株式会社ユービーセキュアは、Webアプリケーション脆弱性検査ツール「Vex」の新バージョン 11.6.0.0 を本日リリースしました。
今回のアップデートでは、シナリオマップにおける検査シナリオの作成において利便性が向上したほか、Server検査機能において新たな機能を追加しました。
1. シナリオマップの新機能
I. Amazon CognitoのSRP認証への対応
Amazon CognitoのSRP認証を利用するアプリケーションにおいて認証部分の検査シナリオの作成が可能になりました。
本機能は、Amazon Cognitoで提供されるチャレンジレスポンス方式の認証プロトコルの一つである、SRPを利用したサイトに対して検査シナリオを作成するためのパラメータ引継ぎを行うものです。
「InitiateAuth」、「RespondToAuthChallenge」の順でメッセージをつなげることで、以下のCognito SRP専用の引継ぎが自動的に設定されます。
準備処理にてCognito SRP認証 に用いるユーザーのパスワードを設定することでテスト送信・検査時に認証トークンを都度発行することが可能になりました。
II.トークンベース認証のシナリオ作成がより簡単に
Bearer方式のAuthorizationヘッダーを含むメッセージが動的に追加された際、認証トークンを発行したメッセージとつながるようになりました。
従来の方法では、動的に追加された場合に必ずしも認証トークンを発行したメッセージとつながらず、手動での修正が必要となるケースがありましたが、今回の機能追加で手動での修正が不要となりました。
この機能は、SPA(Single Page Application)など、トークンベースの認証を使用するクライアントからのAPI呼び出しを再現するシナリオにおいて特に有効です。
2. Server検査の機能強化
I. Server Settings検査の利便性向上
ServerSettings検査において以下の機能を追加しました。
① 再送機能の追加
Web検査と同様にServer Settings検査の結果画面より、検査シグネチャごとに再送を実施することが可能になりました。
② 検査結果詳細に判定、危険度、カテゴリを表示
検査結果詳細に判定、危険度、カテゴリを追加しました。検査結果詳細にて判定や危険度の変更が可能になりました。
検査結果画面(左:11.5.0.0、右:11.6.0.0)
II. 新規シグネチャの追加
推奨されない暗号プロトコルが有効になっていることを検出するシグネチャを追加しました。
その他にも運用効率を向上する機能やシグネチャの修正を行いました。
より使いやすさも検査能力も向上したVex11.6.0.0をぜひお試しください。
詳細は製品公式ページをご覧ください。
