VAddyでは、Webアプリケーションの脆弱性が発見されると、脆弱性が存在するURLやパラメータ名、検査リクエストデータが表示されます。
今回のアップデートでは、それらに加えて脆弱性が発見された際のレスポンスデータを表示する機能を追加しました。検査時のレスポンスデータ(html, json, etc)がどのようなものだったのかを見ることで、例えばXSSの問題となった箇所を特定しやすくなり、Webアプリケーションの脆弱性の修正が容易になります。
さらに、XSSの脆弱性が発見された場合はレスポンスhtmlデータの該当箇所を黄色くハイライト表示するようにしました。これで、Viewのどの箇所にエスケープ漏れが発生したか分かるため、修正しやすくなると思います。
最後に
何人かのお客様から「XSSが検出されたが、修正してもまだ同じ指摘が出る」という質問をいただきました。同じパラメータが複数箇所でXSS問題を引き起こしている場合は、修正できたと思っても修正漏れが出る可能性があります。VAddyはそこをきっちりフォローできていましたが、該当箇所がどこなのかhtmlレベルで表示しないと修正する側も困ることが分かったため、ゴールデンウィークを利用して実装しました。
ちなみにゴールデーンウィークは大分県の別府温泉に旅行してきました。地震の影響はありませんでした。観光客は減ったようですがホテルは賑わっていました。(市川)
デモ