Webアプリケーション脆弱性検査ツール
優れた脆弱性検出率を有する
純国産のWebアプリケーション脆弱性検査ツール
株式会社ユービーセキュアが開発したVex(Vulnerability EXplorer)は優れた脆弱性検出率を有する、純国産のWebアプリケーション脆弱性検査ツールです。
発売以来、セキュリティサービスベンダーをはじめ、官公庁、大手企業など、業種業態問わず多くの導入実績があります。
Vexの検査エンジンは、脆弱性手動診断経験の豊富なエンジニアにより作成されました。
検査ツールの課題となりやすい検出精度やクロール機能の問題を、検査対象URLへのアクセス順序をテストシナリオ化すること、パターンマッチングと独自の分析アルゴリズムを併用することにより解決します。2007年のリリース以来、自社脆弱性診断部隊やセキュリティベンダーからの数千サイトに及ぶ診断実績に基づくフィードバックを反映し、進化を続けています。
Vexは株式会社ユービーセキュアが開発した純国産ツールであり、マルチバイト特有の問題や、トラブル対応においても、安心して ご使用いただけます。
日本語完全対応
純国産ツールであるため、最新機能はもちろん詳細な技術資料も日本語版で提供されます。また、全てのテストは日本語環境下で実施するため、マルチバイト環境特有のバグが発生することもありません。
迅速なトラブル対応
トラブル発生時は、サポート部門と開発部門が密接に連携し解決にあたります。原因調査から改修の意思決定、コードの修正まで全て自社内にて簡潔する体制をとることで迅速な対応を実現しています。
Webアプリケーション関連技術は日進月歩で進化しており、Webアプリケーション脆弱性検査ツールも技術の進化に合わせた機能拡張が要求されます。株式会社ユービーセキュアではWebアプリケーション脆弱性診断サービス部門やセキュリティベンダーからのフィードバックにより、脆弱性診断時に必要とされる機能の実装や、最新の技術へのVexの適応を実現しています。
多くのスマートフォンアプリケーションはWebサーバと通信し情報を受け渡す動作をします。この通信内容はWebアプリケーションと同様に、改ざんされたり、盗聴されたりする危険性があります。
Vexでは、スマートフォンアプリケーションとWebサーバの通信内容の脆弱性検査を実施するための「Vex拡張モジュール for スマートフォン」を提供しています。
スマートフォンアプリケーションから送信される通信は、Webブラウザから送信される通信とは異なり、HTTPSの取り扱いや、プロキシを経由しない通信の取り扱いなどに、PCとは異なる制約が存在しています。
Vexは独自のテクノロジを採用することにより、これらの制約を回避した脆弱性検査を実現しています。
Vexでは複数サイトを経由する認証処理の再現が可能であり、OpenIDを使用したWebアプリケーションの検査も問題なく実施することが出来ます。
Webアプリケーションの技術革新に伴い、WebブラウザとWebサーバ間では、様々なリクエストフォーマットでの通信が実現されています。
VexではAjax, Soap, JSON, PATH_INFOなどの代表的な技術からDWR (Direct Web Remoting)などの特殊なフォーマットまで、多種多様なリクエストフォーマットの検査をサポートしています。
Webシステム型であるため、利用シーンに応じたシステム構成を選択できます。
1台のPC上でVexを動作させます。オンサイトでの脆弱性診断などに適したシステム構成です。
Webサーバ上でVexを動作させます。複数人での利用に適したシステム構成です。
OS | Windows Operating System(64ビット推奨) |
---|---|
CPU | CPU 1GHz 以上(2GHz以上 推奨) |
メモリ | 2GB 以上(4GB以上 推奨) |
HDD | 50GB 以上(300GB以上 推奨) |
ソフトウェア | JDK(Java Development Kit) Internet Explorer®(Internet Explorer 11 推奨) Apache Tomcat PostgreSQL Microsoft® .NET Framework |
詳細はお問い合わせください。
※Microsoft、Windows、Internet Explorerおよび.NET Frameworkは、米国Microsoft Corporationの米国及びその他の国における登録商標または商標です。
※Java、JDK、JRE、Java SEは、Oracle America, Inc. の商標です。
※Apache、Tomcatは、Apache Software Foundationの登録商標または商標です。
※PostgreSQLは、PostgreSQLの商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。
Vexは2007年のリリース以来、様々なユーザニーズを反映し、進化を遂げてきました。
代表的な機能としては以下があり、より多くのWebアプリケーションの検査を可能にすることをコンセプトに、今後も機能拡張を実施していきます。
SQL Injection、OS Command Injection、Parameter Manipulation、Cross-Site Scripting、Insecure Cookie、Error Code、Buffer Overflow、Session Fixation、Cross-Site Request Forgery、Insecure Protocol、Unnecessary InformationなどOWASP TOP10にも対応した検査シグネチャに加え、純国産ツールならではのマルチバイト文字列の取り扱いに起因する脆弱性の検査シグネチャも充実しています。
検査シグネチャはセキュリティサービスベンダーからのフィードバックも取り入れながら定期的に更新しています。
Vexでは、開発者向けのチェックリストや、サイトオーナー向けの詳細レポート、セキュリティサービスベンダー向けの検出結果サマリレポートなど、求められる用途に応じた様々なフォーマットでのレポートを出力することが可能です。
Vexは従来の検査ツールで使用されることの多いスタンドアロン型ではなく、Webシステム型をプラットフォームに採用することで、データの一元管理や複数ユーザによる共同作業負荷の大幅な削減を実現しています。
セカンドオーダーアタックのテストシナリオ作成が可能
Webアプリケーションから登録した値は、様々な画面上で参照されます。例えば、ユーザ登録機能により登録された個人情報は、登録情報変更画面などから参照される可能性があります。
Vexでは、テストシナリオを作成することにより、登録機能と参照機能をまたいで確認する必要のある脆弱性(セカンドオーダーアタックと呼ばれます)を検出することも可能です。
画面遷移図ベースのテストシナリオ作成が可能
Vexは、視覚的なGUI操作によりテストシナリオを作成するための画面遷移図機能を搭載しています。
画面遷移図を利用することにより、例えば、ショッピングサイト上で、商品をショッピングカートに入れたのち、配送先を入力し、支払方法を選択し、最終確認画面を経由したうえで、商品を購入するという複雑なテストシナリオも作成することが可能です。
特徴 | |
---|---|
デベロッパーパッケージ | 自社で開発もしくは運営するWebアプリケーションの検査を実施する際に使用するライセンスです。 ドメイン数などの制限はありません。 |
オーディターパッケージ | 脆弱性検査サービスを実施する際に使用するライセンスです。 本パッケージにはユーザカウントが一つ含まれます。 ドメイン数などの制限はありません。 |
ユーザアカウント | ユーザ数分ご購入ください。 |
詳細はお問い合わせください。