クラウド型Web脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

特定のURLを検査しない検査除外設定をリリースしました

VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。

 

今までは、特定のサーバ(FQDN)を検査除外にする機能はありました。例えばログイン用の認証基盤サーバが別にあり、そちらは検査に含めたくないケースなど。

今回リリースした「検査除外設定」は、検査対象のサーバ(FQDN)の特定のURLに対して検査を実行しない機能です。

f:id:ichikaway:20211018114725p:plain

検査除外設定

検査結果一覧・詳細画面のタイトルの下に「検査除外設定」リンクがありますのでそちらから登録するか、発見した脆弱性の一覧から除外設定ができます。詳細はドキュメントをご覧ください。

特定のURLへ検査を実行しないようにできますか?

 

例えば、
GET /foo/bar 
というようなGETメソッドの/foo/barのURLにはXSS検査を実行しない、という設定ができます。

この機能の1番の目的は、VAddyの検査で脆弱性を指摘されたが、アプリケーション側の処理は問題ない場合の誤検知の調整です。

 

今までのVAddyの検査ではあまり誤検知は発生していませんでしたが、2021年9月にリリースした検査項目追加オプション *1CSRF検査については誤検知がでる可能性がありそうなため検査除外設定を追加しました。

CSRF検査では、CSRF対策用のトークンの有無をPOSTリクエスト時にチェックするのですが、CSRF対策用トークンが不要な画面があったり、何かしらの対策を行っていてCSRFトークン不要な画面がある場合に誤検知につながります。

このようなアプリケーション仕様で問題ないがVAddyの検査では問題がありそうだというミスマッチが起こる場合に、検査除外設定が役立ちます。

 

登録方法、登録後の検査でどのようなレポート表示がされるかがわかるドキュメントを公開していますので、是非ご覧ください。

特定のURLへ検査を実行しないようにできますか?

*1:脆弱性診断ツール「VAddy」、IPA「安全なウェブサイトの作り方(チェックリスト)」の全項目に対応した『検査項目追加オプション』を提供開始