タグ VAddyブログ
人気順 5 users 50 users 100 users 500 users 1000 usersVAddyで複数FQDNをまたぐアプリケーションの脆弱性検査が可能に! - VAddyブログ - 継続的セキュリティテストへの道 -
本日、複数のFQDNをまたぐアプリケーションの脆弱性検査機能をリリースいたしました! これまでのVAddyでは検査対象として登録できるのは単一のFQDNで構成されたWebアプリケーションだけでしたが、本日リリースした機能によって複数のFQDNから構成されているWebアプリケーションの脆弱性検査が実現されます。 中規模以上... 続きを読む
クラウドサーバに対する脆弱性診断の事前申請について各社に問い合わせてみた結果 - VAddyブログ - 継続的セキュリティテストへの道 -
先日このようなブログ記事が公開されました。 クラウドサービスを脆弱性診断する時のお作法 とある企業において脆弱性診断をされている「とある診断員」さんのブログで、クラウドサービス(IaaS)の利用者が脆弱性診断をする際の注意点がまとめられています。 この記事の中に 脆弱性診断を実施する際には、ご自身の利用しているプラットフォームの事業者にちゃんと確認をした方が良いと考えます。 という言及がありま... 続きを読む
PrivateNet版VAddyをリリースしました。ローカル環境でも手軽に脆弱性検査できます! - VAddyブログ - 継続的セキュリティテストへの道 -
VAddyは手軽にWebの脆弱性検査が実施でき、CI連携など自動化も可能なSaaSです。 既存のVAddyは、VAddyサーバからインターネット経由でWebサーバに検査リクエストを送る仕組みのため、検査対象のWebサーバはグローバルIPを持つ環境が必要でした。 ユーザからの要望として多く挙がっていたのが、イントラネット環境しかテストサーバがない、手元の開発マシンしかない、Travis, Circl... 続きを読む
脆弱性って何?〜見つけにくい脆弱性 - VAddyブログ - 継続的セキュリティテストへの道 -
VAddy Adventカレンダー 18日目の記事です。 @vaddynet の中の人、西野です。 VAddyは 開発者フレンドリー なWebアプリケーション脆弱性検査サービス です。 セキュリティの知識がなくても簡単にWebアプリケーションの脆弱性検査ができます。 いつもは開発者向けの内容ですが、今日は 開発者以外の方 向けの記事を投稿しようと思います。 まず初めに質問です。 皆さんの中で脆弱性... 続きを読む
ついに! 10分で脆弱性検査が体験できるVAddy簡易クロール機能をリリース - 継続的WEBセキュリティテスト VAddyブログ
VAddyでは、テスト対象のサーバの登録とクロールデータの生成を行った後に脆弱性検査を開始します。 クロールデータとは、スキャン対象のURLやパラメータを記録した物で、これを元にVAddyのスキャナーがサイトの構成を学んで検査を行います。 クロールデータの生成方法は、ブラウザのプロキシ設定でIPとポートをVAddyの指定のものに変更して、その後、検査対象のWebサイトをユーザが操作していきます。V... 続きを読む
非エンジニア系Webディレクターのためのセキュリティテスト - 継続的WEBセキュリティテスト VAddyブログ
VAddy広報担当の西野です。 あくまでVAddyは開発者向けツールという位置づけですが、今回は少し趣向を変えて「非エンジニア系WebディレクターのVAddy活用法」をお話したいと思います。 「Webディレクター」の肩書を持っている方の出身は、営業、Webデザイナー、フロントエンドエンジニア、プログラマー、新卒でそのまま(!)などさまざまだと思います。今回のお話は「非エンジニア系Webディレクタ... 続きを読む
どのポート番号でもWeb脆弱性診断が可能になりました - 継続的WEBセキュリティテスト VAddyブログ
VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性診断サービスです。 http://vaddy.net/ja/VAddyではHTTP/HTTPSのWebアプリケーションに対して脆弱性検査が可能となっていますが、ポート番号は80番と443番のみとなっていました。 VAddyのスキャンはテストサーバに対して行うため、80番、443番以外を使っているケースがあり、... 続きを読む
技術系スタートアップはスタンスを明確に。エッジを研げ、その刃は本物か? - 継続的WEBセキュリティテスト VAddyブログ
VAddyのプロジェクトリーダーをしている市川です。VAddyは継続的Webセキュリティテストサービスとして2014年10月にリリースしました。 おかげさまでユーザも増えてきて、VAddyミートアップイベントもキャンセル待ちが出るほど盛況です。 VAddyミートアップやユーザヒアリングなどを通して、VAddyへの色々な要望や期待を寄せてもらえるようになり、とても良いサービスを生み出せたかなと感じて... 続きを読む
