VAddy Adventカレンダー10日目の記事です。 @vaddynet の中の人、西野と申します。 VAddyプロジェクトではビジネス系の業務全般を担当しています。 昔流行ったの「ギークvsスーツ」の文脈で言うと「スーツ」の人ですw ネクタイの結び方を忘れるくらいスーツ…
2016年11月30日(水)、今年最後のVAddyユーザーミートアップをコワーキングスペース茅場町Co-Edoにて開催しました。 今回のゲストは株式会社IDCフロンティア様とエクスジェン・ネットワークス株式会社様の豪華二本立て。 VAddyからもちょっと大きめなアップ…
CacooUp Taipei ヌーラボさん主催のCacooUpにユーザー企業として招待頂きました。CacooUpは台湾国内のCacooユーザーミートアップイベントで、2012年から開催されています。ちなみにCacooの台湾ユーザーは12万人もいるそうですよ!デザイナー、プログラマーを…
お待たせしました!ご要望の多かったクロールデータの閲覧機能をリリースしました。 クロールデータとは、検査対象のWebアプリケーションのURLやパラメータ情報です。VAddyでは検査前にお客様に実際のアプリケーションを操作していただき、クロールデータと…
VAddyのAPIを操作して脆弱性検査を実行できるクライアント go-vaddy をリリースしました。今まで、VAddyとCI連携を簡単に実現するために、Jenkins VAddy pluginの配布と、Ruby実装のvaddy-api-rubyの配布をしてきました。Jenkinsではない環境やRubyがインス…
VAddyでは最初に検査対象となるサーバ名を登録すると、Verificationコードが自動発行されます。このコードを含むhtmlファイルを検査対象のwebrootに設置してもらい、本当にそのサーバの所有者か確認(Verify)します。参考:「スキャン対象サーバの登録・認証…
早いもので2016年も半分が過ぎてしまいました。前回、前々回に引き続き、2016年6月29日(水)にコワーキングスペース茅場町 Co-EdoにてVAddyユーザーミートアップ Vol.3を開催しました。 今回のゲストは株式会社マネーフォワードで社内のセキュリティを担当…
VAddyでは、Webアプリケーションの脆弱性が発見されると、脆弱性が存在するURLやパラメータ名、検査リクエストデータが表示されます。今回のアップデートでは、それらに加えて脆弱性が発見された際のレスポンスデータを表示する機能を追加しました。検査時の…
先日のアップデート、「クロールデータのラベルを利用した脆弱性検査がWebAPI経由で可能に」でお伝えした通り、クロールにつけたラベル文字列を使った任意のクロールデータを用いた脆弱性検査が可能になりました。 例えば、ログイン周りのクロールデータに「…
前回のミートアップに引き続き、2016年4月20日(水)にコワーキングスペース茅場町 Co-EdoにてVAddyユーザーミートアップ Vol.2を開催しました。 ゲストをお招きして開催している今年のVAddyミートアップ、今回はクラウド型業務サービス「board」を開発/運…
本記事はDevOps.comに掲載された記事を許可を得て日本語訳したものです。“This post was originally published on the DevOps.com.” DevOpsを採用する組織はもっとセキュリティに注意を払うべきであると、Threat Inteligenceの創設者Ty Millerは提案していま…
本記事はGoCDブログに掲載された記事を日本語訳したものです。“This post was originally published on the GoCD blog.” この記事は「 It’s not Continuous Delivery if you can’t deploy right now」というシリーズの第二弾です。 今回はセキュリティテスト…
VAddyでは脆弱性検査の対象となるクロールデータ※を指定することができます。※事前に検査対象とする画面遷移やパラメータを登録したものオートクロール系の検査ツールは対象となるWebサイトをほぼ全て検査してしまうので、検査完了まで大変な時間がかかりま…
VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。 これまでW…
2016年2月16日(火)にコワーキングスペース茅場町 Co-EdoにてVAddyユーザーミートアップ Vol.1を開催しました。 私たちは昨年1年間、VAddyを皆さまに知ってもらう目的で「VAddyミートアップ」を開催し、そこでいただいた貴重なフィードバックをVAddyの開発…
