クラウド型Web脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

Chrome拡張を使ったクロール作成機能のベータ版をリリースしました -> 2023/12/1に正式版リリース済み

VAddyの検査では、事前に検査対象のアプリケーション画面のHTTPリクエストとレスポンスをテストシナリオとして記録し、それを正常遷移データとして利用し効率的に検査を行います。VAddyではこれを「クロール」と呼びます。

今まではVAddyのProxyサーバを使ったクロール作成方法のみを提供していましたが、本日よりChrome拡張を使ったクロール作成も可能となりました。

Proxyサーバを利用したクロール作成方法の場合、社内のPCから外部に通信するための社内Proxyをバイパスできない場合や、SSL/TLS証明書警告を回避できない場合はVAddyをご利用いただくことができませんでした。

 

新しくリリースしたChrome拡張の利用により、これまでの制約でVAddyを使用することができなかったお客様も、VAddyによる脆弱性診断を実施することができます。

現在ベータ版としてリリースしておりますが、お客様からいただくフィードバックを元に使い勝手やデザインなどを調整し、年内に正式版をリリースする予定です。

2023年12月1日に正式版をリリースしました!

 

【操作イメージ】

Chrome拡張の操作イメージ

クロール作成中のアプリケーションを操作すると(上記画面キャプチャ上部)、VAddy Chrome拡張画面(上記画面キャプチャ下部)に記録されたURLやパラメータなどが表示されます。

Chrome拡張方式では、クロール中に記録されたURLやページタイトルがリアルタイムに表示され、保存前に記録URLを削除する機能もあるため、より細かいクロール記録ができるようになります。

 

利用方法

利用方法はこちらのサポートドキュメントをご覧ください。

https://support.vaddy.net/hc/ja/articles/23716152611865

ベータ版では、次の場合にChrome拡張をご利用になれませんのでご注意ください。

  • PrivateNetのプロジェクト
  • プロジェクトのオーナーの契約がPause/利用停止となっているもの

 

過去にVAddyトライアルをご利用され、現時点でPause/利用停止になっているお客様の中でChrome拡張を試してみたい方は、再度トライアル設定いたしますのでメール( info@vaddy.net) もしくはVAddyのチャットサポートにお問い合わせください。

 

Proxy方式とChrome拡張方式の比較

Proxy方式

ブラウザまたはOSのProxy設定を変更して操作端末からの通信をVAddy Proxyに中継させた状態で検査対象アプリケーションを操作することで、中継したVAddy Proxyサーバにクロールデータが記録されます。

利点

  • 自動化に対応しやすく、End to Endテストツールや、WebAPIサーバの動作確認用ツール、シェルスクリプトなどと親和性が高い
  • Safari、Edge、Firefoxcurl、Postmanなど利用できるツールの幅が広い

欠点

  • 会社の社内Proxyサーバ経由のインターネットアクセス環境では使えない
  • SSL/TLS証明書の警告画面が出るため、HSTS強制サイトや.appや.devドメインでは使えない
  • ブラウザまたはOSのProxy設定が少し難しい

 

Chrome拡張方式

Chrome拡張起動中に検査対象アプリケーションを操作すると、その間のHTTPリクエスト/レスポンスがVAddy Chrome拡張に一時的に記録されます。操作が完了すると記録されたデータがVAddyサーバにクロールデータとして登録されます。

利点

  • どの環境からでも利用でき、SSL/TLS証明書エラーも発生しない。
  • 利用方法が簡単

欠点

  • Chrome拡張のインストールが必須
  • 対応ブラウザがChromeやEdgeなどに限定される
  • 自動化を行うための敷居が高い

 

まとめ

現在、トライアルもしくは有料プランをご契約のプロジェクトではすぐに利用できますので、ぜひお試しください。

過去にトライアルをご利用された方で、あらためて試してみたい方は、info@vaddy.net までご連絡ください。

 

https://support.vaddy.net/hc/ja/articles/23716152611865

利用方法はこちらのサポートドキュメントをご覧ください。