ついに! 10分で脆弱性検査が体験できるVAddy簡易クロール機能をリリース - クラウド型Web脆弱性診断ツール VAddyブログ
VAddyでは、テスト対象のサーバの登録とクロールデータの生成を行った後に脆弱性検査を開始します。 クロールデータとは、スキャン対象のURLやパラメータを記録した物で、これを元にVAddyのスキャナーがサイトの構成を学んで検査を行います。 クロールデータの生成方法は、ブラウザのプロキシ設定でIPとポートをVAddyの指定のものに変更して、その後、検査対象のWebサイトをユーザが操作していきます。 VAddyを本格的に使うために、このようなクロールデータの生成が必要なのですが、まずは簡単にスキャンを試してみたいというユーザからすると手間がかかるイメージがありました。 そこで、プロキシ設定の変更も不要で、VAddyの画面からURLを入れてクロールデータを生成する簡易クロール機能をリリースしました。 これにより、本格的にVAddyを使う前にまずはVAddyの検査がどういったものかということが簡単
技術系スタートアップはスタンスを明確に。エッジを研げ、その刃は本物か? - 継続的WEBセキュリティテスト VAddyブログ
VAddyのプロジェクトリーダーをしている市川です。VAddyは継続的Webセキュリティテストサービスとして2014年10月にリリースしました。 おかげさまでユーザも増えてきて、VAddyミートアップイベントもキャンセル待ちが出るほど盛況です。 VAddyミートアップやユーザヒアリングなどを通して、VAddyへの色々な要望や期待を寄せてもらえるようになり、とても良いサービスを生み出せたかなと感じています。ユーザと話をしていくうちに、我々のサービスのスタンスをもっと明確にしたほうが良いのではないかと感じるようになってきました。 というのも、ユーザごとに要望が異なっており、それらを全て実装してしまうとVAddyとは何なのかがイマイチ分かりにくくなってしまい、ぱっとしないサービスに向かって行く気がしているからです。 我々はどの方向に進むべきか、何をして、何をしないのか、という議論を1年以上チーム
検査時に送ったHTTPリクエストデータの表示機能をリリースしました - クラウド型Web脆弱性診断ツール VAddyブログ
VAddyの管理画面では、脆弱性が1件以上あれば、脆弱性のあるURLと問題となっているパラメータ名、問題(SQLインジェクション or XSS)が表示されます。 この情報があれば開発者は問題となっている箇所のソースコードが特定でき、修正が可能です。 しかし、実際にどのような検査リクエストを送ったのか公開していなかったため、ユーザが手軽にローカル環境で再現することが困難でした。 今回、VAddyのスキャンサーバから送った検査リクエストのデータを公開することで、同じようなリクエストを手元で再現して確認に使えるようになりました。 VAddyのスキャンを終えて問題点が1件以上存在する場合、下記のような検査結果の詳細画面が表示されます。 画面下のテーブル表示の箇所で、4件の脆弱性情報が表示されており、その一番右に「Show」ボタンがありますので、それをクリックすると、下記のようなVAddyサーバから
約800サイトが導入する「Scutum」のビットフォレストが、3ステップで継続的セキュリティテストができる「VAddy」をリリース - BRIDGE(ブリッジ)テクノロジー&スタートアップ情報
セキュリティの専門知識がなくても使えるセキュリティサービスが、昨年2014年10月にリリースされた「VAddy(バディ)」です。既に、じげん など複数の企業が導入していて、今年3月を目処にグローバル版のリリースも予定しています。Bitforest(ビットフォレスト)でVAddyを開発する市川快さん、佐藤匡さん、広報を担当している西野勝也さんにお話を伺いました。 たった3ステップで実現する継続的セキュリティテスト VAddyは、Webアプリケーション開発の初期段階からリリース後まで、全てのフェーズで継続的なセキュリティテストの実施を可能にしてくれるクラウド型サービスです。昨今、開発イテレーションのスピードは増す一方ですが、従来型の脆弱性診断サービスの適用は難しく、中にはセキュリティテストが後回しにされてしまうことも。 たったの3ステップで導入し、必要なセキュリティテストを開発チームが簡単に実
2015年に「その発想はなかった」から「当たり前」になる、CIでの脆弱性検査(セキュリティテスト) - VAddyブログ - 継続的セキュリティテストへの道 -
VAddyコア部分を開発している金床です。 2014年もそろそろ終わりに近づきました。今年のはじめには1行のコードすらも存在していなかったVAddyですが、春頃から市川氏と私がノリノリになったこともあり、現在は無事にJenkinsプラグインまで完成し、当時イメージしていたCIへの自然な統合が可能な状態となっています。実案件に組み込む例も出てきており、振り返ってみれば2014年は非常に手応えを感じた年にすることができました。 CIは広く普及し始めています。基本的にはビルドやユニットテストを頻繁に実行することで、デプロイ時の心理的、または実際の負荷を下げるために利用されていると思います。 VAddyはCIのサイクルの中でSQLインジェクションやクロスサイトスクリプティングのような、いわゆるウェブアプリケーションの脆弱性診断を行うためのサービスです。 私がVAddyのアイデア(CIに組み込むため
CircleCIを使った継続的Webセキュリティテスト環境の構築 - クラウド型Web脆弱性診断ツール VAddyブログ
VAddyとCircleCIを組み合わせると、簡単に継続的セキュリティテスト環境が実現できます。 git pushするとCircleCIのジョブが起動し、テストサーバにコードをデプロイ、そのテストサーバに向けてVAddyからWebの脆弱性検査を実施します。 今回は、 git push -> Unit test -> Deploy(Staging) -> VAddy test -> Deploy(Production) という流れで解説します。 Unit testが失敗した場合は後続の処理は行われませんし、VAddy testが失敗した場合も本番にコードがデプロイされません。 こうして、ユニットテストとWeb脆弱性検査を定期的に実施して問題のないコードのみを本番環境にデプロイできます。 前提 この記事では、CircleCIインスタンス内に立てたWebサーバに対しての脆弱性検査ではなく、Cir
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
