDNから構成されているW…

チーム機能メンバーがVerify処理できる新機能をリリース

VAddyはクラウド型Web脆弱性検査ツールです。脆弱性診断におけるコスト問題の解決に。 チーム機能に新しい機能を追加しました。これまでは検査対象FQDNの認証(Verify)処理を行えるのはFQDNを登録したアカウント(Owner)だけでしたが、本日のアップデート…

脆弱性対応サポートと手動診断がパッケージされたVAddy Platinum/Platinum +プランがリリースされました!

今年の2月に発表したVAddy Platinum / Platinum +(プラス)を本日より提供開始しました! 【プレスリリース】ビットフォレストはSHIFT SECURITYと業務提携し、クラウド型Web脆弱性検査サービス「VAddy」の上位プランの提供を開始https://vaddy.net/ja/relea…

蓄積型XSS(クロスサイトスクリプティング)の検査を追加しました

VAddyは開発現場で使える脆弱性検査ツールとして誰でも簡単に使えるように設計しています。https://vaddy.net/ja/最近VAddyユーザの方や、興味がある方とお話すると、たとえ簡単なお問い合わせフォームだとしても、発注元からXSSの検査は最低限行うような指…

開発現場に脆弱性検査を!VAddyユーザーミートアップ Vol.8を開催しました。

VAddyユーザーミートアップ Vol8を開催しました。今回の会場はなんと「大阪」! ついに関西上陸です。 これまで東京と福岡で開催していたVAddyミートアップですが、EC-CUBEでおなじみの株式会社ロックオン様にご協力いただき、VAddyミートアップ in 大阪が実…

VAddy検査結果レポート機能をリリース

VAddyはクラウド型のWeb脆弱性検査ツールです。 誰でも簡単に使えて手軽に自動化もできます。 VAddy利用者から要望が多かったレポート機能をリリースしました! 今までは、検査で脆弱性が発見された場合は、該当URL、パラメータ、脆弱性種別を表示しているの…

クロール(シナリオ)を指定した脆弱性検査がより簡単にできるようになりました

9/30(金)のプレミアムフライデーの夜に、アップデートを行いました!今までは、検査開始画面から該当クロールデータ(シナリオ)をプルダウンで指定するか、検査実行用のクライアントツールからクロールIDを指定した検査実行のみでした。本アップデートによ…

ビットフォレスト福岡オフィス開設記念パーティは夜の1時を超えて・・

VAddyを運営している株式会社ビットフォレストは大手町の本社のみでしたが、今年から福岡オフィスを開設し営業しています。しばらくは、VAddy開発リーダの私、市川のみが福岡オフィスに常駐し、今後は採用活動や九州の窓口として機能していく予定です。 2017…

VAddyユーザーミートアップ Vol.7を開催しました

2017年8月24日にVAddyユーザーミートアップVol.7を開催しました。 会場は今回もコワーキングスペース茅場町Co-Edoです。 今年は「セキュリティ x Web開発」というテーマで、Webアプリケーション開発者向けのセキュリティ対策tipsなどをお送りしています。 夏…

クラウドサーバに対する脆弱性診断の事前申請について各社に問い合わせてみた結果

先日このようなブログ記事が公開されました。 クラウドサービスを脆弱性診断する時のお作法 とある企業において脆弱性診断をされている「とある診断員」さんのブログで、クラウドサービス(IaaS)の利用者が脆弱性診断をする際の注意点がまとめられています…

VAddyユーザーミートアップ Vol.6を開催しました

梅雨の晴れ間の2017年6月22日にVAddyユーザーミートアップVol.6を開催しました。会場は今回もコワーキングスペース茅場町Co-Edoです。 通算12回目の開催となります。 今年は「セキュリティ x Web開発」というテーマで開催しておりますが、ゲストは前回に引き…

PrivateNet版VAddyをリリースしました。ローカル環境でも手軽に脆弱性検査できます!

VAddyは手軽にWebの脆弱性検査が実施でき、CI連携など自動化も可能なSaaSです。既存のVAddyは、VAddyサーバからインターネット経由でWebサーバに検査リクエストを送る仕組みのため、検査対象のWebサーバはグローバルIPを持つ環境が必要でした。ユーザからの…

VAddyユーザーミートアップ Vol.5を開催しました

2017年最初のVAddyユーザーミートアップをコワーキングスペース茅場町Co-Edoにて開催しました。 2015年から始めたVAddyミートアップも今年で3年目、通算11回目の開催となりました。 昨年はVAddyのユーザー企業様をゲストにお招きしてお送りしてきましたが、…

VAddyの脆弱性検査で、URLパスのすべての階層が検査可能に

VAddyのWeb脆弱性検査では、今までもURLパスの検査を対象にしてきました。http://blog-ja.vaddy.net/post/104745539236/semantic-url-scanning 今までは、下記のようにURLパスの最後の階層のみを検査対象にしてきました。例えば、 http://example.com/foo/ba…

