資料ダウンロード
あらゆるWebアプリケーションを診断するために
Webアプリケーションは千差万別。サイトによって仕様・構成は様々です。
Vexは各アプリケーションに合わせて検査プランを調整できる高いカスタマイズ性で、通常のツールでは対応が難しいサイトでも効率的な診断を実現します。
より多くのWebアプリケーションを診断するために、Vexは今も進化を続けています。
対象のWebアプリケーションを巡回し、自動的にテストシナリオを作成します。
巡回対象のURLを設定するだけで、サイトに含まれるURLを自動的に収集し、画面遷移を最適化したうえで、シナリオを作成することができます。
ログインが必要なサイトも、認証情報とフォームを設定することで、自動でログインして巡回を行うことが可能です。
GUI操作によりテストシナリオを作成するシナリオマップ機能を搭載しています。 ショッピングサイト上で、商品をショッピングカートに入れたのち、配送先を入力し、支払方法を選択し、最終確認画面を経由したうえで、商品を購入するという一連の流れがあるシナリオも、わかりやすく作成・管理できます。
OWASP TOP10に対応し、Webアプリケーションの一般的な脆弱性を網羅するだけでなく、国産ツールならではのマルチバイト文字列の取り扱いに起因する脆弱性や、フレームワーク固有の脆弱性など、独自の検査シグネチャも充実しています。 最新のセキュリティ・脆弱性動向や、ユーザからのフィードバックを取り入れながら定期的にシグネチャを追加・更新しています。
対応しているシグネチャ(一部)
SQL Injection、OS Command Injection、Parameter Manipulation、Cross-Site Scripting、Insecure Cookie、Error Code、Buffer Overflow、Session Fixation、Cross-Site Request Forgery、Insecure Protocol、Unnecessary Information
Webアプリケーションだけでなく、サーバに起因する問題を検出することも可能です。
不要なファイルが公開状態になっていないかどうかのチェックや、サーバの設定ミスに由来する脆弱性や、サーバソフトウェアの既知の脆弱性の検査を行います。
開発者向けのチェックリストや、サイトオーナー向けの詳細レポート、セキュリティサービスベンダー向けの検出結果サマリレポートなど、求められる用途に応じた様々なフォーマットでのレポートを出力することが可能です。
またOWASP TOP 10や、IPAの「安全なウェブアプリの作り方」チェックシート、PCI DSS等の各種フレームワークに対応し、それぞれのフォーマットに合わせたレポートを出力することもできます。
脆弱性統合分析ツール(ThreadFix/CodeDx)に取り込めるレポートの出力ができます。複数の検査ツールによる脆弱性検査結果を統合的に分析することが可能です。
※ASOC(Application Security Orchestration and Correlation)ツール
株式会社ユービーセキュア
〒104-0045
東京都中央区築地4丁目7番5号 築地KYビル4階
