株式会社ユービーセキュア(以下、ユービーセキュア)は、Webアプリケーション脆弱性検査ツール「Vex」のバージョン 10.5.0.0をリリースいたしました。
今回のアップデートではGraphQLを利用したアプリケーションに対する検査の対応範囲を拡大しました。
本バージョンにて、以下の対応を行っています。
- GraphQLリクエストの分解機能を強化
- GraphQLに特化したシグネチャを追加
GraphQLはアプリケーションによって多様な形式があります。
従来のVexではJSON形式のGraphQLには対応していましたが、それ以外の形式には対応していませんでした。
本バージョンでのリクエスト分解機能の強化により、GraphQL形式のパラメータの認識範囲を拡大しました。
また、既存の通常シグネチャでは検査出来ないGraphQLに特化した脆弱性を検出する専用シグネチャを追加しました。
これにより、検査の対応範囲の拡大、および検査精度を向上しました。
図1:GraphQLログ詳細のイメージ
図2:自動スキップ機能強化のイメージ