クラウド型Web脆弱性診断ツール「VAddy(バディ)」、 非公開ファイル検査機能を追加

株式会社ビットフォレスト(東京都千代田区、代表取締役：高尾 都季一、以下、ビットフォレスト)は、クラウド型Web脆弱性診断ツール「VAddy」のEnterpriseプラン／Enterprise+プランにおいて、新たに非公開ファイル検査機能を追加いたしました。

「VAddy」公式ページ： https://vaddy.net/ja/

「VAddy」はクラウド型WAF(Web Application Firewall)国内市場売上シェアNo.1を誇る「Scutum(スキュータム)」の開発チームが開発した、今もっとも手軽で高速な純国産のクラウド型Webアプリケーション脆弱性診断ツールです。
従来の脆弱性診断ツールのように導入前トレーニングや複雑な設定作業を必要とせず、簡単なブラウザ操作だけで未経験者でも最短10分で初回の検査を開始できる手軽さが支持されています。

「Scutum」公式ページ： https://www.scutum.jp/

VAddyのEnterpriseプラン／Enterprise+プランではこれまで下記の10個の脆弱性に対する検査機能を提供していましたが、これに加えて新たに非公開ファイル(.env、.git/config、.svn/entries)検査機能を追加しました。

・SQLインジェクション検査
・ブラインドSQLインジェクション検査
・XSS検査
・コマンドインジェクション検査
・ディレクトリトラバーサル検査
・リモートファイルインクルージョン検査
・HTTPヘッダインジェクション検査
・XXE検査
・安全でないデシリアライゼーション検査
・SSRF脆弱性検査
・非公開ファイル検査 [NEW]

VAddyが検査対象とした「非公開ファイル」にはWebサーバー／DBサーバー／クラウドサービスの設定情報やソースコードなどが記述されているため、本来はWebサーバーの非公開領域に設置されるべきものです。しかしながらWebサーバーの設定ミスや公開時の手違いなどによりこれらのファイルが公開領域に設置されたまま放置されているケースがあります。
これらの非公開ファイルが外部から読み取られると、例えば「.env」の場合はDBサーバの接続情報が盗まれ、情報漏洩や改竄につながる可能性があります。
そのため、悪意のある攻撃者は「脆弱性スキャナー」と呼ばれるツールを使い、そうした非公開ファイルへの読み取りを試行しています。実際、Webサーバーのアクセスログを日々チェックしている運用担当者は.env、.git/config、.svn/entriesといったファイルへのアクセスを目にする機会が多いのではないでしょうか。

今回VAddy Enterpriseプラン／Enterprise+プランに追加された非公開ファイル検査機能を使って「.env、.git/config、.svn/entries」ファイルへの外部からのアクセスの可否を検知することで、Webサーバーのアクセス制御の設定などの適切な処置を事前に行うことができます。

本機能についてはVAddyブログも併せてご覧ください。
VAddyブログ： VAddyの脆弱性診断項目に非公開ファイルチェックが加わりました
ブログ記事 ： https://blog-ja.vaddy.net/post/secret-file-check

なお、本機能はVAddy Enterpriseプラン／Enterpriseプラン+のみへの追加となりますが、現在それ以外のプランをご利用のお客様でもEnterpriseプラン／Enterpriseプラン+にアップグレードすることで、すぐにご利用いただけます。

今回追加された非公開ファイルチェック機能も含めたVAddyの機能詳細やデモンストレーションは、7月27日(火)14時～開催のVAddyオンラインセミナーでもご紹介します。ご自宅からでもリラックスしてご参加いただけますので、まだ脆弱性診断ツールを導入するか具体的に決まっていない方や情報収集段階の方も、ぜひご参加ください！

【参加費無料】7月27日(火)14時～開催！VAddyオンラインセミナー
「VAddy」オンラインセミナー申込ページ
https://vaddy.net/ja/contents/seminar.html

株式会社ビットフォレスト
VAddy(バディ)事業部
担当： 西野
MAIL： info@vaddy.net
TEL ： 03-5577-2032

社名　　： 株式会社ビットフォレスト
代表者　： 代表取締役　高尾 都季一
事業内容： Webアプリケーションセキュリティ製品の開発、販売
URL　　 ： https://www.bitforest.jp/