VAddy 2016年の総括

VAddy Adventカレンダー24日目の記事です。@vaddynet の中の人、西野です。趣味はドラムとバイクです。 クリスマスイブですね。もはやクリスマスにワクワクもガッカリもしなくなってしまいましたが、きっとこんな日はブログを見てくれる人もいないと思うので…

VAddyと脆弱性診断サービスの微妙な関係

VAddy Adventカレンダー23日目の記事です。@vaddynet の中の人、西野です。 VAddyは開発者フレンドリーな脆弱性検査ツールです。 セキュリティの特別な知識が無くても自身が作ったアプリケーションの脆弱性検査(セキュリティテスト)ができます。 と、この…

脆弱性って何?〜見つけにくい脆弱性

VAddy Adventカレンダー18日目の記事です。@vaddynet の中の人、西野です。VAddyは開発者フレンドリーなWebアプリケーション脆弱性検査サービスです。 セキュリティの知識がなくても簡単にWebアプリケーションの脆弱性検査ができます。 いつもは開発者向けの…

VAddyのプランと料金体系の話

※2017年9月12日追記2017年9月12日に価格変更を行いました。 料金プラン改定のお知らせ 本記事に掲載されているFreeプランおよびStandardプランの新規申し込みは終了しております。 VAddy Adventカレンダー17日目の記事です。@vaddynet の中の人、西野です。…

受託開発と自社サービスの話

VAddy Adventカレンダー11日目の記事です。 昨日に引き続き@vaddynetの中の人、西野と申します。バンド(ドラム)とバイクが趣味ですw 先週末のカレンダーで弊社のことが書かれていたので、それに関連して会社のことを少々。 特に結論のない自分語りですがお…

勉強会はコワーキングスペースで

VAddy Adventカレンダー10日目の記事です。 @vaddynet の中の人、西野と申します。 VAddyプロジェクトではビジネス系の業務全般を担当しています。 昔流行ったの「ギークvsスーツ」の文脈で言うと「スーツ」の人ですw ネクタイの結び方を忘れるくらいスーツ…

VAddyユーザーミートアップ Vol.4を開催しました

2016年11月30日(水)、今年最後のVAddyユーザーミートアップをコワーキングスペース茅場町Co-Edoにて開催しました。 今回のゲストは株式会社IDCフロンティア様とエクスジェン・ネットワークス株式会社様の豪華二本立て。 VAddyからもちょっと大きめなアップ…

CacooUp Taipei & Meet Taipei   に参加しました

CacooUp Taipei ヌーラボさん主催のCacooUpにユーザー企業として招待頂きました。CacooUpは台湾国内のCacooユーザーミートアップイベントで、2012年から開催されています。ちなみにCacooの台湾ユーザーは12万人もいるそうですよ!デザイナー、プログラマーを…

クロールデータの閲覧機能をリリースしました! テストシナリオの振返りに便利

お待たせしました!ご要望の多かったクロールデータの閲覧機能をリリースしました。 クロールデータとは、検査対象のWebアプリケーションのURLやパラメータ情報です。VAddyでは検査前にお客様に実際のアプリケーションを操作していただき、クロールデータと…

どのような環境からでも簡単にVAddyの脆弱性検査が実行できるコマンドツールgo-vaddyをリリース(Mac,Linux,Windows対応)

VAddyのAPIを操作して脆弱性検査を実行できるクライアント go-vaddy をリリースしました。今まで、VAddyとCI連携を簡単に実現するために、Jenkins VAddy pluginの配布と、Ruby実装のvaddy-api-rubyの配布をしてきました。Jenkinsではない環境やRubyがインス…

検査対象サーバの所有者確認でエラーがあった場合に、レスポンスコードとメッセージを表示するようにしました

VAddyでは最初に検査対象となるサーバ名を登録すると、Verificationコードが自動発行されます。このコードを含むhtmlファイルを検査対象のwebrootに設置してもらい、本当にそのサーバの所有者か確認(Verify)します。参考:「スキャン対象サーバの登録・認証…

VAddyユーザーミートアップ Vol.3を開催しました

早いもので2016年も半分が過ぎてしまいました。前回、前々回に引き続き、2016年6月29日(水)にコワーキングスペース茅場町 Co-EdoにてVAddyユーザーミートアップ Vol.3を開催しました。 今回のゲストは株式会社マネーフォワードで社内のセキュリティを担当…

脆弱性を発見した際のレスポンスデータ表示機能を追加。XSSは該当箇所をハイライト

VAddyでは、Webアプリケーションの脆弱性が発見されると、脆弱性が存在するURLやパラメータ名、検査リクエストデータが表示されます。今回のアップデートでは、それらに加えて脆弱性が発見された際のレスポンスデータを表示する機能を追加しました。検査時の…

Jenkinsからクロールのラベルを利用した脆弱性検査が可能に

先日のアップデート、「クロールデータのラベルを利用した脆弱性検査がWebAPI経由で可能に」でお伝えした通り、クロールにつけたラベル文字列を使った任意のクロールデータを用いた脆弱性検査が可能になりました。 例えば、ログイン周りのクロールデータに「…