Webアプリケーション脆弱性検査ツール「Vex」のバージョン 10.3.0.0をリリースいたしました。
今回のアップデートではカスタムシグネチャ機能・シナリオマップ機能の強化、ログ詳細画面でのヘッダやパラメータ一覧絞り込み機能の追加、「検査結果サマリシート」の表示項目のカスタマイズ機能を追加いたしました。 詳細は各項の内容をご参照ください。
カスタムシグネチャ機能に新しい検査方法を実装し、レスポンス内の任意の文字列を探索するカスタムシグネチャを作成できるようになりました。例えば、特定の内部IPアドレスやエラー文言などが含まれているページを検出したい場合などに活用することができるため、さらに品質の高い検査が可能となります。
シナリオマップの準備処理設定画面において、自動のパラメータ引継ぎで対応出来ない際に便利な「検索して設定する」機能を追加しました。「検索して設定する」を選ぶと、指定したパラメータに含まれる値をシナリオ遷移上にあるメッセージのリクエスト/レスポンスから検索し、引継ぎ先の値を取得できる正規表現の候補一覧を表示します。これにより、これまで手動で行っていた取得元の検索、正規表現の作成が不要となるため、複雑なアプリケーションを検査する際の診断員の設定負荷の軽減、操作効率の向上を実現しました。
ログ詳細画面のヘッダやパラメータの一覧上で、複数の任意のパラメータを検査から除外したい場合に便利な絞り込み検索機能を実装しました。これにより、類似パラメータや配列型のパラメータなどを絞り込んだ上で一括してスキップ設定ができるようになりました。
また、列名をクリックして項目を辞書順にソートすることも可能となり、操作効率の向上を実現しました。
「個別結果サマリシート」における表示項目の追加では、ユーザ様から多くご要望いただいていた「元値」「変更値」「検出トリガ」「解説」の項目を追加いたしました。
また、検査ログに残したメモも任意に追加することが可能となりました。