Features

機能
function-img01
vex

あらゆるWebアプリケーションを診断するために

Webアプリケーションは千差万別。サイトによって仕様・構成は様々です。
Vexは各アプリケーションに合わせて検査プランを調整できる高いカスタマイズ性で、通常のツールでは対応が難しいサイトでも効率的な診断を実現します。
より多くのWebアプリケーションを診断するために、Vexは今も進化を続けています。

強力なシナリオ作成支援

function-img02
自動巡回による簡易なシナリオ作成
対象のWebアプリケーションを巡回し、自動的にテストシナリオを作成します。
巡回対象のURLを設定するだけで、サイトに含まれるURLを自動的に収集し、画面遷移を最適化したうえで、シナリオを作成することができます。
ログインが必要なサイトも、認証情報とフォームを設定することで、自動でログインして巡回を行うことが可能です。
function-img03
画面遷移図を使ったテストシナリオ作成
GUI操作によりテストシナリオを作成する画面遷移図機能を搭載しています。 ショッピングサイト上で、商品をショッピングカートに入れたのち、配送先を入力し、支払方法を選択し、最終確認画面を経由したうえで、商品を購入するという一連の流れがあるシナリオも、わかりやすく作成・管理できます。
function-img04
複雑なテストシナリオにも対応(Handler設定)
Handlerを利用して、リクエストに任意の前後処理(準備処理・後処理)や追加検査(拡張処理)を設定することが可能です。 登録機能と参照機能をまたいで確認する必要のある脆弱性(セカンドオーダーアタック)の検出や、一意性制約などのバリデーションを回避しながらの診断等、一般的なツールでは検査が難しい複雑なテストシナリオが実現できます。

充実の検査機能

function-img05
Webアプリケーションの脆弱性を網羅

OWASP TOP10に対応し、Webアプリケーションの一般的な脆弱性を網羅するだけでなく、国産ツールならではのマルチバイト文字列の取り扱いに起因する脆弱性や、フレームワーク固有の脆弱性など、独自の検査シグネチャも充実しています。 最新のセキュリティ・脆弱性動向や、ユーザからのフィードバックを取り入れながら定期的にシグネチャを追加・更新しています。

対応しているシグネチャ(一部)
SQL Injection、OS Command Injection、Parameter Manipulation、Cross-Site Scripting、Insecure Cookie、Error Code、Buffer Overflow、Session Fixation、Cross-Site Request Forgery、Insecure Protocol、Unnecessary Information

function-img06
カスタムシグネチャ
さらに発展的な診断のために、ユーザ定義のカスタムシグネチャを作成できます。検査のための送信パターンを作成し、期待するレスポンスを定義することで、任意の脆弱性を検知することが可能です。
また、通常のシグネチャと同様に脆弱性カテゴリや、危険度等の定義も可能なので、レポートにも診断結果を反映することができます。
function-img07
サーバーファイル・設定の検査
Webアプリケーションだけでなく、サーバーに起因する問題を検出することも可能です。
不要なファイルが公開状態になっていないかどうかのチェックや、サーバの設定ミスに由来する脆弱性や、サーバソフトウェアの既知の脆弱性の検査を行います。

わかりやすいレポート

function-img08
豊富なレポート出力形式

開発者向けのチェックリストや、サイトオーナー向けの詳細レポート、セキュリティサービスベンダー向けの検出結果サマリレポートなど、求められる用途に応じた様々なフォーマットでのレポートを出力することが可能です。

またOWASP TOP 10や、IPAの「安全なウェブアプリの作り方」チェックシート、PCIDSS等の各種フレームワークに対応し、それぞれのフォーマットに合わせたレポートを出力することもできます。

function-img09
英語レポートにも対応
Vexが発行する各レポートは、日本語だけでなく、英語での表記にも対応しています。
開発者が海外にいる場合や、報告先が海外などのケースでご活用いただけます。

オプション機能

function-img10
Android静的解析オプション
Andoroidアプリの脆弱性を静的解析手法で検査するオプション機能です。 複数のセキュリティガイドラインと当社独自のノウハウを反映し、網羅的な検査を実現します。
また、Andoroidアプリと連携するWebアプリケーションサーバへの検査も行うことができるため、クライアントとサーバの両面から包括的なセキュリティの担保を実現します。