株式会社ユービーセキュアは、Webアプリケーション脆弱性検査ツール「Vex」のバージョン 11.3.0.0を本日リリースしました。
本バージョンアップにより、サーバーサイドリクエストフォージェリ(SSRF)を検出できるようになりました。
また、シナリオマップ上の全検査メッセージを一括でテスト送信できる機能が追加されたことで、これまでメッセージごとに手動でテスト送信を行っていたユーザー様にとって、大幅な操作の手間削減と時間短縮が実現しました。

 

本バージョンでの追加・修正内容

1. サーバーサイドリクエストフォージェリ(SSRF)を検出するシグネチャを追加

サーバーサイドリクエストフォージェリ(SSRF)の脆弱性の検査シグネチャを追加し、新しい領域に検査能力を拡大しました。

サーバーサイドリクエストフォージェリ(SSRF)とは?

サーバーサイドリクエストフォージェリ(SSRF)は、公開しているWebアプリケーションと非公開システムを連携している構成に埋め込まれるWebアプリケーションの脆弱性の一つです。Webアプリケーションへの入力を細工することにより、Webアプリケーションの仕様上意図していないリクエストをWebアプリケーションサーバから送信させるように攻撃者が誘導できる脆弱性です。


図1:サーバーサイドリクエストフォージェリ(SSRF)のイメージ

サーバーサイドリクエストフォージェリ(SSRF)のイメージ

サーバーサイドリクエストフォージェリ(SSRF)が悪用されると、攻撃者は公開しているWebアプリケーションを経由して非公開サーバのリソースにアクセスすることができます。過去にはCVSS v3スコアで9.1を記録した脆弱性も報告されています。


2. シナリオマップの使いやすさや検査作業の効率を向上する機能を実装

シナリオマップ※1上の全検査メッセージに、一括テスト送信が可能となりました。
これまで、メッセージごとに手動でテスト送信を行う必要があり、操作に手間と時間がかかっていました。本機能により、簡単かつ網羅的に検査前のシナリオ再現確認ができるようになりました。

※1 シナリオマップはWebアプリケーションに対する検査の手順を画面遷移図として可視化するVexの機能です。


図2:新機能一括テスト送信の結果を表示した画面のイメージ

新機能一括テスト送信の結果を表示した画面のイメージ


3. その他修正内容

その他、シグネチャの検出精度の向上や、既存機能に関してもユーザー様からのご要望を取り入れ改善をしております。

 

より使いやすさも検査能力も向上したVex11.3.0.0をぜひお試しください。

 

Webアプリケーション脆弱性検査ツール「Vex」について