昨年11月のphp[world]2015に続いて、ロサンゼルスで開催されたSCaLE 14xというイベントに参加してきました。 SCaLE(Southern California Linux Expo)とは毎年ロサンゼルスで開催されているLinux/Open Source softwareエキスポで、14回めとなる今年は150以…
VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。クロールデ…
VAddyの海外プロモーションの一環として、2015/11/16からワシントンD.C.で開催されたphp[world]2015にスポンサーとして参加してきました。サービスのプロモーションで海外カンファレンスへの参加を検討している方もいると思うので、この記事が参考になれば幸…
※2017年9月12日追記2017年9月12日に価格変更を行いました。 料金プラン改定のお知らせ 本記事に掲載されているStandardプランの新規申し込みは終了しております。 新たに提供を開始したStarterプランでもチーム機能はご利用いただけます。 先日提供を開始し…
※2017年9月12日追記2017年9月12日に価格変更を行いました。 料金プラン改定のお知らせ 本記事に掲載されているFreeプランおよびStandardプランの新規申し込みは終了しております。 昨日、VAddy有料プランをリリースしました。「クラウド型Web脆弱性検査ツー…
新しい機能を考えるときに、こうしたいとか、ユーザの事を考えてこうすべき、ということを全て出し切らないといけない。出し切った後にどうするかを議論して取捨選択すれば良いのだけど、出し切る前に実装する自分が出てきて、それはどうかなーみたいに思考…
VAddyでは、テスト対象のサーバの登録とクロールデータの生成を行った後に脆弱性検査を開始します。クロールデータとは、スキャン対象のURLやパラメータを記録した物で、これを元にVAddyのスキャナーがサイトの構成を学んで検査を行います。クロールデータの…
日本ではあまり利用者が多くないかもしれませんが、CodeshipというCIサービスがあります。今回はCodeshipとVAddyを組み合わせた継続的セキュリティテスト環境を構築してみました。CicleCI連携の時と同様に、git pushしてCodeshipのジョブを起動させ、テスト…
VAddyは開発者向けツールという位置づけですが、今回は少し趣向を変えて「非エンジニア系WebディレクターのVAddy活用法」をお話したいと思います。 http://vaddy.net/ja 「Webディレクター」の肩書を持っている方の出身は、営業、Webデザイナー、フロントエ…
VAddyの脆弱性検査エンジンでは、ベイジアンネットワークなどのデータサイエンス分野の技術も積極的に採用しています。実装として、Java+データサイエンスという組み合わせではよく知られている、WEKAを使っています。WEKAにはK-Meansクラスタリングを行うた…
VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性診断サービスです。http://vaddy.net/ja/ VAddyではHTTP/HTTPSのWebアプリケーションに対して脆弱性検査が可能となっていますが、ポート番号は80番と443番のみとなってい…
VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性検査ツールです。 最近のモバイルアプリケーションやシングルページアプリケーションのような構成ですと、APIサーバに対してPOST/PUTリクエストを送信する際に、パラメー…
VAddyの管理画面では、脆弱性が1件以上あれば、脆弱性のあるURLと問題となっているパラメータ名、問題(SQLインジェクション or XSS)が表示されます。この情報があれば開発者は問題となっている箇所のソースコードが特定でき、修正が可能です。しかし、実際に…
Jenkinsユーザカンファレンス2015に参加・発表してきました。 参加者も700人ぐらいいたようで非常に活気があり、各セッションもJenkinsを中心としたシステムの話から、何故CIなのかなど、多岐に渡る発表があり刺激的でした。 我々は5分のLTで発表させて頂き…
VAddyコア部分を開発している金床です。 2014年もそろそろ終わりに近づきました。今年のはじめには1行のコードすらも存在していなかったVAddyですが、春頃から市川氏と私がノリノリになったこともあり、現在は無事にJenkinsプラグインまで完成し、当時イメー…