クラウド型 Web 脆弱性診断ツール「VAddy(バディ)」、非公開ファイル検査機能を追加しました

株式会社ビットフォレスト(東京都千代田区 代表取締役 高尾都季一 以下、ビットフォレスト)は、クラウド型Web脆弱性診断ツール「VAddy」のEnterpriseプラン/Enterprise+プランにおいて、新たに非公開ファイル検査機能を追加いたしました。

■クラウド型Web脆弱性診断ツール「VAddy」について
「VAddy」公式ページ: リンク

「VAddy」は クラウド型 WAF(Web Application Firewall)国内市場売上シェアNo.1を誇る「Scutum(スキュータム)」の開発チームが開発した、今もっとも手軽で高速な純国産のクラウド型 Web アプリケーション脆弱性診断ツールです。
従来の脆弱性診断ツールのように導入前トレーニングや複雑な設定作業を必要とせず、簡単なブラウザ操作だけで未経験者でも最短10分で初回の検査を開始できる手軽さが支持されています。

■クラウド型WAF「Scutum」について
「Scutum」公式ページ: リンク

VAddyのEnterpriseプラン/Enterprise+プランではこれまで下記の10個の脆弱性に対する検査機能を提供していましたが、これに加えて新たに非公開ファイル(.env、.git/config、.svn/entries)検査機能を追加しました。

SQLインジェクション検査
ブラインドSQLインジェクション検査
XSS検査
コマンドインジェクション検査
ディレクトリトラバーサル検査
リモートファイルインクルージョン検査
HTTPヘッダインジェクション検査
XXE検査
安全でないデシリアライゼーション検査
SSRF脆弱性検査
非公開ファイル検査 [NEW]


●非公開ファイルのチェックを検査対象とした背景

VAddyが検査対象とした「非公開ファイル」にはWebサーバー/DBサーバー/クラウドサービスの設定情報やソースコードなどが記述されているため、本来はWebサーバーの非公開領域に設置されるべきものです。しかしながらWebサーバーの設定ミスや公開時の手違いなどによりこれらのファイルが公開領域に設置されたまま放置されているケースがあります。
これらの非公開ファイルが外部から読み取られると、例えば「.env」の場合はDBサーバの接続情報が盗まれ、情報漏洩や改竄につながる可能性があります。
そのため、悪意のある攻撃者は「脆弱性スキャナー」と呼ばれるツールを使い、そうした非公開ファイルへの読み取りを試行しています。実際、Webサーバーのアクセスログを日々チェックしている運用担当者は.env、.git/config、.svn/entriesといったファイルへのアクセスを目にする機会が多いのではないでしょうか。

●VAddyの非公開ファイルの検査機能

今回VAddy Enterpriseプラン/Enterprise+プランに追加された非公開ファイル検査機能を使って「.env、.git/config、.svn/entries」ファイルへの外部からのアクセスの可否を検知することで、Webサーバーのアクセス制御の設定などの適切な処置を事前に行うことができます。

本機能についてはVAddyブログも併せてご覧ください。
VAddyブログ: VAddyの脆弱性診断項目に非公開ファイルチェックが加わりました
ブログ記事 : リンク

なお、本機能はVAddy Enterpriseプラン/Enterpriseプラン+のみへの追加となりますが、現在それ以外のプランをご利用のお客様でもEnterpriseプラン/Enterpriseプラン+にアップグレードすることで、すぐにご利用いただけます。

今回追加された非公開ファイルチェック機能も含めたVAddyの機能詳細やデモンストレーションは、7月27日(火)14時~開催のVAddyオンラインセミナーでもご紹介します。ご自宅からでもリラックスしてご参加いただけますので、まだ脆弱性診断ツールを導入するか具体的に決まっていない方や情報収集段階の方も、ぜひご参加ください!

【参加費無料】7月27日(火)14時~開催!VAddyオンラインセミナー
「VAddy」オンラインセミナー申込ページ:リンク


●お問い合わせ
株式会社ビットフォレスト
VAddy(バディ)事業部
担当 西野
info@vaddy.net
03-5577-2032

企業情報
【ビットフォレストについて】
リンク
社名:株式会社ビットフォレスト
代表者:代表取締役 高尾 都季一
事業内容:Webアプリケーションセキュリティ製品の開発、販売

プレスリリース提供:PR TIMES リンク

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]