VAddyブログ

- 継続的セキュリティテストへの道 -

VAddy検査結果レポート機能をリリース

VAddyはクラウド型のWeb脆弱性検査ツールです。 誰でも簡単に使えて手軽に自動化もできます。

VAddy利用者から要望が多かったレポート機能をリリースしました!

今までは、検査で脆弱性が発見された場合は、該当URL、パラメータ、脆弱性種別を表示しているのみでした。

image

利用者からは、検査した全体のURLのうち、問題がなかった箇所と問題があった箇所を一覧表示してわかりやすくして欲しいという要望がありました。
また脆弱性が0件だった場合でも、どのURLが検査されて、そこで問題がなかったことを確認したい、結果を残しておきたいという要望もありました。

問題がある箇所はバツ印と数字が表示され、数字は問題の件数(パラメータ数)を示しています。

image

さらに、問題があった箇所にマウスオーバすると、脆弱性があったパラメータ名が表示されます。例えば、該当URLのXSS問題があったパラメータ名のみ確認したいというケースで役立ちます。

今回はどちらかというと簡易的なレポート機能ですが、今後は詳細レポート機能をリリースする予定です。より詳細な情報をPDFでダウンロードでき、手元の環境や、開発リポジトリの中にいれて管理できるようになります。


レポートの意義

2014年にリリースした当初は、このようなレポートは求められず、問題のあった箇所が修正できる情報のみを表示し、修正して再検査で解決していることを確認してもらえれば、VAddyの意義はあると考えていました。

特にCI(継続的インテグレーション)と組み合わせていく場合は、検査のレポートよりも、早く脆弱性を0件にしてオールグリーンの状態を維持することが重要になるため、レポートの意義は薄いと考えていました。

しかし、たくさんのお客様と接していくうちに、このようなレポートを保持して、ある時点では問題なかったというのがはっきり分かるようにしていくのも、お客様の会社規模や監査ルールによっては必要だとわかりました。

私(開発リーダ 市川)としては本機能をリリースするまでは、本当にやる必要があるのか、見せる情報が増えてお客様を混乱させないかなど、やる・やらないを決めるのに迷っていましたが、実際に作って見てみると、便利ですし問題がなかった場合も検査した範囲がわかりやすく表示されているので、実装してよかったです。

この機能が多くの利用者のためになることを願っております。



操作方法

具体的な操作方法はアニメーションをご覧ください。

image