クラウド型Web脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

VAddyのXSS(クロスサイトスクリプティング)検査に検査パターンを追加しました

VAddyはクラウド型の脆弱性診断ツールです。

 

これまでVAddyのXSS検査では<script>タグを用いた検査ロジックを使用していました。
しかし、例えば<script>タグに関しては無効化するような処理が行われているものの、それ以外の任意のhtmlタグは挿入できる、などの状態は必ずしも安全であるとは言えません。
そこで、外部入力されたhtmlタグが正しく無効化されているかを判定するために<vaddy a=xxxx>のような独自タグの検査パターンを追加しました。

 

今回の検査パターンの追加でXSS検査で送るHTTPリクエスト数が増加するため、検査時間に影響が出ることが考えられますが、お客様の業務に影響が出るほどの大幅な時間増加にはならない見込みです。

 

今後も検査パターンの見直しや追加、検査エンジンの効率化をして継続的なセキュリティテストの実現に貢献していきたいと思います。

 

参考: クロスサイトスクリプティング(XSS)の対策に