AWS Cognito/Azure AD B2C/Auth0などの
IDaaSを利用したWebアプリケーションも検査ができる
『サーバー所有者確認スキップ機能』
VAddyの基本プランでは自社内のSSO(シングルサインオン)基盤を利用するアプリケーションの診断が可能ですが「サーバー所有者確認スキップ機能」を追加していただくとAuth0やAWS Cognito、Azure AD B2Cといった外部の認証サービスを利用するWebアプリケーションも脆弱性診断が可能となります。
本機能のご利用を希望されるお客様は事前申請が必要となりますので、VAddyアカウントを作成(無料)した後に、info@vaddy.netまでご連絡ください。
「検査対象サーバー所有者確認スキップ機能」は追加料金は発生せず、VAddyの全てのプランでご利用いただけます。
「サーバー所有者確認スキップ機能」の概要
ブラックボックス型脆弱性診断(DAST)ツールであるVAddyでは、診断の実行前に診断対象のWebサーバーの所有者確認を行う必要があります。
本機能は特定のサーバー(FQDN)の所有者確認作業をスキップすることで、所有者確認を行えない外部サーバー(IDaaSのFQDN)を経由するアプリケーションへの診断を可能にするものです。
これにより、IDaaSなどの外部サーバーに限らず、管理権限が異なるなどの理由でお客様自身で所有者確認を行えない社内の認証基盤を経由するWebアプリケーションでも、VAddyで検査できるようになります。
なお、本機能を利用してVAddyに登録されたFQDNは検査対象外となり、同時に課金対象のFQDN数にもカウントされません。
VAddyの通常の検査フロー
検査対象とするサーバー(FQDN)の登録を行い、サーバーの所有者確認を行ったアプリケーション上でのみ、画面遷移と操作を記録して検査が可能です。
所有者確認ができない外部ドメインとは通信を行うことができません。
サーバー所有者確認スキップ機能の設定後の検査
サーバーの所有者確認をスキップすることで第三者提供の外部ドメインを経由する認証サービスなどを使用したアプリケーションも検査可能になります。
「サーバー所有者確認スキップ機能」ご利用方法
より詳しいご利用方法は下記ページをご覧ください。