株式会社ユービーセキュアは、Webアプリケーション脆弱性検査ツール「Vex」のバージョン 11.1.0.0を本日リリースいたしました。
これに伴い、「Vex / VexCloud連携」機能の正式版を提供開始いたします。

 

修正内容

■Vex / VexCloud連携機能にクローズドβ版へのフィードバックを反映
■複数の機能アップデートで効率も精度も使いやすさも向上

    1. シナリオマップでの正常の動作を記録する工程がより設定レスに
    2. セッションIDに対してより正確で効率的な検査を実現
    3. その他修正内容


■Vex / VexCloud連携機能にクローズドβ版へのフィードバックを反映

Vex / VexCloud連携機能が、クローズドβ期間を経てよりブラッシュアップされ、正式リリースを迎えました。この機能は、Vexの検査結果をVexCloudへ継続的に蓄積することで、複数プロジェクトの脆弱性検査結果の統合管理を実現します。

検査対象サイトの管理に以下のようなお悩みをお持ちの方には、特にお勧めの機能となっています。

  • 大量の検査対象があり、いつ、どの対象を検査して、脆弱性がどれだけ見つかったかを管理することが難しい/大変だ
  • 脆弱性の対応状況が分からない
  • 定期検査する検査対象の変化(経年分析)ができていない
  • プロジェクトやレポートが大量に溜まってきて、情報整理に困っている

このたびの正式リリースによって、Vexは脆弱性を見つけるだけではなく、検査後の対応や検査結果も管理できるツールとして、Webアプリケーションのセキュリティを向上する活動全体を支援していきます。


図1:脆弱性を見つけるだけじゃない、管理する考え方へのイメージ

news_img01


Vexサポートポータルにて、各ロールの使用用途を紹介しています。詳しくはこちらをご覧ください。

【Vex / VexCloud連携機能】リリース機能お試しキャンペーン
Vexを現在ご使用いただいているユーザ様に、Vex / VexCloud連携機能(1アセット管理分)のアカウントを無償で提供します。

是非、一度利用して使い勝手やご意見をフィードバックいただけますと幸いです。
利用方法、機能の詳細、およびオプションメニューに関しましては、Vexサポートポータルをご確認ください。
ご利用をご希望の場合は、担当営業、代理店窓口へご連絡ください。


■複数の機能アップデートで効率も精度も使いやすさも向上

シナリオマップとセッションIDに関する機能がアップデートされ、効率、精度、および使いやすさを向上しています。

1. シナリオマップでの正常の動作を記録する工程がより設定レスに

シナリオマップは、Webアプリケーションの正常時の動作を再現するために使用する機能の1つです。VexではWebアプリケーションの正常時の動作を登録しておき、検査用のリクエストを送った場合の挙動と比べて脆弱性を見つけ出します。

本バージョンでは、正常動作の記録工程での設定を自動化することにより、設定項目が削減されました。Webアプリケーションの応答をVexのUI上に順番に並べるだけで、遷移を再現することができます。これにより、ユーザは深い知識を必要とせずに、簡単に動作を再現することができます。
パラメータの受け渡し設定やそのパラメータの検索作業は、Vexのシナリオマップ機能にお任せください。


図2:シナリオマップで動作を再現するための設定を自動化するイメージ

news_img02


2. セッションIDに対してより正確で効率的な検査を実現

セッションはWebアプリケーションの動作上、重要な要素です。そのため、セッションIDやその管理に起因する脆弱性も多く存在しています。
本バージョンでは、セッションIDとして自動的に識別されたパラメータを可視化する機能が実装されました。さらに、Webアプリケーション固有につけられたセッションIDのパラメータ名についても、セッションIDとしてVexに認識されるよう設定可能となりました。
これにより、セッションIDやその管理に起因する脆弱性を正確に見つけ出すことができます。


図3:任意のCookieパラメータをセッションIDとして設定可能なイメージ

news_img03


3. その他修正内容

検査結果の検索機能を改善し、検査効率を向上しました。

 

効率、精度、および使いやすさが向上したVex11.1.0.0をぜひお試しください。

 

Webアプリケーション脆弱性検査ツール「Vex」について