VAddy

English
ログイン

機能

【VAddyの検査方法】

VAddyはDynamic Security Application Testing(DAST)を採用しています。
お客様のテスト環境のWebサーバに対してHTTPリクエストを実際に送信し、受け取ったレスポンスデータを検証して脆弱性の有無を判断しています。

【VAddyの検査の特徴】

自動の脆弱性検査ツールにとって最も重要なことは、ツールがWebアプリケーションの動きを把握して検査が正しく実行できることです。そうしなければ、例えば検査中にログインセッションが切れてしまいログアウト状態で検査が実行されるなど、無意味な検査をすることになります。

人の手によって行われる脆弱性検査では、そうした場合も手動で再ログインして検査を続けることができますが、自動の脆弱性検査ツールを使う場合は、多くの設定によってそうした状況を回避する必要がありました。

VAddyは人工知能の技術を利用して、ユーザのアプリケーションの動きを自動で把握します。
例えば、ログイン画面やフォームのCSRF対策トークンなどの有効期限が検査中に切れてしまった場合は、再度ログインしなおしたり、トークンを再取得します。

お客様側で細かな設定をしなくても手軽に正確な検査を自動で行えることがVAddyの特徴です。
無人化を実現したことで、低価格でCI(Continuous Integration)と連携したセキュリティテストの自動化が実現できました。

【VAddyの検査内容】

下記の項目についてSQLインジェクションクロスサイト・スクリプティング(XSS)リモートファイルインクルージョンコマンドインジェクションディレクトリトラバーサルの検査を行います。

※現在XSS検査は反射型(Reflected) XSSのみ対応しております。蓄積型(Stored) XSSの検査は近日対応予定です。
※Dom based XSSの検査は将来対応予定です。

検査して問題があった箇所の攻撃リクエストとレスポンスデータも確認できますので、手元でコードを修正する際の再現に利用できます。
>>【Blog】HTTPリクエストデータの表示機能について
>>【Blog】脆弱性を発見した際のレスポンスデータ表示機能について

【CI連携】

【リソース情報】

【サービス説明資料】

Vaddyサービス説明資料 from katsuya nishino
VAddyサービス説明資料
pdfダウンロード