このエントリーをはてなブックマークに追加
SEOTOOLSロゴ画像

SEOTOOLSニュース 

SEOに関連するニュースリリースを公開しております。
最新のサービス情報を、御社のプロモーション・マーケティング戦略の新たな選択肢としてご活用下さい。

クラウド型Web脆弱性診断ツール「VAddy(バディ)」、SSRF脆弱性(CWE-918)検査機能を追加

株式会社ビットフォレスト(所在地:東京都千代田区、代表取締役:高尾 都季一、以下 ビットフォレスト)は、クラウド型Web脆弱性診断ツール「VAddy」において、新たにSSRF脆弱性(CWE-918)検査機能を追加いたしました。

クラウド型Web脆弱性診断ツール「VAddy」: https://vaddy.net/ja/?frm=pre202001_press


「VAddy」はクラウド型WAF(Web Application Firewall)国内市場売上シェアNo.1を誇る「Scutum(スキュータム)」の開発チームが開発した、今もっとも手軽で高速な純国産のクラウド型Webアプリケーション脆弱性診断ツールです。
従来の脆弱性診断ツールのように導入前トレーニングや複雑な設定作業を必要とせず、簡単なブラウザ操作だけで未経験者でも最短10分で初回の検査を開始できる手軽さが支持されています。

クラウド型WAF「Scutum(スキュータム)」: https://www.scutum.jp/?frm=pre202001_press

VAddyのEnterpriseプランではこれまで下記の9つの脆弱性に対する検査機能を提供していましたが、これに加えて新たにSSRF脆弱性(CWE-918)検査機能を追加しました。

▼VAddy Enterpriseプラン検査項目一覧
SQLインジェクション検査
ブラインドSQLインジェクション検査
XSS検査
コマンドインジェクション検査
ディレクトリトラバーサル検査
リモートファイルインクルージョン検査
HTTPヘッダインジェクション検査
XXE検査
安全でないデシリアライゼーション検査
SSRF脆弱性検査 [NEW]


●SSRF脆弱性を検査対象とした背景
SSRF(サーバーサイドリクエストフォージェリ)脆弱性とは、公開サーバーを経由して、ファイアーウォールの内側などにある非公開サーバーにある情報を窃取できるという脆弱性です。SSRF脆弱性を狙った攻撃は比較的新しいため、SQLインジェクションやXSSほど知られていませんが、2019年には米国の金融機関においてSSRF攻撃による1億人以上の個人情報が流出する事故が発生しており、非常にリスクの高い脆弱性だと考えられます。

また、AWSやGCPなどのメタデータAPIが提供されてされているパブリッククラウド上のWebアプリケーションにSSRF脆弱性が存在すると、そのメタデータAPIを悪用して非公開のインスタンス情報を窃取される可能性があることから、SSRF脆弱性は多くのお客様に影響がある脆弱性だと考えています。

VAddyがこれまで検査対象としてきた脆弱性は、ビットフォレストが開発/運用を行っているクラウド型WAF「Scutum(スキュータム)」で日々観測されている攻撃のうち、リスクが高いものを中心に構成してきました。クラウド型WAF「Scutum(スキュータム)」でもSSRF脆弱性を狙った攻撃が観測され始めており、クラウドインフラの利用者がますます増える今後はSSRF脆弱性を狙った攻撃が増加することが想定されることから、VAddyの検査対象として新たに追加しました。

「SSRF攻撃」が成立する脆弱性として、SSRF脆弱性の他にSQLインジェクション、ディレクトリトラバーサル、コマンドインジェクションなどがあります。VAddyはそれらの脆弱性の検査機能はすでに実装されていますので、今回追加されたSSRF脆弱性検査機能によって、より広範囲に「SSRF攻撃」への対策が進みます。

本機能についてはVAddyブログも併せてご覧ください。
VAddyブログ:VAddyにSSRF脆弱性(CWE-918)検査機能を追加
https://blog-ja.vaddy.net/post/ssrf-release

なお、本機能はVAddy Enterpriseプランのみへの追加となりますが、現在Professionalプラン、Starterプランをご利用のお客様でもEnterpriseプランにアップグレードすることで、すぐにご利用いただけます。


●オンラインセミナー
今回追加されたSSRF検査も含めたVAddyの機能詳細やデモンストレーションは、2021年1月22日(金)開催のVAddyオンラインセミナーでもご紹介します。ご自宅からでもリラックスしてご参加いただけますので、まだ脆弱性診断ツールを導入するか具体的に決まっていない方や情報収集段階の方も、ぜひご参加ください!

【参加費無料】1月22日(金)18:00〜開催!VAddyオンラインセミナー
https://vaddy.net/ja/contents/seminar.html?frm=pre202001_press


●お問い合わせ
株式会社ビットフォレスト VAddy(バディ)事業部
担当 : 西野
E-mail : info@vaddy.net
Twitter VAddyアカウント: https://twitter.com/vaddynet
Facebook VAddyページ : https://www.facebook.com/vaddynet/


●ビットフォレストについて
https://www.bitforest.jp/
社名 :株式会社ビットフォレスト
代表者 :代表取締役 高尾 都季一
事業内容:Webアプリケーションセキュリティ製品の開発、販売
@Pressリリースへ
SEOTOOLS News Letter

SEOに役立つ情報やニュース、SEOTOOLSの更新情報などを配信致します。


 powered by blaynmail
ブロードバンドセキュリティ
SEOTOOLSリファレンス
SEO対策
SEOの基礎知識
SEOを意識したサイト作り
サイトマップの作成
サイトの登録
カテゴリ(ディレクトリ)登録
カテゴリ登録(モバイル
検索エンジン登録
テキスト広告
検索連動型(リスティング)広告
プレスリリースを利用したSEO


TOPへ戻る