特定のURLを検査しない検査除外設定をリリースしました - クラウド型Web脆弱性診断ツール VAddyブログ
VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。 今までは、特定のサーバ(FQDN)を検査除外にする機能はありました。例えばログイン用の認証基盤サーバが別にあり、そちらは検査に含めたくないケースなど。 今回リリースした「検査除外設定」は、検査対象のサーバ(FQDN)の特定のURLに対して検査を実行しない機能です。 検査除外設定 検査結果一覧・詳細画面のタイトルの下に「検査除外設定」リンクがありますのでそちらから登録するか、発見した脆弱性の一覧から除外設定ができます。詳細はドキュメントをご覧ください。 特定のURLへ検査を実行しないようにできますか? 例えば、 GET /foo/bar というようなGETメソッドの/foo/barのURLにはXSS検査を実行しない、という設定ができます。 この機能の1番の目的は、VA
本場のWordPressプラグインのSQLインジェクションはVAddyで検出できるか - クラウド型Web脆弱性診断ツール VAddyブログ
この記事で示す内容は日本国内の情報セキュリティ技術者が攻撃のリスクを正しく評価できるようにするための情報共有を目的に提供されます。自身の管理下にないコンピュータ等に対し攻撃やスキャンを実施する行為は場合によっては犯罪行為となりますので絶対に行わないでください。 WP-StatisticsのSQLインジェクション脆弱性 WP-StatisticsというWordPressのプラグインにSQLインジェクションの脆弱性があることが明らかになりました。 www.wordfence.com 上記サイトによるとこのプラグインは60万以上のWordPressインスタンス上で動作しているとのことで、かなりインパクトが大きい脆弱性です。また、WP Statisticsプラグインについての日本語での解説記事も比較的多く見つかることから、国内でもそれなりに広く利用されていると思われます。 脆弱性はどのようなコード
組織管理機能と検査項目を増強したVAddyエンタープライズプランをリリース! - クラウド型Web脆弱性診断ツール VAddyブログ
VAddyの事業責任者の市川です。 VAddyは、誰でも手軽に使えて自動化もできるクラウド型の脆弱性診断ツールとして開発をし、5年間運用してきました。様々なWebアプリケーションの検査に対応できるようにチューニングし続け、加えてプライベートネット版対応、シングルサインオン認証アプリ対応、SPA向けの複数FQDN対応などを行なってきました。今までは、よりうまく検査を行う方向での改善を続けてきていて、今後もこの方向は変わりません。 この1年ぐらいで世の中の流れが少し変わってきたかなと感じるようになりました。組織内のアカウント管理でしっかりした運用をしている企業では、VAddyのチーム機能では不十分なケースや、検査項目をもう少し増やして欲しいという要望が目立ってきました。今回のエンタープライズプランは、そのような組織向けに最適なプランになっています。 検査項目の増強 VAddyの既存プラン(Pr
VAddyで複数FQDNをまたぐアプリケーションの脆弱性検査が可能に! - クラウド型Web脆弱性診断ツール VAddyブログ
本日、複数のFQDNをまたぐアプリケーションの脆弱性検査機能をリリースいたしました! これまでのVAddyでは検査対象として登録できるのは単一のFQDNで構成されたWebアプリケーションだけでしたが、本日リリースした機能によって複数のFQDNから構成されているWebアプリケーションの脆弱性検査が実現されます。 中規模以上のWebアプリケーションでは機能ごとにFQDNが分かれているケースが多くあります。 例えばECサイトなどで見られる以下のようなケースです。 ログイン機能:login.example.com 会員ページ:mypage.example.com これまでのVAddyではこのようなアプリケーションの脆弱性検査を行うには、それぞれのFQDNで個別に検査を実行する必要があったため、別FQDNで提供されているログイン機能を経由しないと動作しないアプリケーションの検査はできませんでした。
クラウドサーバに対する脆弱性診断の事前申請について各社に問い合わせてみた結果 - VAddyブログ - 継続的セキュリティテストへの道 -
