クラウド型Web脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

たったこれだけ!VAddyを使った脆弱性診断のはじめ方

VAddyはWebアプリケーションであれば、Webサイト、EC・ショッピングサイト、Webシステムといった形式は問わずに幅広くご利用いただけます。
開発言語は問わず、ブラウザ上で動作するためインストールの必要もありません。
セキュリティの知識も不要ですので、誰でも手軽に脆弱性の検査をはじめることが可能です。

この記事ではVAddyを使ってWebアプリケーションの脆弱性診断をはじめる手順を解説いたします。

 

 

【0】まずは無料でアカウント作成

VAddyで脆弱性診断をはじめるにはアカウント作成が必要です。
必要な情報を登録してアカウントを作成していただくと、最初の1週間を無料でご利用いただけけるトライアルプランで、Professionalプラン同様の機能をお試しいただけます。

  


 

【1】検査したいサーバー情報を登録しましょう

VAddyでは対象のサーバーを外部から検査する「動的解析」という手法を取ります。

したがって検査対象のサーバーがお客様の管理下にあることを確認するため、対象のWebサーバーの情報を事前にVAddyに登録していただきます。

これは第三者が管理するサーバー/アプリケーションを無断で検査することを防ぐためです。

 

プロジェクト作成イメージ

※本番環境への検査は行えません。

 

詳細な設定方法はこちら

support.vaddy.net 


 

【2】検査を行うためのテストシナリオを作成します

テストシナリオの作成はとても簡単(VAddyではテストシナリオのことをクロールデータと呼びます)

VAddyのクロールは検査対象を自由に設定できるため、「WEBサイトの中で問い合わせフォームだけを検査する」というように必要な箇所のみを検査することができ、スキャンの実行時間も短縮することができます。

このクロールデータは複数登録できますので、検査したい機能ごとにクロールを作成するといった使い方が可能です。

 

クロールデータの作成方法は2通りあり、一つはChrome/Edgeのブラウザ拡張を利用するもの、もう一つはプロキシを利用するものです。

手軽なのはブラウザ拡張を利用するもので、自動化しやすいのはプロキシを利用するものです。

(a) Chrome/Edgeブラウザ拡張の利用

support.vaddy.net

Chrome/Edgeにブラウザ拡張をインストール後、検査対象の画面を操作するとクロールとして自動的に記録されます。

 

(b) プロキシの利用

f:id:vaddy:20200501145951p:plain

 

詳細な設定方法はこちら

support.vaddy.net  


 

【3】実際に自分のアプリケーションをスキャンしてみましょう

あとはもうクリックするだけで先程作成したシナリオに沿って検査が実行されます。

 

スキャンが完了するまでの時間はクロールデータに含まれるURLやパラメータ数、対象のサーバーのスペックなどによって左右されますが、VAddy利用者の平均は12分程度です。
スキャン完了までお待ちください。

 

スキャンが完了するとスキャン結果の詳細を確認できます。
スキャン結果に脆弱性が含まれていた場合は、該当したURLやサマリーレポートを参照して、検出された箇所を修正してください。 

脆弱性診断結果(脆弱性あり)

脆弱性診断結果(脆弱性あり)

 

スキャン結果に問題がない場合や、修正して脆弱性が検出されなくなれば、完了です。

脆弱性診断結果(脆弱性なし)

脆弱性診断結果(脆弱性なし)

PDFレポートのダウンロードが可能ですので、脆弱性診断結果として報告に使うのも良いでしょう。
検査レポートサンプル

  


 

エラーが出てしまったら?

VAddyでは多様なサポートをご用意しております。

  • VAddyサポートサイト
    VAddyのヘルプサイトです。FAQやおすすめの利用方法など、有用な情報を掲載しています。
  • スタートアップガイド
    VAddyの導入マニュアルです。VAddy利用開始までの手順をより詳細に解説しています。
  • 個別相談会
    操作の説明、契約のご相談、デモなど、お客様のご相談内容に合わせた相談会を実施しています。
  • チャットサポート
    WEBサイト画面左下にオレンジ色で表示されておりますチャットボックスにご入力いただくと、サポートスタッフが5分以内を目標に対応いたします。

  


 

各プランの比較・料金表

VAddyは完全固定料金制で初期費用も必要ありません。
ブラウザだけで完結できるSaaS型サービスなので、在宅勤務/テレワークでもご利用いただけます。チーム機能を利用して、リモート同士で検査依頼も可能です。

 

VAddy料金プラン


まずは無料トライアルから脆弱性診断に触れてみてください。
 

 

VAddyではオンライン個別相談会を開催しております。

導入に関する疑問、契約についてのご相談、動作デモを見たいなど、どのような内容でも対応できますので、ぜひ個別相談会をご活用ください。

f:id:vaddy:20200427144654p:plain