株式会社ユービーセキュアは、Webアプリケーション脆弱性検査ツール「Vex」の新バージョン 11.5.0.0 を本日リリースしました。
今回のアップデートでは、シナリオマップの自動設定機能の強化、さらに、新しい検査シグネチャの追加により、検査ツールとしての運用効率と検出能力が大幅に向上しました。

1. シナリオマップの新機能

新たに追加した主な利便性向上機能 は以下になります。

I.セッションIDやトークンなどの自動引き継ぎ能力の向上

これまでは、リクエストボディ内のパラメータとクエリストリングのみを対象に自動設定を行っていましたが、本バージョンから、リクエストヘッダまで対象範囲を拡大しました。
リクエストヘッダの値がセッションIDやトークンと推測される場合にも、自動的に設定されるようになりました。


セッションIDやトークンなどの自動引き継ぎ能力の向上

 

II.「全体設定」機能のユーザビリティ向上

シナリオマップ内のすべてのメッセージに対して共通の検査設定が可能な「全体設定」機能において、正規表現を利用して値を引継ぎ設定したい場合、これまでは共通設定として、マップ内にて自身のメッセージの1つ前に配置されたメッセージを値の取得元としていました。

本バージョンでは、直前に配置されたメッセージだけでなく、シナリオマップ中の任意のメッセージを指定し、該当メッセージから直接値を引継ぐことが可能になりました。


「全体設定」機能のユーザビリティ向上

 

2.Web検査の新規シグネチャの追加

新たな検査パターンの追加を行いました。

I.スリープ関数を利用したブラインドSQLインジェクション

応答時間の差異によりSQLインジェクションを検出するシグネチャです。

II.書き換え可能なAccess-Control-Allow-Originヘッダ

オリジンリフレクションによってAccess-Control-Allow-Originヘッダが書き換え可能なことを検出するシグネチャです。

その他にも運用効率を向上する機能やシグネチャの修正を行いました。
より使いやすさも検査能力も向上したVex11.5.0.0をぜひお試しください。

詳細は製品公式ページをご覧ください。

 

Webアプリケーション脆弱性検査ツール「Vex」について