VAddyブログ

- 継続的セキュリティテストへの道 -

脆弱性を発見した際のレスポンスデータ表示機能を追加。XSSは該当箇所をハイライト

VAddyでは、Webアプリケーションの脆弱性が発見されると、脆弱性が存在するURLやパラメータ名、検査リクエストデータが表示されます。
今回のアップデートでは、それらに加えて脆弱性が発見された際のレスポンスデータを表示する機能を追加しました。検査時のレスポンスデータ(html, json, etc)がどのようなものだったのかを見ることで、例えばXSSの問題となった箇所を特定しやすくなり、Webアプリケーションの脆弱性の修正が容易になります。

image


さらに、XSS脆弱性が発見された場合はレスポンスhtmlデータの該当箇所を黄色くハイライト表示するようにしました。これで、Viewのどの箇所にエスケープ漏れが発生したか分かるため、修正しやすくなると思います。


最後に

何人かのお客様から「XSSが検出されたが、修正してもまだ同じ指摘が出る」という質問をいただきました。同じパラメータが複数箇所でXSS問題を引き起こしている場合は、修正できたと思っても修正漏れが出る可能性があります。VAddyはそこをきっちりフォローできていましたが、該当箇所がどこなのかhtmlレベルで表示しないと修正する側も困ることが分かったため、ゴールデンウィークを利用して実装しました。

ちなみにゴールデーンウィークは大分県別府温泉に旅行してきました。地震の影響はありませんでした。観光客は減ったようですがホテルは賑わっていました。(市川)


デモ

image