「死んだ祖母の形見」とウソをつくことでBingチャットにCAPTCHAの画像認識を解かせることに成功

2023/10/03 38 users CAPTCHA 形見 Bingチャット 祖母 ウソ

BingチャットはMicrosoftが提供しているチャットボットAIで、ユーザーは画像をアップロードして検索したり議論したりすることが可能です。そんなBingチャットは、画像認識型のセキュリティテストであるCAPTCHAの問題は解かないように設定されているのですが、架空の亡くなった祖母のロケットペンダントだとウソをついてB... 続きを読む

[書評] ハッキングAPI ―Web APIを攻撃から守るためのテスト技法

2023/03/27 373 users 書評 テスト技法 攻撃 Web API 本書

サマリハッキングAPI―Web APIを攻撃から守るためのテスト技法（2023年3月27日発売）を読んだ。本書は、Web APIに対するセキュリティテストの全体像と具体的なテスト方法を記載している。ペンテスターは、APIの検出、APIエンドポイントの分析、攻撃（テスト）を行う必要があり、そのために必要な情報がすべて記載されてい... 続きを読む

VAddyで複数FQDNをまたぐアプリケーションの脆弱性検査が可能に！ - VAddyブログ - 継続的セキュリティテストへの道 -

2018/07/23 10 users FQDN VAddy Webアプリケーション 本日リリース

本日、複数のFQDNをまたぐアプリケーションの脆弱性検査機能をリリースいたしました！ これまでのVAddyでは検査対象として登録できるのは単一のFQDNで構成されたWebアプリケーションだけでしたが、本日リリースした機能によって複数のFQDNから構成されているWebアプリケーションの脆弱性検査が実現されます。 中規模以上... 続きを読む

GitLab 10.4リリース。WebIDE搭載開始、Dockerイメージの静的セキュリティ解析、アプリケーションの動的セキュリティテストなどの新機能 － Publickey

2018/01/24 182 users Publickey Dockerイメージ アプリケーション

GitLab 10.4リリース。WebIDE搭載開始、Dockerイメージの静的セキュリティ解析、アプリケーションの動的セキュリティテストなどの新機能 GitLab 10.4では、デプロイ前のDockerイメージに対して静的セキュリティ解析を行うツールや、動的にセキュリティ解析を行うツール、そしてWebブラウザから利用できる統合開発ツールなどが搭載された。 ソースコード管理ツールGitLabの最新... 続きを読む

クラウドサーバに対する脆弱性診断の事前申請について各社に問い合わせてみた結果 - VAddyブログ - 継続的セキュリティテストへの道 -

2017/06/30 12 users IaaS クラウドサービス 言及 プラットフォーム 脆弱性

先日このようなブログ記事が公開されました。 クラウドサービスを脆弱性診断する時のお作法   とある企業において脆弱性診断をされている「とある診断員」さんのブログで、クラウドサービス（IaaS）の利用者が脆弱性診断をする際の注意点がまとめられています。 この記事の中に 脆弱性診断を実施する際には、ご自身の利用しているプラットフォームの事業者にちゃんと確認をした方が良いと考えます。 という言及がありま... 続きを読む

PrivateNet版VAddyをリリースしました。ローカル環境でも手軽に脆弱性検査できます！ - VAddyブログ - 継続的セキュリティテストへの道 -

2017/06/14 10 users VAddyブログ 脆弱性 ローカル環境 道

VAddyは手軽にWebの脆弱性検査が実施でき、CI連携など自動化も可能なSaaSです。 既存のVAddyは、VAddyサーバからインターネット経由でWebサーバに検査リクエストを送る仕組みのため、検査対象のWebサーバはグローバルIPを持つ環境が必要でした。 ユーザからの要望として多く挙がっていたのが、イントラネット環境しかテストサーバがない、手元の開発マシンしかない、Travis, Circl... 続きを読む

