ログイン
通知設定
クラウド型Web脆弱性診断ツール「VAddy(バディ)」、SSRF脆弱性(CWE-918)検査機能を追加
@Press / 2021年1月13日 11時0分
株式会社ビットフォレスト(所在地:東京都千代田区、代表取締役:高尾 都季一、以下 ビットフォレスト)は、クラウド型Web脆弱性診断ツール「VAddy」において、新たにSSRF脆弱性(CWE-918)検査機能を追加いたしました。
クラウド型Web脆弱性診断ツール「VAddy」: https://vaddy.net/ja/?frm=pre202001_press
「VAddy」はクラウド型WAF(Web Application Firewall)国内市場売上シェアNo.1を誇る「Scutum(スキュータム)」の開発チームが開発した、今もっとも手軽で高速な純国産のクラウド型Webアプリケーション脆弱性診断ツールです。
従来の脆弱性診断ツールのように導入前トレーニングや複雑な設定作業を必要とせず、簡単なブラウザ操作だけで未経験者でも最短10分で初回の検査を開始できる手軽さが支持されています。
クラウド型WAF「Scutum(スキュータム)」: https://www.scutum.jp/?frm=pre202001_press
VAddyのEnterpriseプランではこれまで下記の9つの脆弱性に対する検査機能を提供していましたが、これに加えて新たにSSRF脆弱性(CWE-918)検査機能を追加しました。
▼VAddy Enterpriseプラン検査項目一覧
SQLインジェクション検査
ブラインドSQLインジェクション検査
XSS検査
コマンドインジェクション検査
ディレクトリトラバーサル検査
リモートファイルインクルージョン検査
HTTPヘッダインジェクション検査
XXE検査
安全でないデシリアライゼーション検査
SSRF脆弱性検査 [NEW]
●SSRF脆弱性を検査対象とした背景
SSRF(サーバーサイドリクエストフォージェリ)脆弱性とは、公開サーバーを経由して、ファイアーウォールの内側などにある非公開サーバーにある情報を窃取できるという脆弱性です。SSRF脆弱性を狙った攻撃は比較的新しいため、SQLインジェクションやXSSほど知られていませんが、2019年には米国の金融機関においてSSRF攻撃による1億人以上の個人情報が流出する事故が発生しており、非常にリスクの高い脆弱性だと考えられます。
また、AWSやGCPなどのメタデータAPIが提供されてされているパブリッククラウド上のWebアプリケーションにSSRF脆弱性が存在すると、そのメタデータAPIを悪用して非公開のインスタンス情報を窃取される可能性があることから、SSRF脆弱性は多くのお客様に影響がある脆弱性だと考えています。
VAddyがこれまで検査対象としてきた脆弱性は、ビットフォレストが開発/運用を行っているクラウド型WAF「Scutum(スキュータム)」で日々観測されている攻撃のうち、リスクが高いものを中心に構成してきました。クラウド型WAF「Scutum(スキュータム)」でもSSRF脆弱性を狙った攻撃が観測され始めており、クラウドインフラの利用者がますます増える今後はSSRF脆弱性を狙った攻撃が増加することが想定されることから、VAddyの検査対象として新たに追加しました。
「SSRF攻撃」が成立する脆弱性として、SSRF脆弱性の他にSQLインジェクション、ディレクトリトラバーサル、コマンドインジェクションなどがあります。VAddyはそれらの脆弱性の検査機能はすでに実装されていますので、今回追加されたSSRF脆弱性検査機能によって、より広範囲に「SSRF攻撃」への対策が進みます。
本機能についてはVAddyブログも併せてご覧ください。
VAddyブログ:VAddyにSSRF脆弱性(CWE-918)検査機能を追加
https://blog-ja.vaddy.net/post/ssrf-release
なお、本機能はVAddy Enterpriseプランのみへの追加となりますが、現在Professionalプラン、Starterプランをご利用のお客様でもEnterpriseプランにアップグレードすることで、すぐにご利用いただけます。
●オンラインセミナー
今回追加されたSSRF検査も含めたVAddyの機能詳細やデモンストレーションは、2021年1月22日(金)開催のVAddyオンラインセミナーでもご紹介します。ご自宅からでもリラックスしてご参加いただけますので、まだ脆弱性診断ツールを導入するか具体的に決まっていない方や情報収集段階の方も、ぜひご参加ください!
【参加費無料】1月22日(金)18:00~開催!VAddyオンラインセミナー
https://vaddy.net/ja/contents/seminar.html?frm=pre202001_press
●お問い合わせ
株式会社ビットフォレスト VAddy(バディ)事業部
担当 : 西野
E-mail : info@vaddy.net
Twitter VAddyアカウント: https://twitter.com/vaddynet
Facebook VAddyページ : https://www.facebook.com/vaddynet/
●ビットフォレストについて
https://www.bitforest.jp/
社名 :株式会社ビットフォレスト
代表者 :代表取締役 高尾 都季一
事業内容:Webアプリケーションセキュリティ製品の開発、販売
詳細はこちら
プレスリリース提供元:@Press
この記事に関連するニュース
-
6月のWordPressプラグイン脆弱性まとめ、確認と対応を
マイナビニュース / 2024年7月8日 12時57分
-
伊藤忠サイバー&インテリジェンスとセキュアスカイ・テクノロジー、サイバーセキュリティに興味のある学生に向けた夏季合同インターンシップを開催
PR TIMES / 2024年7月8日 12時15分
-
SST、EASM「Dredger(ドレッジャー)」 の最新機能アップデート
PR TIMES / 2024年7月5日 11時45分
-
SST、国産EASM「Dredgerアドバンストサポート」をリリース発見された 無防備な資産への迅速対応と脆弱性対策を支援
PR TIMES / 2024年6月27日 10時45分
-
アイロバとスリーシェイク、セキュリティサービス「BLUE Sphere」と「Securify」のセットプランを提供開始
PR TIMES / 2024年6月25日 11時15分
ランキング
-
1コメが品薄、価格が高騰 米穀店や飲食店直撃「ここまでとは」
産経ニュース / 2024年7月21日 17時41分
-
2システム障害、世界で余波続く=欠航、1400便超
時事通信 / 2024年7月21日 22時45分
-
3ウィンドウズ障害、便乗したフィッシング詐欺のリスク高まる…復旧名目に偽メール・偽ホームページ
読売新聞 / 2024年7月22日 0時0分
-
4円安は終わり?円高反転4つの理由。どうなる日経平均?
トウシル / 2024年7月22日 8時0分
-
5なぜユニクロは「着なくなった服」を集めるのか…「服屋として何ができるのか」柳井正氏がたどり着いた答え
プレジデントオンライン / 2024年7月22日 9時15分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください
