はじめに VAddyはDynamic Security Application Testing(DAST)による脆弱性診断を行なってくれるクラウド型Web脆弱性診断ツールです。 SQLインジェクションやクロスサイトスクリプティング(XSS)など、9つの項目をスキャンできます。今回はSUZURIでの活用事例を紹介します。 VAddyとは VAddyの実行プロセスは大きく分けてクロール・スキャン・レポートの3ステップです。 検査対象アプリケーションのURLとパラメータをVAddyに登録する「クロール」、対象アプリケーションに検査リクエストを送信して脆弱性を診断する「スキャン」、検査結果を通知してくれる「レポート」です。 VAddyサポートサイトに基本的な使い方が書かれているので、これを読むことで簡単にはじめることができます。 とても便利なVAddyですが、シナリオが増えればクロールを手動でやる