【クラウド型】 Web脆弱性診断サービス「VAddy（バディ）」について【Webアプリケーション】

技術営業部の大原です。

クラウド型 脆弱性診断サービスの「VAddy（バディ）」を使って
Webサイトの脆弱性診断をやってみます。

ちなみにこの「VAddy（バディ）」というサービスは
弊社のパートナーである セキュアスカイ・テクノロジー様 が提供する
「Scutum（スキュータム）」の開発元である ビットフォレスト様 の脆弱性診断サービスです。

アカウント作成

https://vaddy.net/ja/ の トップページからアカウント作成します。

必要情報を入力してアカウントIDを作成します。

アカウント作成後に認証メールが届くので、
その認識メール内にあるURLをクリックすると、アカウント作成アカウント作成完了です。

脆弱性診断を設定するステップ

脆弱性診断を設定するステップは大きく分けて「4つ」です。
以下の手順で脆弱性検査する準備をしていきます。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
① URLの登録
② ドキュメントルートにverificationファイルの設置
③ クロール設定
④ ブラウザのプロキシ設定
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

URLの登録

プロジェクト作成のボタンをクリック。

事前にVAddyが脆弱性のクローリングするためのIPアドレスを、
サーバー側で許可設定しておく必要があります。

脆弱性診断するサーバーが Webサーバーなら「通常版VAddy」をクリック。
社内にあるローカルサーバーなら「privateNet版VAddy」をクリックします。
今回の検証では「通常版VAddy」を例に操作していきます。

「プロジェクト名」「URL」を入力し「Create」をクリック。

 ドキュメントルートにverificationファイルの設置

verificationファイルをダウンロードし、サーバーのドキュメントルートに設置します。
以下の画像の項目「1 ～ 3」の手順で進めていきます。

「1 ～ 3」の手順どおり進めていくと、以下のようにファイル設置が完了します。

クロール設定

サイトをスキャンされるために「クロール設定」をします。
クロール設定のために「1」に記載されている当該の「IPアドレス」「ポート番号」を
LANに繋がったPCでプロキシ設定をします。

PCでプロキシ設定するには、以下のように入力します。

クロール設定が完了すると、以下のように脆弱性診断の対象ディレクトリがリストアップされます。
リストアップされたら、左のサイドナビに「SCAN」ボタンがあるのでクリック。
あとはそのまま脆弱性診断が終わるのを待つだけです。

脆弱性診断の結果

「SCAN」してから3分ぐらいで診断結果が出ました。なお 脆弱性 は見つかりませんでした。

ディレクトリごとに脆弱性診断結果のレポートが出ます。

まとめ

VAddyのサービスは脆弱性診断のスキャン回数が「無制限」なのと、
すべて「日本語」の表記に対応しているのがポイントですね。

とくにソーシャルゲームやECサイトなど、
常にアップデートが必要とされるWebサービスの診断には重宝するはずです！

Webサービスの脆弱性診断をいつでも診断したい！
という会社様は ぜひ ビヨンド までお問い合わせください！

＞＞＞【お問い合わせはコチラから】＜＜＜