クラウド型脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

VAddyユーザーミートアップ Vol.5を開催しました

2017年最初のVAddyユーザーミートアップをコワーキングスペース茅場町Co-Edoにて開催しました。 2015年から始めたVAddyミートアップも今年で3年目、通算11回目の開催となりました。 昨年はVAddyのユーザー企業様をゲストにお招きしてお送りしてきましたが、…

VAddyの脆弱性検査で、URLパスのすべての階層が検査可能に

VAddyのWeb脆弱性検査では、今までもURLパスの検査を対象にしてきました。http://blog-ja.vaddy.net/post/104745539236/semantic-url-scanning 今までは、下記のようにURLパスの最後の階層のみを検査対象にしてきました。例えば、 http://example.com/foo/ba…

VAddy 2016年の総括

VAddy Adventカレンダー24日目の記事です。@vaddynet の中の人、西野です。趣味はドラムとバイクです。 クリスマスイブですね。もはやクリスマスにワクワクもガッカリもしなくなってしまいましたが、きっとこんな日はブログを見てくれる人もいないと思うので…

VAddyと脆弱性診断サービスの微妙な関係

VAddy Adventカレンダー23日目の記事です。@vaddynet の中の人、西野です。 VAddyは開発者フレンドリーな脆弱性検査ツールです。 セキュリティの特別な知識が無くても自身が作ったアプリケーションの脆弱性検査(セキュリティテスト)ができます。 と、この…

脆弱性って何?〜見つけにくい脆弱性

VAddy Adventカレンダー18日目の記事です。@vaddynet の中の人、西野です。VAddyは開発者フレンドリーなWebアプリケーション脆弱性検査サービスです。 セキュリティの知識がなくても簡単にWebアプリケーションの脆弱性検査ができます。 いつもは開発者向けの…

VAddyのプランと料金体系の話

※2017年9月12日追記2017年9月12日に価格変更を行いました。 料金プラン改定のお知らせ 本記事に掲載されているFreeプランおよびStandardプランの新規申し込みは終了しております。 VAddy Adventカレンダー17日目の記事です。@vaddynet の中の人、西野です。…

受託開発と自社サービスの話

VAddy Adventカレンダー11日目の記事です。 昨日に引き続き@vaddynetの中の人、西野と申します。バンド(ドラム)とバイクが趣味ですw 先週末のカレンダーで弊社のことが書かれていたので、それに関連して会社のことを少々。 特に結論のない自分語りですがお…

勉強会はコワーキングスペースで

VAddy Adventカレンダー10日目の記事です。 @vaddynet の中の人、西野と申します。 VAddyプロジェクトではビジネス系の業務全般を担当しています。 昔流行ったの「ギークvsスーツ」の文脈で言うと「スーツ」の人ですw ネクタイの結び方を忘れるくらいスーツ…

VAddyユーザーミートアップ Vol.4を開催しました

2016年11月30日(水)、今年最後のVAddyユーザーミートアップをコワーキングスペース茅場町Co-Edoにて開催しました。 今回のゲストは株式会社IDCフロンティア様とエクスジェン・ネットワークス株式会社様の豪華二本立て。 VAddyからもちょっと大きめなアップ…

CacooUp Taipei & Meet Taipei   に参加しました

CacooUp Taipei ヌーラボさん主催のCacooUpにユーザー企業として招待頂きました。CacooUpは台湾国内のCacooユーザーミートアップイベントで、2012年から開催されています。ちなみにCacooの台湾ユーザーは12万人もいるそうですよ!デザイナー、プログラマーを…

クロールデータの閲覧機能をリリースしました! テストシナリオの振返りに便利

お待たせしました!ご要望の多かったクロールデータの閲覧機能をリリースしました。 クロールデータとは、検査対象のWebアプリケーションのURLやパラメータ情報です。VAddyでは検査前にお客様に実際のアプリケーションを操作していただき、クロールデータと…

どのような環境からでも簡単にVAddyの脆弱性検査が実行できるコマンドツールgo-vaddyをリリース(Mac,Linux,Windows対応)

VAddyのAPIを操作して脆弱性検査を実行できるクライアント go-vaddy をリリースしました。今まで、VAddyとCI連携を簡単に実現するために、Jenkins VAddy pluginの配布と、Ruby実装のvaddy-api-rubyの配布をしてきました。Jenkinsではない環境やRubyがインス…

検査対象サーバの所有者確認でエラーがあった場合に、レスポンスコードとメッセージを表示するようにしました

VAddyでは最初に検査対象となるサーバ名を登録すると、Verificationコードが自動発行されます。このコードを含むhtmlファイルを検査対象のwebrootに設置してもらい、本当にそのサーバの所有者か確認(Verify)します。参考:「スキャン対象サーバの登録・認証…

VAddyユーザーミートアップ Vol.3を開催しました

早いもので2016年も半分が過ぎてしまいました。前回、前々回に引き続き、2016年6月29日(水)にコワーキングスペース茅場町 Co-EdoにてVAddyユーザーミートアップ Vol.3を開催しました。 今回のゲストは株式会社マネーフォワードで社内のセキュリティを担当…

