継続的セキュリティテストサービスVAddyのスキャンエンジンをアップデートしました。
本アップデートにより、今まで対応していなかったURLパスに含まれるパラメータの検査が可能になりました。
今までは、 /item.php?id=99のようにクエリストリングを対象にSQLインジェクションやXSSの検査を行っていました。
最近のWebアプリケーションフレームワークを使ったサイトでは、/item/99のようなセマンティックURLのパターンが多くなったこともあり、URLパスに含まれるパラメータも検査対象とすることにしました。
URLパスの検査を追加すると、検査パターン数が大幅に増えるため検査時間が延びることが多いです。したがってOWASP ZAPのような検査ツールではオプション項目の扱いとなっています。
VAddyでは、セマンティックURLのパターンを自動判別し、効率的な検査を実現することで、実行時間が大幅に増えないようにしました。
CI連携を前提とした自動セキュリティテストでは、実行時間の短縮、人の介在なしでうまく検査することが重要になります。
VAddyのスキャンエンジンは独自開発のため、このようなCI連携に重要な要素を実装していて、日々改善に取り組んでいます。
VAddyはCIと連携し継続的なセキュリティテストを実現するサービスです。無料プランでも実行回数無制限ですので是非お試しください。
http://vaddy.net