VAddyブログ

- 継続的セキュリティテストへの道 -

検査対象サーバの所有者確認でエラーがあった場合に、レスポンスコードとメッセージを表示するようにしました

VAddyでは最初に検査対象となるサーバ名を登録すると、Verificationコードが自動発行されます。このコードを含むhtmlファイルを検査対象のwebrootに設置してもらい、本当にそのサーバの所有者か確認(Verify)します。
参考:「スキャン対象サーバの登録・認証」

今までは、このVerify処理がエラーだった場合は簡単なエラー文言を出していました。
ただ、これですと単純にファイルが見つからない404なのか、Basic認証エラーの401なのか、アクセス拒否された403なのかユーザはわからないため、何が問題なのかサーバの設定をもう一度一通り見直す必要がありました。

今回から、エラー時に検査対象サーバに送ったファイル確認のHTTPリクエストに対するレスポンスのステータスコードとメッセージを出すようにしました。

image

例えば、上記の例ですとエラー文言の2行目に、ステータスコード404、メッセージがNot Foundとなっているのでwebrootに正しいhtmlが設置できてないことがわかります。

image

上記の例ですと、ステータスコード401、メッセージは「承認が必要」とあるのでBasic認証のエラーがでていたことが分かります。

このように、問題があった場合に極力ユーザ側で切り分けできてストレスがないようにしたいと思い機能を追加しました。今後とも使いやすいように細かな調整を行っていく予定です。もし使いにくい機能、わかりにくい画面などありましたらフィードバックを送ってもらえると嬉しいです。