脆弱性を発見した際のレスポンスデータ表示機能を追加。XSSは該当箇所をハイライト

VAddyでは、Webアプリケーションの脆弱性が発見されると、脆弱性が存在するURLやパラメータ名、検査リクエストデータが表示されます。今回のアップデートでは、それらに加えて脆弱性が発見された際のレスポンスデータを表示する機能を追加しました。検査時の…

Jenkinsからクロールのラベルを利用した脆弱性検査が可能に

先日のアップデート、「クロールデータのラベルを利用した脆弱性検査がWebAPI経由で可能に」でお伝えした通り、クロールにつけたラベル文字列を使った任意のクロールデータを用いた脆弱性検査が可能になりました。 例えば、ログイン周りのクロールデータに「…

VAddyユーザーミートアップ Vol.2を開催しました

前回のミートアップに引き続き、2016年4月20日(水)にコワーキングスペース茅場町 Co-EdoにてVAddyユーザーミートアップ Vol.2を開催しました。 ゲストをお招きして開催している今年のVAddyミートアップ、今回はクラウド型業務サービス「board」を開発/運…

翻訳企画:DevOpsはもっとセキュリティに注意を払うべき

本記事はDevOps.comに掲載された記事を許可を得て日本語訳したものです。“This post was originally published on the DevOps.com.” DevOpsを採用する組織はもっとセキュリティに注意を払うべきであると、Threat Inteligenceの創設者Ty Millerは提案していま…

翻訳企画:セキュリティテストを開発のパイプラインに追加しよう

本記事はGoCDブログに掲載された記事を日本語訳したものです。“This post was originally published on the GoCD blog.” この記事は「 It’s not Continuous Delivery if you can’t deploy right now」というシリーズの第二弾です。 今回はセキュリティテスト…

クロールデータのラベルを利用した脆弱性検査がWebAPI経由で可能に

VAddyでは脆弱性検査の対象となるクロールデータ※を指定することができます。※事前に検査対象とする画面遷移やパラメータを登録したものオートクロール系の検査ツールは対象となるWebサイトをほぼ全て検査してしまうので、検査完了まで大変な時間がかかりま…

WebAPI経由で過去のクロールを使った脆弱性検査が可能に。Jenkinsプラグインも対応

VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。 これまでW…

VAddyユーザーミートアップ Vol.1を開催しました

2016年2月16日(火)にコワーキングスペース茅場町 Co-EdoにてVAddyユーザーミートアップ Vol.1を開催しました。 私たちは昨年1年間、VAddyを皆さまに知ってもらう目的で「VAddyミートアップ」を開催し、そこでいただいた貴重なフィードバックをVAddyの開発…

SCaLE 14xに参加しました

昨年11月のphp[world]2015に続いて、ロサンゼルスで開催されたSCaLE 14xというイベントに参加してきました。 SCaLE(Southern California Linux Expo)とは毎年ロサンゼルスで開催されているLinux/Open Source softwareエキスポで、14回めとなる今年は150以…

過去のクロールデータを使った脆弱性検査が可能になりました

VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。クロールデ…

php[world]2015に参加しました

VAddyの海外プロモーションの一環として、2015/11/16からワシントンD.C.で開催されたphp[world]2015にスポンサーとして参加してきました。サービスのプロモーションで海外カンファレンスへの参加を検討している方もいると思うので、この記事が参考になれば幸…

チーム機能について

※2017年9月12日追記2017年9月12日に価格変更を行いました。 料金プラン改定のお知らせ 本記事に掲載されているStandardプランの新規申し込みは終了しております。 新たに提供を開始したStarterプランでもチーム機能はご利用いただけます。 先日提供を開始し…

VAddy有料プランに込めた想い

※2017年9月12日追記2017年9月12日に価格変更を行いました。 料金プラン改定のお知らせ 本記事に掲載されているFreeプランおよびStandardプランの新規申し込みは終了しております。 昨日、VAddy有料プランをリリースしました。「クラウド型Web脆弱性検査ツー…

企画する自分 vs 実装する自分

新しい機能を考えるときに、こうしたいとか、ユーザの事を考えてこうすべき、ということを全て出し切らないといけない。出し切った後にどうするかを議論して取捨選択すれば良いのだけど、出し切る前に実装する自分が出てきて、それはどうかなーみたいに思考…

ついに! 10分で脆弱性検査が体験できるVAddy簡易クロール機能をリリース

VAddyでは、テスト対象のサーバの登録とクロールデータの生成を行った後に脆弱性検査を開始します。クロールデータとは、スキャン対象のURLやパラメータを記録した物で、これを元にVAddyのスキャナーがサイトの構成を学んで検査を行います。クロールデータの…

Codeshipを使った継続的Webセキュリティテスト環境の構築

日本ではあまり利用者が多くないかもしれませんが、CodeshipというCIサービスがあります。今回はCodeshipとVAddyを組み合わせた継続的セキュリティテスト環境を構築してみました。CicleCI連携の時と同様に、git pushしてCodeshipのジョブを起動させ、テスト…