<プロジェクト作成>
まずはじめに、脆弱性検査対象となる「プロジェクト」を作成し、FQDN(サーバー)を登録します。
※VAddyでは事前に登録されたWebサーバーのみ検査ができます。
「Dashboard」から「プロジェクト作成」をクリックします。
通常版VAddy欄の「プロジェクト作成」をクリックします。
※PrivateNet版VAddyの利用方法はこちらの記事をご覧ください。
<サーバー(FQDN)登録>
プロジェクト名(必須)
任意のプロジェクト名を入力してください。
Server FQDN or IPv4 address(必須)
脆弱性検査対象サーバーのFQDNまたはIPアドレスを入力してください。複数のFQDNで構成されるWebアプリケーションの場合は後ほど追加します。
※本番環境のFQDNは入力しないでください。
※.dev, .appドメインは登録できません。
データベース(任意:Advanced・Enterpriseプランのみ)
ご利用のデータベースを選択してください。ブラインドSQLインジェクションの検査で利用します。
※正しくデータベースが選択されていなかった場合、ブラインドSQLインジェクション検査が実施できません。
IP指定(任意)
hosts設定を使ってアクセスするWebサーバー/アプリケーションの場合、該当のIPアドレスを入力してください。
ポート番号(任意)
80または443ポート以外を利用するアプリケーションの場合はポート番号を入力してください。
Basic認証 (任意)
Basic認証がかかっているWebサーバーの場合、IDとパスワードを入力してください。
<認証ファイルの設置>
登録されたWebサーバーの所有者確認のため、指定の認証ファイルをアップロードします。
<プロジェクトTOP>
1. 検査対象サーバー一覧から「所有者確認へ」のボタンを押し、設定画面へ移動します。
<サーバー所有者確認 設定画面>
2. 設定画面から認証ファイルをダウンロードします。
3. ダウンロードしたファイルを、SFTPツールなどを使って先ほど追加したサーバーにアップロードします。ここに表示されているURLをクリックした際にリダイレクト無しで画面(認証コード/英数の文字列)が表示されるように配置してください。
設置先を変更する場合や認証ファイルの拡張子を変更する場合は「設置URL・拡張子変更」をクリックして設定してください。
また、認証ファイルを設置できない環境の場合は下記の記事を参照ください。
4. アップロードが完了したら「認証ファイルの設置を確認する」をクリックします。
<プロジェクトTOP>
5. 認証が完了するとステータスが「確認済み」になります。プロジェクトに登録されている全ての検査対象サーバーが「確認済み」になっていることを確認ください。
認証エラーが出る場合はこちらの記事(認証エラーが出る場合の対処 )も参照ください
6. SPA(シングルページアプリケーション)でフロントとエンドポイントのFQDNが異なるなど、複数のサーバー(FQDN)から構成されているWebアプリケーションを検査する場合は、「検査対象サーバ追加」ボタンから新たにサーバー(FQDN)を追加してください。
※同一のFQDNでも別のプロジェクトに登録した場合は別のFQDNとしてカウントされます。
また、シングルサインオン環境のWebアプリケーションを診断する場合は、「シングルサインオン(SSO)環境の Web アプリケーションを診断することはできますか?」をご参照ください。