クラウド型Web脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

VAddyの検査時間が大幅に改善しました!

VAddyエンタープライズプランで提供している、

  • SSRF/Log4j検査
  • メールヘッダインジェクション検査
  • 安全でないデシリアライゼーション検査

の検査速度改善を行い、エンタープライズプランの検査速度が大幅に改善しました!

 

詳細内容

速度改善を行った検査では、脆弱性の検出方法として外部通信させるような検査リクエストを送り、実際にお客様のアプリケーションが外部通信する前に行うDNSの名前解決を使ってVAddyのDNSサーバに名前解決リクエストが届いたかどうかで判定しています。

この方法は、確実に外部との通信を行おうとする処理が走ったことが分かるため高い精度での脆弱性の判定ができました。

改善前は、DNSクエリが届くタイミングが少し遅れると想定して検査リクエストを送信し、DNSクエリが届いたか3回ほどチェックしていました。これを同期的に行っていたため、検査リクエストを送信してからDNSチェックで検出するまでの待ち時間がそのまま検査時間に影響していました。

 

改善内容

検査リクエストを送信してDNSクエリが届いたかどうかを非同期でチェックするように改善しました。そのため最初に挙げた3つの検査では確認の待ち時間が不要となり(実際にはバックグラウンドの処理で待って確認しています)、大幅な検査時間の改善につながりました。

具体的には、弊社のテスト用アプリで多くの画面の検査を行っていたもので、25分かかっていた検査が15分に短縮されました!(エンタープライズプランの全ての検査を実行して)

 

さいごに

先日には、Log4j問題が発表された12月10日の翌日にLog4j検査対応もしました。(外部へのプレスリリースは12月13日でしたが、機能のリリースは12月11日に行いました)

今回は、Log4j検査追加の影響もあった検査時間が増える問題への対応を行いました。

このようにVAddyは日々検査速度を改善したり、検査リクエストをチューニングしたり、お客様の使いやすさや検査精度の向上による貢献を目指して改善しています。

 

メリークリスマス!良いお年を!