今までのVAddyの脆弱性診断では、VAddyが発行する認証htmlファイルを検査対象サーバに設置が必須でした。
そのため認証ファイルが置けないAuth0、AWS Cognito、Azure AD B2CのようなIDaaS利用アプリケーションは検査時にシナリオの再現ができず、それらはログインセッションが有効な間だけVAddyで検査できる状況でした。
新機能と制限
今回、サーバ所有者確認をスキップする機能をリリースしました。これにより、IDaaSのログインリクエストも検査のシナリオ(クロール記録)に含めることができ、VAddyの検査時にセッションが切れても自動的にAuth0などに再ログインして検査が継続できるようになりました!
この機能はいくつかの制限があります
- 弊社と個別利用規約を交わして承認されたユーザのみ
- サーバ所有者確認スキップ対象のサーバには検査用リクエストは送られず検査時のシナリオの再現のみに利用される(認証のみを行う)
- SAML、OAuth、OpenID Connectに準拠したプロトコルのみ
この機能が利用できるようになったユーザは、検査対象サーバ追加の画面に「サーバ所有者確認スキップ」のチェックボックスが表示されます。
申し込み方法
本機能は2022年5月時点ではベータ版のため、試してみたいユーザの方は info@vaddy.net までメールでご連絡ください。
個別利用規約を送付しますので、同意いただければ本機能が利用できるようになります。
背景
自社の認証基盤のような認証ファイルが設置できるサーバであれば、VAddyではSAMLなどシングルサインオンを利用したWebアプリケーションの検査は2018年からできていました。
この数年、お客様のご要望の中で多かったのがAuth0、Cognito、Azure AD B2CのようなVAddyの認証ファイルが設置できないIDaaSを利用した環境です。加えて、自社の認証基盤でも自由に認証ファイルが設置できないケースのお声もいただいていて、それらに対応するために本機能をリリースしました。
認証ファイルを置かない代わりに、VAddyの検査対象とはならず、検査のシナリオの再現のみ行うようにしています。(検査リクエストは攻撃リクエストのように見えるため、自由にどのサーバにも検査実施するのはサービス上できないため)
今後の予定
2022年5月時点ではベータ版ですが、動作に問題があるわけではなく、ニーズの把握や申し込みフローを整備するためのベータ版となっております。2022年秋頃に正式なオプションメニューとしてリリースする予定です。
