VAddy

English
ログイン

サポート

【障害・メンテナンス情報】

現在発生している障害はありません。

過去の障害・メンテナンス情報はこちら

2017/4/16(日) [終了] サーバメンテナンスを行いました

メンテナンスにともない、サービスを一時停止いたしました。
停止予定日時 2017/4/16(日) 10:00-15:00

2017/2/5(日) [終了] サーバメンテナンスを行いました

メンテナンスにともない、サービスを一時停止いたしました。
停止予定日時 2017/2/5(日) 9:00-13:00の間の数分程度

2016/11/13(日) [終了] サーバメンテナンスを行いました

定期メンテナンスにともない、サービスを一時停止いたしました。
停止予定日時 2016/11/13(日) 10:00-13:00

2016/3/13(日) [終了] サーバメンテナンスを行いました

スキャンサーバーのアップデートにともない、サービスを一時停止いたしました。
停止予定日時 2016/3/13(日) 13:00-15:00
検査元のIPアドレスが追加されますので、Firewallで制限している場合はIPを下記の3つに変更してください。
54.92.24.215
54.92.84.100
52.69.45.235 [new]

2016/3/3(木) 15:00 [解決済] プロキシサーバーに接続しづらい現象が発生していました

3月1日から3月2日にかけて、クロール情報作成の際にプロキシサーバーに断続的に接続できないという現象が発生していました。
原因を調査したところ、ユーザ増加によるサーバのリソース不足と判明したため、サーバ増強と設定の見直しを行い問題を解決しました。
ご利用中のお客様には大変ご迷惑をおかけいたしましたことを深くお詫び申し上げます。

【FAQ】

お客様からいただいたご質問と回答をまとめましたので、ご利用の参考にしてください。

サーバー登録について

サーバの登録が完了した後は、Verificationファイルを消してよいのですか?

Verificationファイルは消さないようにお願いします
Verificationファイルを消すとスキャンが開始されずにキャンセルとなります。

スキャン対象のテストサーバにBASIC認証やFirewallでアクセス制限をかけている場合は?

BASIC認証の場合は、サーバ登録時にBASIC認証のID/PWの入力欄がありますのでそこに記載してください。
Firewallで制限している場合は、ログイン後画面のServer List画面下部にある「Firewallを設置している方へ」に記載されているIPアドレスを許可してください。

クロールについて

なぜ事前にクロールしなければいけないのですか?

VAddyのスキャン対象となるURLやパラメータが必要となるため、クロールは必須になります。
これによってログインが必要なアプリケーションであったり、リンクで遷移しない非公開画面へのアクセスなども スキャンの対象にすることができます。
また、本来スキャンが必要ないページなどをクロールに含めないようにすれば、スキャン時間が短縮できるなど、メリットもあります。

クロール登録中に他のサイトを閲覧した場合は?

VAddyのProxyを通すと、他のサイトの閲覧は制限され、クロール情報にも記録されません。
VAddy Proxy経由で他のサイトを閲覧すると、403 Forbiddenが返ります。

Edit Whitelisted IP Addressesはどのような機能ですか?

VAddyのクロール情報の登録は、Verificationファイルが第3者に知られてしまうと、第3者が勝手に更新できてしまいます。
より安全にするためVerificationファイルの情報以外にも、クロールデータの登録ができるIPアドレスが制限できます。
デフォルトは全てのIPを許可にしているため、適宜自分のネットワークの接続元IPアドレスを登録して制限してください。

外部サイトからライブラリを読み込んでいるアプリケーションのクロール方法は?

VAddyのProxyサーバーはお客様によって登録されたFQDNとの通信だけを許可します。
検査対象のWebアプリケーションが外部サイトのライブラリ等を読み込んでいる場合は、下記のようにブラウザ等のプロキシ設定画面で除外設定欄(「プロキシなしで接続」など)に外部サイトの情報を入力してください。これにより、検査対象FQDNとの通信はVAddy Proxyを通りますが、外部サイトとは直接通信されます。

【Firefoxの設定例】

スキャンについて

本番サーバにスキャンを実行しても大丈夫ですか?

本番サーバへのスキャン実行は禁止しております。
VAddyのリクエストによって、本番サーバのデータにゴミデータが登録される場合や、データが消える場合があるためです。

スキャン結果画面のNumber of requestsとは何ですか?

スキャンのために対象サーバに送信されたHTTPリクエストの数です。
現在、URLのパラメータ毎にSQLインジェクションとXSSの検査を行いますので、最低2リクエスト送信されます。
例えば、http://example.com/check.cgi?foo=aaa&bar=bbbというURLを検査する場合は、fooに2リクエスト、barに2リクエスト送るため合計4リクエストとなり、Num of scan requestが4となります

Number of requestsが0の場合は?

スキャンのリクエストが0件という意味です。この場合、クロール登録の際に、スキャン対象となるURLにアクセスしていなかった可能性があります。
例えば、クロール開始URLにアクセスして、すぐにクロール終了URLにアクセスした場合や、 xxx.htmlやxxx.gifなど、静的ファイルにのみアクセスした場合です。
スキャン対象はパラメータを含むGET/POSTリクエストが対象です。GETの場合はURLに?foo=aaa&bar=bbbなどを含む物です。

スキャン結果詳細画面のVulnerable Parameterとは何ですか?

