VAddyブログ

- 継続的セキュリティテストへの道 -

過去のクロールデータを使った脆弱性検査が可能になりました

VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。
クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。
クロールデータの生成方法は、ブラウザのプロキシ設定でIPとポートをVAddyの指定のものに変更して、検査対象のWebサイトをユーザが操作するだけですので非常に簡単です。


これまでは過去に作成したクロールデータのうち最新のものしか検査できませんでしたが、今回のアップデートでスキャン実行の画面で過去に作成したクロールデータを選択して検査できるようになりました。

image

過去のクロールデータを識別するためにID番号を自動付与していますが、それだけでは使いにくいため各クロールデータにラベル(名前)をつけることもできます。
クロール一覧画面において、下記画面のように編集アイコンをクリックするとテキスト編集ができるようになります。ここでつけたラベルが検査実行の画面のプルダウンに反映されます。

image

VAddyはCI連携を前提に設計しているため、最新のクロールデータのみを利用する仕様になっていました。例えばCI経由で脆弱性検査を実行する際に、毎回クロールデータを選択するというのは自動実行と相性が良くないという理由です。

CIに組み込む前にテスト的にクロールデータを何度も作りスキャンして試しているユーザの方からは、過去のクロールデータも選択できると便利になると教えて頂き機能追加しました。
例えば、ある時点の検査をもう一度同じ内容で実施したい場合はこの機能が役立つと思います。


このように、ユーザの方からのフィードバックを元に、どんどん改良していきたいと思いますので、何か気付いた点があれば是非教えてください。

http://vaddy.net/ja
https://twitter.com/vaddynet