脆弱性って何？〜見つけにくい脆弱性 - VAddyブログ - 継続的セキュリティテストへの道 -

2016/12/18 13 users VAddy 西野 Webアプリケーション セキュリティ 初め

VAddy Adventカレンダー 18日目の記事です。 @vaddynet の中の人、西野です。 VAddyは 開発者フレンドリー なWebアプリケーション脆弱性検査サービス です。 セキュリティの知識がなくても簡単にWebアプリケーションの脆弱性検査ができます。 いつもは開発者向けの内容ですが、今日は 開発者以外の方 向けの記事を投稿しようと思います。 まず初めに質問です。 皆さんの中で脆弱性... 続きを読む

継続的なWebセキュリティテストを実現する「VAddy」が9月に有料版、チーム間でも利用可能に - THE BRIDGE（ザ・ブリッジ）

2015/07/17 21 users VAddy WEBセキュリティテスト THE BRIDGE

今年の4月に全世界版をリリースした、継続的Webセキュリティテストを実現する「VAddy（バディ）」。意識はしつつも後回しにされてしまいがちなセキュリティテストを、たった3つの導入ステップで開発フローに組み込み、自動化してくれます。 同サービスを提供するビットフォレストが、今年の9月より、VAddyの製品版および有料プランの提供を開始することを発表しました。VAddyは、昨年10月には日本語のベー... 続きを読む

非エンジニア系Webディレクターのためのセキュリティテスト - 継続的WEBセキュリティテスト VAddyブログ

2015/05/14 36 users VAddy 肩書 プログラマー 西野 新卒

VAddy広報担当の西野です。 あくまでVAddyは開発者向けツールという位置づけですが、今回は少し趣向を変えて「非エンジニア系WebディレクターのVAddy活用法」をお話したいと思います。  「Webディレクター」の肩書を持っている方の出身は、営業、Webデザイナー、フロントエンドエンジニア、プログラマー、新卒でそのまま（！）などさまざまだと思います。今回のお話は「非エンジニア系Webディレクタ... 続きを読む

「脆弱性もバグの一種」だからテストをしよう―セキュリティテスト自動化ツール『VAddy』開発者インタビュー | SEKAI LAB TIMES（セカイラボタイムス）

2015/05/13 45 users VAddy セカイラボタイムス パク 一種 インテグレーション

クラウド型Web脆弱性検査ツールの『VAddy』を運営する株式会社ビットフォレストの市川氏と西野氏に、今の時代にあった「セキュリティテスト」とはなんぞや、ということについて伺いました。クラウド型Web脆弱性検査ツールの『VAddy』。Webアプリケーション開発において、「※継続的インテグレーション（CI: Continuous Integration）」ツールと連携してセキュリティテストの自動化を... 続きを読む

どのポート番号でもWeb脆弱性診断が可能になりました - 継続的WEBセキュリティテスト VAddyブログ

2015/04/14 27 users WEBセキュリティテスト VAddyブログ テストサーバ

VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性診断サービスです。 http://vaddy.net/ja/VAddyではHTTP/HTTPSのWebアプリケーションに対して脆弱性検査が可能となっていますが、ポート番号は80番と443番のみとなっていました。 VAddyのスキャンはテストサーバに対して行うため、80番、443番以外を使っているケースがあり、... 続きを読む

RestAPIサーバのセキュリティテストを実現しました - 継続的WEBセキュリティテスト VAddyブログ

2015/03/09 25 users Put Delete モバイルアプリケーション VAddy

VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性検査ツールです。 既にGET/POST/PUT/DELETEのパラメータの検査、URLパスに含まれるパラメータの検査を実現しています。 現在は、SQLインジェクションとXSS検査を行っています。 機能の一覧はこちらをご覧下さい。 最近のモバイルアプリケーションやシングルページアプリケーションのような構成ですと... 続きを読む

