<プロジェクト作成>
まずはじめに、脆弱性検査対象となる「プロジェクト」を作成し、FQDN(サーバー)を登録します。
※VAddyでは事前に登録されたWebサーバーのみ検査ができます。
「Dashboard」から「プロジェクト作成」をクリックします。
通常版VAddy欄の「プロジェクト作成」をクリックします。
※PrivateNet版VAddyの利用方法はこちらの記事をご覧ください。
<サーバー(FQDN)登録>
プロジェクト名(必須)
任意のプロジェクト名を入力してください。
Server FQDN or IPv4 address(必須)
脆弱性検査対象サーバーのFQDNまたはIPアドレスを入力してください。複数のFQDNで構成されるWebアプリケーションの場合は後ほど追加します。
※本番環境のFQDNは入力しないでください。
※.dev, .appドメインは登録できません。
データベース(任意:Enterpriseプランのみ)
ご利用のデータベースを選択してください。ブラインドSQLインジェクションの検査で利用します。
IP指定(任意)
hosts設定を使ってアクセスするWebサーバー/アプリケーションの場合、該当のIPアドレスを入力してください。
ポート番号(任意)
80または443ポート以外を利用するアプリケーションの場合はポート番号を入力してください。
Basic認証 (任意)
Basic認証がかかっているWebサーバーの場合、IDとパスワードを入力してください。
<認証ファイルの設置>
登録されたWebサーバーの所有者確認のため、指定の認証ファイルをアップロードします。
<プロジェクトTOP>
1. 検査対象サーバー一覧から「所有者確認へ」のボタンを押し、設定画面へ移動します。
<サーバー所有者確認 設定画面>
2. 設定画面から認証ファイルをダウンロードします。
3. ダウンロードしたファイルを、SFTPツールなどを使って先ほど追加したサーバーにアップロードします。ここに表示されているURLをクリックした際にリダイレクト無しで画面(認証コード/英数の文字列)が表示されるように配置してください。
設置先を変更する場合、また、認証ファイルの拡張子を変更する場合は「設置URL・拡張子変更」をクリックして設定してください。
4. アップロードが完了したら「認証ファイルの設置を確認する」をクリックします。
<プロジェクトTOP>
5. 認証が完了するとステータスが「確認済み」になります。プロジェクトに登録されている全ての検査対象サーバーが「確認済み」になっていることを確認ください。
認証エラーが出る場合はこちらの記事(認証エラーが出る場合の対処 )も参照ください
6. SPA(シングルページアプリケーション)でフロントとエンドポイントのFQDNが異なるなど、複数のサーバー(FQDN)から構成されているWebアプリケーションを検査する場合は、「検査対象サーバ追加」ボタンから新たにサーバー(FQDN)を追加してください。
※同一のFQDNでも別のプロジェクトに登録した場合は別のFQDNとしてカウントされます。
また、ログイン機能にAWS cognito、Azure AD B2C、Auth0などのIDaaSを利用している場合は「サーバー所有者確認スキップ機能」をご利用いただく必要があります。
