株式会社ユービーセキュア(以下、ユービーセキュア)は、Webアプリケーション脆弱性検査ツール「Vex」のバージョン 10.5.0.0をリリースいたしました。
更新内容
今回のアップデートではGraphQLを利用したアプリケーションに対する検査の対応範囲を拡大しました。
本バージョンにて、以下の対応を行っています。
- GraphQLリクエストの分解機能を強化
- GraphQLに特化したシグネチャを追加
GraphQLはアプリケーションによって多様な形式があります。
従来のVexではJSON形式のGraphQLには対応していましたが、それ以外の形式には対応していませんでした。
本バージョンでのリクエスト分解機能の強化により、GraphQL形式のパラメータの認識範囲を拡大しました。
また、既存の通常シグネチャでは検査出来ないGraphQLに特化した脆弱性を検出する専用シグネチャを追加しました。
これにより、検査の対応範囲の拡大、および検査精度を向上しました。
図1:GraphQLログ詳細のイメージ
その他更新内容
- 検査時間の効率化をサポートする検査パラメータの自動スキップ機能を強化しました。
- Server Settings検査のシグネチャ情報一覧を出力したファイルに、各ガイドラインの対応が表示されるように変更しました。
図2:自動スキップ機能強化のイメージ
Webアプリケーション脆弱性検査ツール「Vex」について
- 詳細ページ
https://www.ubsecure.jp/vex - セミナー情報
https://www.ubsecure.jp/seminar/tag/vex - 動画
https://www.ubsecure.jp/movie/tag/vex - ブログ
https://www.ubsecure.jp/blog/tag/vex - 導入事例
https://www.ubsecure.jp/case_study/tag/vex