CIツールと連携した継続的セキュリティテストを実現する「VAddy」が全世界版のリリースに向けて始動 - THE BRIDGE（ザ・ブリッジ）

2015/02/13 42 users ティザーサイト VAddy じげん パティ CIツール

継続的Webセキュリティテストサービス「VAddy」（バディ）が、グローバル版のサービス提供に先駆けて英語版のティザーサイトをオープンしました。 VAddyはCIツールと連携して、開発の初期段階から継続的なセキュリティテストを実現するクラウド型サービス。2014年10月のリリースした日本語版は、毎月約50%増のペースでユーザーを獲得し、既に じげん など複数企業の実業務で活用されています。 昨今、... 続きを読む

約800サイトが導入する「Scutum」のビットフォレストが、3ステップで継続的セキュリティテストができる「VAddy」をリリース - THE BRIDGE（ザ・ブリッジ）

2015/02/04 21 users セキ セキュリティサービス じげん 目処 パティ

セキュリティの専門知識がなくても使えるセキュリティサービスが、昨年2014年10月にリリースされた「VAddy（バディ）」です。既に、じげん など複数の企業が導入していて、今年3月を目処にグローバル版のリリースも予定しています。Bitforest（ビットフォレスト）でVAddyを開発する市川快さん、佐藤匡さん、広報を担当している西野勝也さんにお話を伺いました。 たった3ステップで実現する継続的セキ... 続きを読む

JenkinsカンファレンスにてJenkinsを使った継続的セキュリティテストの発表を行いました - 継続的WEBセキュリティテスト VAddyブログ

2015/01/14 32 users 活気 スライド Jenkins 我々 箇所

Jenkinsユーザカンファレンス2015に参加・発表してきました。 参加者も700人ぐらいいたようで非常に活気があり、各セッションもJenkinsを中心としたシステムの話から、何故CIなのかなど、多岐に渡る発表があり刺激的でした。 我々は5分のLTで発表させて頂きました。短い時間なので色々と説明を省略した箇所がありましたが、アップロードしたスライドではある程度補足しています。 継続的セキュリティ... 続きを読む

2015年に「その発想はなかった」から「当たり前」になる、CIでの脆弱性検査(セキュリティテスト) - 継続的WEBセキュリティテスト VAddyブログ

2014/12/25 87 users VAddy 手応え Jenkinsプラグイン 統合 市川氏

VAddyコア部分を開発している金床です。 2014年もそろそろ終わりに近づきました。今年のはじめには1行のコードすらも存在していなかったVAddyですが、春頃から市川氏と私がノリノリになったこともあり、現在は無事にJenkinsプラグインまで完成し、当時イメージしていたCIへの自然な統合が可能な状態となっています。実案件に組み込む例も出てきており、振り返ってみれば2014年は非常に手応えを感じた... 続きを読む

継続的WEBセキュリティテスト VAddyブログ — Git, BitBucket, Jenkins, VAddy, Seleniumを組み合わせてCIに脆弱性検査(セキュリティテスト)を導入してみました

2014/11/06 48 users JUnit Jenkins Git Selenium 我々

VAddyとは? VAddyは我々が開発している、「CIに脆弱性検査（セキュリティテスト）を」というコンセプトのサービスです。 Jenkins等のCIサーバを使い、JUnitやPHPUnitなどユニットテストや、Seleniumを使ったブラウザテストを行うというテスト（開発）手法は、一度慣れてしまうと元に戻れない安心感を与えてくれるものです。 しかし、テストの中でもまだ広く一般的にはCIに組み込ま... 続きを読む

株式会社シャノン技術ブログ: パフォーマンステストをまとめてみた

2011/10/10 35 users パフォーマンステスト 株式会社シャノン技術ブログ ラベル

2011年10月10日月曜日 パフォーマンステストをまとめてみた ラベル: テスト, パフォーマンステスト こんにちは。QAのinomataです。 パフォーマンスの問題は、顕在化するとシステム停止や機能の停止を余儀なくされたりと、インパクトが大きい可能性が高いです。個人的な位置づけだと、 セキュリティテスト　≒　パフォーマンステスト　>>　機能テスト くらいだと思ってます。しかもパフォーマンスの問... 続きを読む