クラウド型脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

勉強会はコワーキングスペースで

VAddy Adventカレンダー10日目の記事です。 @vaddynet の中の人、西野と申します。 VAddyプロジェクトではビジネス系の業務全般を担当しています。 昔流行ったの「ギークvsスーツ」の文脈で言うと「スーツ」の人ですw ネクタイの結び方を忘れるくらいスーツ…

VAddyユーザーミートアップ Vol.4を開催しました

2016年11月30日(水)、今年最後のVAddyユーザーミートアップをコワーキングスペース茅場町Co-Edoにて開催しました。 今回のゲストは株式会社IDCフロンティア様とエクスジェン・ネットワークス株式会社様の豪華二本立て。 VAddyからもちょっと大きめなアップ…

CacooUp Taipei & Meet Taipei   に参加しました

CacooUp Taipei ヌーラボさん主催のCacooUpにユーザー企業として招待頂きました。CacooUpは台湾国内のCacooユーザーミートアップイベントで、2012年から開催されています。ちなみにCacooの台湾ユーザーは12万人もいるそうですよ!デザイナー、プログラマーを…

クロールデータの閲覧機能をリリースしました! テストシナリオの振返りに便利

お待たせしました!ご要望の多かったクロールデータの閲覧機能をリリースしました。 クロールデータとは、検査対象のWebアプリケーションのURLやパラメータ情報です。VAddyでは検査前にお客様に実際のアプリケーションを操作していただき、クロールデータと…

どのような環境からでも簡単にVAddyの脆弱性検査が実行できるコマンドツールgo-vaddyをリリース(Mac,Linux,Windows対応)

VAddyのAPIを操作して脆弱性検査を実行できるクライアント go-vaddy をリリースしました。今まで、VAddyとCI連携を簡単に実現するために、Jenkins VAddy pluginの配布と、Ruby実装のvaddy-api-rubyの配布をしてきました。Jenkinsではない環境やRubyがインス…

検査対象サーバの所有者確認でエラーがあった場合に、レスポンスコードとメッセージを表示するようにしました

VAddyでは最初に検査対象となるサーバ名を登録すると、Verificationコードが自動発行されます。このコードを含むhtmlファイルを検査対象のwebrootに設置してもらい、本当にそのサーバの所有者か確認(Verify)します。参考:「スキャン対象サーバの登録・認証…

VAddyユーザーミートアップ Vol.3を開催しました

早いもので2016年も半分が過ぎてしまいました。前回、前々回に引き続き、2016年6月29日(水)にコワーキングスペース茅場町 Co-EdoにてVAddyユーザーミートアップ Vol.3を開催しました。 今回のゲストは株式会社マネーフォワードで社内のセキュリティを担当…

脆弱性を発見した際のレスポンスデータ表示機能を追加。XSSは該当箇所をハイライト

VAddyでは、Webアプリケーションの脆弱性が発見されると、脆弱性が存在するURLやパラメータ名、検査リクエストデータが表示されます。今回のアップデートでは、それらに加えて脆弱性が発見された際のレスポンスデータを表示する機能を追加しました。検査時の…

Jenkinsからクロールのラベルを利用した脆弱性検査が可能に

先日のアップデート、「クロールデータのラベルを利用した脆弱性検査がWebAPI経由で可能に」でお伝えした通り、クロールにつけたラベル文字列を使った任意のクロールデータを用いた脆弱性検査が可能になりました。 例えば、ログイン周りのクロールデータに「…

VAddyユーザーミートアップ Vol.2を開催しました

前回のミートアップに引き続き、2016年4月20日(水)にコワーキングスペース茅場町 Co-EdoにてVAddyユーザーミートアップ Vol.2を開催しました。 ゲストをお招きして開催している今年のVAddyミートアップ、今回はクラウド型業務サービス「board」を開発/運…

翻訳企画:DevOpsはもっとセキュリティに注意を払うべき

本記事はDevOps.comに掲載された記事を許可を得て日本語訳したものです。“This post was originally published on the DevOps.com.” DevOpsを採用する組織はもっとセキュリティに注意を払うべきであると、Threat Inteligenceの創設者Ty Millerは提案していま…

翻訳企画:セキュリティテストを開発のパイプラインに追加しよう

本記事はGoCDブログに掲載された記事を日本語訳したものです。“This post was originally published on the GoCD blog.” この記事は「 It’s not Continuous Delivery if you can’t deploy right now」というシリーズの第二弾です。 今回はセキュリティテスト…

クロールデータのラベルを利用した脆弱性検査がWebAPI経由で可能に

VAddyでは脆弱性検査の対象となるクロールデータ※を指定することができます。※事前に検査対象とする画面遷移やパラメータを登録したものオートクロール系の検査ツールは対象となるWebサイトをほぼ全て検査してしまうので、検査完了まで大変な時間がかかりま…