該当URLの中で問題があったパラメータです。該当パラメータの問題点を把握し、アプリケーションのコードを修正してください。
例えば、Vulnerable Parameterがfoo、Vulnerability欄にクロスサイトスクリプティングと表示されている場合は、表示の際にfooパラメータをHtmlエスケープして表示するようにしてください。

スキャン実行後、自分のWebアプリケーションログにCSRFトークンエラーが記録されているのですが、スキャンできているのでしょうか?

VAddyはクロール情報を元に、CSRF対策トークンなど少しでも変更すると動かなくなるパラメータかどうかを、実際にHTTPリクエストを何回か送って判定しています。
ですので、いくつかエラーとしてログに記載されるかもしれませんが、その後は正常なトークンを付けたものを送ってスキャンしていますのでご安心ください。
検査対象サーバのアクセスログを、grep 'POST'などで検索すると、いくつかは500エラーになり、その後の同一URLへのPOSTは200や300系のレスポンスを記録していれば問題なく検査できています。

スキャンがキャンセルされてしまいました。何故でしょうか?

Verificationファイルが見つからなかったか、時間切れの可能性があります。
Verificationファイルを消してしまった場合は、再度設置してください。
時間切れの場合は、クロール登録する際に、対象URLを減らしてください
スキャン上限時間はFreeプランで5分、Standardプランは1時間、Professionalプランは3時間です。

RFI検査とは何ですか?

RFI検査とはRemote File Inclusionと呼ばれる脆弱性に対する検査です。
PHPなどのスクリプト言語では外部サイトのソースコードを動的に読み込んで処理することができますが、もし読み込み処理の指定が不適切で、外部から自由に読み込み先が指定できる状態になっていると、悪意あるコードが外部サーバから読み込まれてしまう場合があります。
つまり攻撃者は外部から自由にコード実行が可能になってしまうため、情報が盗まれたり、マルウェアが設置されるなどの被害が想定されます。

VAddyのRFI検査ではこのような脆弱性に対する検査を行います。

APIサーバの検査はできますか?

はい、可能です。
具体的な方法はこちらのブログ記事を参照ください。
RestAPIサーバのセキュリティテストを実現しました
APIサーバの脆弱性検査をVAddyでチェック

チーム機能について

チーム機能とは何ですか?(Standard,Professional)

1つのFQDN(サーバー)に対して複数メンバーでVAddyを利用する機能です。 1FQDNあたりStandardプランでは5人まで、Professionalプランでは50人までメンバーを登録することができ、ユーザーごとに権限を付与できます。

ユーザー権限とは何ですか?(Standard,Professional)

VAddyではFQDN(サーバー)ごとに以下の3つのユーザー権限があります。
Owner:サーバー追加/削除、ユーザー追加/削除、クロール、スキャンが可能です。
Write:クロールの実行/参照、スキャンの実行/参照が可能です。
Read:スキャン結果、クロール結果の参照が可能です 。

なお、FQDN(サーバー)のチームメンバーが実行できる機能(スキャンの実行時間や検査項目など)は、そのFQDN(サーバー)のownerが契約しているプランによって、決まります。
例えばwww.example.comのownerがProfessionalプランを契約している場合、そのチームメンバーがwww.example.comの検査の実行/参照を行う場合は、チームメンバー自身が契約しているプランにかかわらず、Professionalプランの機能を利用することができます。

ユーザーの追加について(Standard,Professional)

FQDN(サーバー)のownerは自身が管理しているFQDN(サーバー)ごとにユーザーを追加することができます。DashboardまたはSelect Serverメニューでユーザーを追加したいサーバーを選択してください。追加できるのはVAddyアカウントを持っているユーザーのみです。

決済/お支払いについて

月の途中で解約した場合、返金はされますか?(Standard,Professional)

月内の残日数による差額の返金はいたしません。

課金サイクルは?(Standard,Professional)

毎月末のご利用状況(プラン/オプション)に応じた金額で翌月初に決済処理を行います。

月の途中でプランを変更した場合はいつから反映されますか?(Standard,Professional)

変更後のプランの機能はプラン変更をお申込みいただいた時点で即時反映されます。
変更後のプランに対応する料金は翌月初より決済されます。

複数月での契約は可能ですか?(Standard,Professional)

複数月でのご契約を希望の方は(info@vaddy.net)までご連絡ください

日本円での決済は可能ですか?(Standard,Professional)

原則として、USドル建て決済のみとさせて頂いております。

日本円への換算レートはいつの時点になりますか?(Standard,Professional)

決済にご利用のクレジットカード会社所定の基準によります。

請求書払いは可能ですか? (Standard,Professional)

原則として、クレジットカードでのお支払いにのみ対応しています。
ただし、日本国内のユーザーに限り、同一企業/団体にて複数アカウントをご利用の場合や、自社の規定によりクレジットカードが使えない場合などはご相談ください。

領収書は発行していますか?

領収書は発行していません。クレジットカードのご利用明細をもって代用してください。

その他

イントラネットでも利用したいのですが。

現時点ではクラウド型でのサービス提供のみとなっております。

【個別相談会】

導入をご検討されている方や、すでにご利用頂いている方を対象に個別相談会を実施しています。

個別相談会の詳細はこちら

【お問い合わせ】

FAQでは解決できなかったお問い合わせ、VAddyへのご意見ご要望は問い合わせフォームよりお寄せください。

お問い合わせフォーム