RestAPIサーバのセキュリティテストを実現しました - 継続的WEBセキュリティテスト VAddyブログ
VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性検査ツールです。 既にGET/POST/PUT/DELETEのパラメータの検査、URLパスに含まれるパラメータの検査を実現しています。 現在は、SQLインジェクションとXSS検査を行っています。 機能の一覧はこちらをご覧下さい。 最近のモバイルアプリケーションやシングルページアプリケーションのような構成ですと... 続きを読む
検査時に送ったHTTPリクエストデータの表示機能をリリースしました - 継続的WEBセキュリティテスト VAddyブログ
VAddyの管理画面では、脆弱性が1件以上あれば、脆弱性のあるURLと問題となっているパラメータ名、問題(SQLインジェクション or XSS)が表示されます。 この情報があれば開発者は問題となっている箇所のソースコードが特定でき、修正が可能です。 しかし、実際にどのような検査リクエストを送ったのか公開していなかったため、ユーザが手軽にローカル環境で再現して修正することが困難でした。今回、VAdd... 続きを読む
JenkinsカンファレンスにてJenkinsを使った継続的セキュリティテストの発表を行いました - 継続的WEBセキュリティテスト VAddyブログ
Jenkinsユーザカンファレンス2015に参加・発表してきました。 参加者も700人ぐらいいたようで非常に活気があり、各セッションもJenkinsを中心としたシステムの話から、何故CIなのかなど、多岐に渡る発表があり刺激的でした。 我々は5分のLTで発表させて頂きました。短い時間なので色々と説明を省略した箇所がありましたが、アップロードしたスライドではある程度補足しています。 継続的セキュリティ... 続きを読む
2015年に「その発想はなかった」から「当たり前」になる、CIでの脆弱性検査(セキュリティテスト) - 継続的WEBセキュリティテスト VAddyブログ
VAddyコア部分を開発している金床です。 2014年もそろそろ終わりに近づきました。今年のはじめには1行のコードすらも存在していなかったVAddyですが、春頃から市川氏と私がノリノリになったこともあり、現在は無事にJenkinsプラグインまで完成し、当時イメージしていたCIへの自然な統合が可能な状態となっています。実案件に組み込む例も出てきており、振り返ってみれば2014年は非常に手応えを感じた... 続きを読む
CircleCIを使った継続的Webセキュリティテスト環境の構築 - 継続的WEBセキュリティテスト VAddyブログ
VAddyとCircleCIを組み合わせると、簡単に継続的セキュリティテスト環境が実現できます。 git pushするとCircleCIのジョブが起動し、テストサーバにコードをデプロイ、そのテストサーバに向けてVAddyからWebの脆弱性検査を実施します。 今回は、 git push -> Unit test -> Deploy(Staging) -> VAddy test -> Deploy(P... 続きを読む
JenkinsからWebアプリに脆弱性検査し、結果をHipchatに通知 - 継続的WEBセキュリティテスト VAddyブログ
継続的セキュリティテストサービスVAddyはJenkinsプラグインを提供しているため、Hipchat Jenkinsプラグインを入れれば、CIの中でWebアプリケーションに対して脆弱性検査を自動実行して、その結果をHipchatに通知できます。 Jenkinsには、ビルド後の処理にEmail通知というものが標準であるため、ビルド結果はメールで受け取りできます。ただし、これはビルド失敗のみメール通... 続きを読む
継続的WEBセキュリティテスト VAddyブログ — Git, BitBucket, Jenkins, VAddy, Seleniumを組み合わせてCIに脆弱性検査(セキュリティテスト)を導入してみました
VAddyとは? VAddyは我々が開発している、「CIに脆弱性検査(セキュリティテスト)を」というコンセプトのサービスです。 Jenkins等のCIサーバを使い、JUnitやPHPUnitなどユニットテストや、Seleniumを使ったブラウザテストを行うというテスト(開発)手法は、一度慣れてしまうと元に戻れない安心感を与えてくれるものです。 しかし、テストの中でもまだ広く一般的にはCIに組み込ま... 続きを読む
継続的WEBセキュリティテスト VAddyブログ — VAddyが目指す世界と使命
VAddyの開発している市川です。 今日は、最初の投稿ということで、VAddyが目指す世界と使命の話をしたいと思います。 VAddyは、継続的WEBセキュリティテストサービスです。 http://vaddy.net CI(継続的インテグレーション)に簡単に組み込めて、開発初期から、リリース後まで常にWebセキュリティ診断を自動で行い、より安全なWebアプリケーションを手軽にリリースできる世界を作り... 続きを読む