WebAPI経由で過去のクロールを使った脆弱性検査が可能に。Jenkinsプラグインも対応

VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。 これまでW…

VAddyユーザーミートアップ Vol.1を開催しました

2016年2月16日(火)にコワーキングスペース茅場町 Co-EdoにてVAddyユーザーミートアップ Vol.1を開催しました。 私たちは昨年1年間、VAddyを皆さまに知ってもらう目的で「VAddyミートアップ」を開催し、そこでいただいた貴重なフィードバックをVAddyの開発…

SCaLE 14xに参加しました

昨年11月のphp[world]2015に続いて、ロサンゼルスで開催されたSCaLE 14xというイベントに参加してきました。 SCaLE(Southern California Linux Expo)とは毎年ロサンゼルスで開催されているLinux/Open Source softwareエキスポで、14回めとなる今年は150以…

過去のクロールデータを使った脆弱性検査が可能になりました

VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。クロールデ…

php[world]2015に参加しました

VAddyの海外プロモーションの一環として、2015/11/16からワシントンD.C.で開催されたphp[world]2015にスポンサーとして参加してきました。サービスのプロモーションで海外カンファレンスへの参加を検討している方もいると思うので、この記事が参考になれば幸…

チーム機能について

※2017年9月12日追記2017年9月12日に価格変更を行いました。 料金プラン改定のお知らせ 本記事に掲載されているStandardプランの新規申し込みは終了しております。 新たに提供を開始したStarterプランでもチーム機能はご利用いただけます。 先日提供を開始し…

VAddy有料プランに込めた想い

※2017年9月12日追記2017年9月12日に価格変更を行いました。 料金プラン改定のお知らせ 本記事に掲載されているFreeプランおよびStandardプランの新規申し込みは終了しております。 昨日、VAddy有料プランをリリースしました。「クラウド型Web脆弱性検査ツー…

企画する自分 vs 実装する自分

新しい機能を考えるときに、こうしたいとか、ユーザの事を考えてこうすべき、ということを全て出し切らないといけない。出し切った後にどうするかを議論して取捨選択すれば良いのだけど、出し切る前に実装する自分が出てきて、それはどうかなーみたいに思考…

ついに! 10分で脆弱性検査が体験できるVAddy簡易クロール機能をリリース

VAddyでは、テスト対象のサーバの登録とクロールデータの生成を行った後に脆弱性検査を開始します。クロールデータとは、スキャン対象のURLやパラメータを記録した物で、これを元にVAddyのスキャナーがサイトの構成を学んで検査を行います。クロールデータの…

Codeshipを使った継続的Webセキュリティテスト環境の構築

日本ではあまり利用者が多くないかもしれませんが、CodeshipというCIサービスがあります。今回はCodeshipとVAddyを組み合わせた継続的セキュリティテスト環境を構築してみました。CicleCI連携の時と同様に、git pushしてCodeshipのジョブを起動させ、テスト…

非エンジニア系Webディレクターのためのセキュリティテスト

VAddyは開発者向けツールという位置づけですが、今回は少し趣向を変えて「非エンジニア系WebディレクターのVAddy活用法」をお話したいと思います。 http://vaddy.net/ja 「Webディレクター」の肩書を持っている方の出身は、営業、Webデザイナー、フロントエ…

WEKAのK-Meansクラスタリングをマルチスレッド対応させました

VAddyの脆弱性検査エンジンでは、ベイジアンネットワークなどのデータサイエンス分野の技術も積極的に採用しています。実装として、Java+データサイエンスという組み合わせではよく知られている、WEKAを使っています。WEKAにはK-Meansクラスタリングを行うた…

どのポート番号でもWeb脆弱性診断が可能になりました

VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性診断サービスです。http://vaddy.net/ja/ VAddyではHTTP/HTTPSのWebアプリケーションに対して脆弱性検査が可能となっていますが、ポート番号は80番と443番のみとなってい…

RestAPIサーバのセキュリティテストを実現しました

VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性検査ツールです。 最近のモバイルアプリケーションやシングルページアプリケーションのような構成ですと、APIサーバに対してPOST/PUTリクエストを送信する際に、パラメー…

検査時に送ったHTTPリクエストデータの表示機能をリリースしました

VAddyの管理画面では、脆弱性が1件以上あれば、脆弱性のあるURLと問題となっているパラメータ名、問題(SQLインジェクション or XSS)が表示されます。この情報があれば開発者は問題となっている箇所のソースコードが特定でき、修正が可能です。しかし、実際に…

JenkinsカンファレンスにてJenkinsを使った継続的セキュリティテストの発表を行いました

Jenkinsユーザカンファレンス2015に参加・発表してきました。 参加者も700人ぐらいいたようで非常に活気があり、各セッションもJenkinsを中心としたシステムの話から、何故CIなのかなど、多岐に渡る発表があり刺激的でした。 我々は5分のLTで発表させて頂き…

2015年に「その発想はなかった」から「当たり前」になる、CIでの脆弱性検査(セキュリティテスト)

VAddyコア部分を開発している金床です。 2014年もそろそろ終わりに近づきました。今年のはじめには1行のコードすらも存在していなかったVAddyですが、春頃から市川氏と私がノリノリになったこともあり、現在は無事にJenkinsプラグインまで完成し、当時イメー…