クラウド型Web脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

WebAPIとgo-VAddyツールから脆弱性診断の検査項目が指定できるようになりました

VAddyの管理画面では、脆弱性診断を実行する際に検査項目が指定できます。これと同じことがWebAPIからも可能になりました。
同時に、go-VAddyツールVer. 1.1.0からもこの機能が利用できるようになっています。

 

背景

VAddyで脆弱性診断を自動化されているお客様の中には、CI(継続的インテグレーション)ではリリースを早くするため検査時間を短くして最低限の検査項目に絞り、夜間や定期的に全ての検査項目を実行するような運用のご要望がでてきました。

そこで、VAddyのWebAPIからも脆弱性診断の検査項目を絞って実行する機能をリリースしました。

VAddyではサービス開始当初からWebAPIによる検査の実行と結果の取得ができ、検査をCIツールに組み込んだり、夜間実行するなど自動化ができる設計にしています。
現在、エンタープライズプランで11項目の検査が可能で、さらに検査項目追加オプションの6項目を加えると17項目の脆弱性診断ができます。

https://vaddy.net/ja/plan.html

 

利用方法

VAddyのWebAPIを操作するgo-VAddyツールを提供しています。こちらをご利用の方はVer1.1.0以上であれば検査項目指定ができます。

https://github.com/vaddy/go-vaddy/blob/master/README_ja.md

VADDY_SCAN_TYPE="SQLI,XSS,RFI,..." のように環境変数でscan typeを指定します。指定がない場合は今まで通り、ご契約プランの全ての検査が実行されます。


WebAPIを直接利用している方は、こちらのドキュメントの検査開始リクエストのscan_typeパラメータをご利用ください。

https://github.com/vaddy/WebAPI-document/blob/master/VAddy-WebApi-ja.md

 

検査項目一覧

検査項目はカンマ区切りで指定します。指定する文字列はこちらの一覧表をご覧ください。

https://github.com/vaddy/WebAPI-document/blob/master/VAddy-WebApi-ScanType.md

一覧表には、プラン毎にコピーして使えるセクションがありますので、こちらをコピーして不要な検査を外して使うと便利かと思います。