先日このようなブログ記事が公開されました。 クラウドサービスを脆弱性診断する時のお作法 とある企業において脆弱性診断をされている「とある診断員」さんのブログで、クラウドサービス(IaaS)の利用者が脆弱性診断をする際の注意点がまとめられています。 この記事の中に 脆弱性診断を実施する際には、ご自身の利用しているプラットフォームの事業者にちゃんと確認をした方が良いと考えます。 という言及があります。 VAddyはサーバー上のWebアプリケーションに対する脆弱性診断(ブラックボックステスト)を行うサービスですので、これに当てはまります。 上記のブログ記事ではAWS、Microsoft Azure、Google Cloud Platformのポリシーをまとめていただいているので、便乗して日本国内のクラウド事業者のポリシーについてまとめてみました。 主要クラウド事業者の脆弱性診断に関するポリシー
技術系スタートアップはスタンスを明確に。エッジを研げ、その刃は本物か? - 継続的WEBセキュリティテスト VAddyブログ
VAddyのプロジェクトリーダーをしている市川です。VAddyは継続的Webセキュリティテストサービスとして2014年10月にリリースしました。 おかげさまでユーザも増えてきて、VAddyミートアップイベントもキャンセル待ちが出るほど盛況です。 VAddyミートアップやユーザヒアリングなどを通して、VAddyへの色々な要望や期待を寄せてもらえるようになり、とても良いサービスを生み出せたかなと感じています。ユーザと話をしていくうちに、我々のサービスのスタンスをもっと明確にしたほうが良いのではないかと感じるようになってきました。 というのも、ユーザごとに要望が異なっており、それらを全て実装してしまうとVAddyとは何なのかがイマイチ分かりにくくなってしまい、ぱっとしないサービスに向かって行く気がしているからです。 我々はどの方向に進むべきか、何をして、何をしないのか、という議論を1年以上チーム
2015年に「その発想はなかった」から「当たり前」になる、CIでの脆弱性検査(セキュリティテスト) - VAddyブログ - 継続的セキュリティテストへの道 -
VAddyコア部分を開発している金床です。 2014年もそろそろ終わりに近づきました。今年のはじめには1行のコードすらも存在していなかったVAddyですが、春頃から市川氏と私がノリノリになったこともあり、現在は無事にJenkinsプラグインまで完成し、当時イメージしていたCIへの自然な統合が可能な状態となっています。実案件に組み込む例も出てきており、振り返ってみれば2014年は非常に手応えを感じた年にすることができました。 CIは広く普及し始めています。基本的にはビルドやユニットテストを頻繁に実行することで、デプロイ時の心理的、または実際の負荷を下げるために利用されていると思います。 VAddyはCIのサイクルの中でSQLインジェクションやクロスサイトスクリプティングのような、いわゆるウェブアプリケーションの脆弱性診断を行うためのサービスです。 私がVAddyのアイデア(CIに組み込むため
CircleCIを使った継続的Webセキュリティテスト環境の構築 - クラウド型Web脆弱性診断ツール VAddyブログ
VAddyとCircleCIを組み合わせると、簡単に継続的セキュリティテスト環境が実現できます。 git pushするとCircleCIのジョブが起動し、テストサーバにコードをデプロイ、そのテストサーバに向けてVAddyからWebの脆弱性検査を実施します。 今回は、 git push -> Unit test -> Deploy(Staging) -> VAddy test -> Deploy(Production) という流れで解説します。 Unit testが失敗した場合は後続の処理は行われませんし、VAddy testが失敗した場合も本番にコードがデプロイされません。 こうして、ユニットテストとWeb脆弱性検査を定期的に実施して問題のないコードのみを本番環境にデプロイできます。 前提 この記事では、CircleCIインスタンス内に立てたWebサーバに対しての脆弱性検査ではなく、Cir
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
