継続的WEBセキュリティテスト VAddyブログ

VAddyでは、テスト対象のサーバの登録とクロールデータの生成を行った後に脆弱性検査を開始します。
クロールデータとは、スキャン対象のURLやパラメータを記録した物で、これを元にVAddyのスキャナーがサイトの構成を学んで検査を行います。
クロールデータの生成方法は、ブラウザのプロキシ設定でIPとポートをVAddyの指定のものに変更して、その後、検査対象のWebサイトをユーザが操作していきます。

VAddyを本格的に使うために、このようなクロールデータの生成が必要なのですが、まずは簡単にスキャンを試してみたいというユーザからすると手間がかかるイメージがありました。
そこで、プロキシ設定の変更も不要で、VAddyの画面からURLを入れてクロールデータを生成する簡易クロール機能をリリースしました。
これにより、本格的にVAddyを使う前にまずはVAddyの検査がどういったものかということが簡単に体験できるようになりました。

操作方法

テスト対象のサーバを登録した後に「Proxy Crawling」メニューの一番下にある、「クロールデータ簡易登録」というボタンをクリックしてください。

次に、検査対象のアプリケーション（以下の画面例ではwww.example.com)のURLを最大3つ入れてください。
URL1のみが必須ですので、URL2とURL3の入力は任意です。

例えば、URL1にhttp://www.example.com/foo?name=ichikawa
と入れれば、nameというパラメータに対して、SQLインジェクションとXSSの検査が可能になります。
ですのでGETのパラメータを含むURLを入力してください。xxxx.htmlというような静的なファイルは検査の対象にはなりません。

簡易クロールデータが無事生成されれば、画面の上部に「スキャンを開始する」というリンクがでます。

このリンクをクリックしてスキャン実行画面に遷移して「Start Scan」ボタンを押してスキャンを開始してください。

注意点

本機能は簡易のクロールデータ作成のため、POSTや認証が必要な画面はクロールできません。

それらも含めて、本格的にVAddyを使って検査を行いたい場合は、ブラウザのProxyを切り替えて画面操作を行い、必要なリクエストを全てクロールデータとしてVAddyに登録してください。

詳細はマニュアルStep2をご覧ください。

さいごに

セキュリティテストツールを使って効果的な検査を行うためにはクロールデータは重要です。
クロールデータさえあれば、VAddyの機械学習機能を使って設定不要で効果的な検査ができるようになっています。

例えば、セッションが切れた場合でも自動で再度ログインする、
CSRF対策トークンがあることをVAddyが自動で認識してトークンの再取得を行うなどしています。

VAddyはこの点に特徴があります。
他のセキュリティテストツールでは、クロールデータに加えて、細かな設定を行わなければなりません。

VAddyは現在無料版のみ提供しています。
誰でも簡単に始められます。まずは簡易クロール機能を使ってスキャンまで体験してもらえると嬉しいです。
たぶん10分程度でスキャンまで実施できると思います。

http://vaddy.net/ja
https://twitter.com/vaddynet