VAddyブログ

- 継続的セキュリティテストへの道 -

蓄積型XSS(クロスサイトスクリプティング)の検査を追加しました

image

VAddyは開発現場で使える脆弱性検査ツールとして誰でも簡単に使えるように設計しています。
https://vaddy.net/ja/

最近VAddyユーザの方や、興味がある方とお話すると、たとえ簡単なお問い合わせフォームだとしても、発注元からXSSの検査は最低限行うような指示があるとよく聞くようになりました。

VAddyのXSS検査は、今までは反射型XSSのみの対応でした。今回、蓄積型XSSに対応したことで幅広いXSSの検査が可能になりました。

反射型XSSは、検査データのHTTPリクエストに対するレスポンス画面のみの検査です。蓄積型は、検査データがDBやセッションに保存され、別画面で表示される際に発動するXSS脆弱性です。
例えば、ユーザ情報編集画面ではXSSの問題は発生しなくても、ユーザプロフィールを表示する別画面ではエスケープ漏れによってXSSが発動するようなケースで検出できます。

image

蓄積型XSSを検出すると、検査結果画面には上の図のように表示されます。URLは実際にXSSが発動した画面のURLになります。反射型と違い、検査パラメータの送信によって発動するものではないため、蓄積型の場合は脆弱性があるパラメータ名のカラムは空欄になります。

右のResponseボタンを押すと、実際にXSSが発動したhtmlとその該当箇所がハイライト表示されます。

image


レポートには、反射型XSSと蓄積型XSSがそれぞれ表示されます。問題があった箇所にバツマークが付きます。

image


今までで要望の多かった蓄積型XSS検査に対応しました。今後もVAddyユーザからの要望に沿えるように開発を進めていきます。

脆弱性診断における課題の解決に。高速で手軽なVAddyの脆弱性検査を試してみませんか?

XSSの脆弱性検査を手軽に - VAddyが選ばれる理由