Webアプリケーション脆弱性検査ツール「Vex」のバージョン 10.3.0.0をリリースいたしました。
更新内容
今回のアップデートではカスタムシグネチャ機能・シナリオマップ機能の強化、ログ詳細画面でのヘッダやパラメータ一覧絞り込み機能の追加、「検査結果サマリシート」の表示項目のカスタマイズ機能を追加いたしました。 詳細は各項の内容をご参照ください。
- カスタムシグネチャの強化
- シナリオマップのパラメータ引継ぎ機能の強化
- ログ詳細画面の操作効率向上
- 「個別結果サマリシート」の表示項目追加
- その他更新内容
1.カスタムシグネチャの強化
カスタムシグネチャ機能に新しい検査方法を実装し、レスポンス内の任意の文字列を探索するカスタムシグネチャを作成できるようになりました。例えば、特定の内部IPアドレスやエラー文言などが含まれているページを検出したい場合などに活用することができるため、さらに品質の高い検査が可能となります。
2.シナリオマップのパラメータ引継ぎ機能の強化
シナリオマップの準備処理設定画面において、自動のパラメータ引継ぎで対応出来ない際に便利な「検索して設定する」機能を追加しました。「検索して設定する」を選ぶと、指定したパラメータに含まれる値をシナリオ遷移上にあるメッセージのリクエスト/レスポンスから検索し、引継ぎ先の値を取得できる正規表現の候補一覧を表示します。これにより、これまで手動で行っていた取得元の検索、正規表現の作成が不要となるため、複雑なアプリケーションを検査する際の診断員の設定負荷の軽減、操作効率の向上を実現しました。
3.ログ詳細画面の操作効率向上
ログ詳細画面のヘッダやパラメータの一覧上で、複数の任意のパラメータを検査から除外したい場合に便利な絞り込み検索機能を実装しました。これにより、類似パラメータや配列型のパラメータなどを絞り込んだ上で一括してスキップ設定ができるようになりました。
また、列名をクリックして項目を辞書順にソートすることも可能となり、操作効率の向上を実現しました。
4.「個別結果サマリシート」の表示項目追加
「個別結果サマリシート」における表示項目の追加では、ユーザ様から多くご要望いただいていた「元値」「変更値」「検出トリガ」「解説」の項目を追加いたしました。
また、検査ログに残したメモも任意に追加することが可能となりました。
5.その他更新内容
- サーバサイドテンプレートインジェクション(205681_ServerSideTemplateInjection)の検査パターンを追加しました。
- 安全でないサードパーティリンク(205676_InsecureThirdPartyLink)の検査パターンを追加しました。
- Web計画画面から出力できるシグネチャ情報一覧の項目にタイプ列を追加しました。
また、適用シグネチャ選択において、表示するシグネチャをタイプで絞り込めるようになりました。 - API仕様インポート機能において、API仕様ファイルから読み込めないAPIがあったときに警告を表示するようになりました。
