STEP2で記録した情報に対してスキャンを実施します。
スキャンには管理画面から手動で行う方法と、webAPI/CI連携にて自動化する方法があります。
このページでは管理画面から手動でスキャンする方法を紹介します。
<スキャンの実行>
STEP2で作成したクロールデータから検査を実行したいクロールを選択し、右側の「スキャン開始」をクリックします。
スキャンは左メニューの「Scan」画面からも開始することができます。
画面遷移後、プルダウンから検査に利用するクロールを選択し「Run VAddy scan」をクリックします。複数のクロールを連続実行する場合はこちらの記事を参照ください。
関連記事
<スキャン結果>
スキャンが完了するとStatusが「Complete」に変更されます。
クロールしたURIに脆弱性が含まれている場合、Vulnerabilities欄に赤いアイコンで「n(エラーの数) Problems」と表示されます。
「n Problems」または「Scan ID」をクリックすると詳細を確認できます。
<スキャン結果詳細>
この例ではnameとtelというパラメータにクロスサイトスクリプティングが検出されました。
スキャン結果に脆弱性が含まれていた場合、ご登録いただいているメールアドレス宛に通知メールが送信されます。
<脆弱性検出時のリクエストデータ>
検査データ欄から「Request」ボタンを押すと、実際に脆弱性を検知した時に送信したリクエストデータが参照できます。
同じく検査データ欄の「Response」ボタンから、脆弱性を検知した際のレスポンスデータを確認できます。XSSが検出された場合は上記のようにhtmlのレスポンスデータの該当箇所がハイライトされます。
脆弱性の修正を行うために、これらの情報を使って開発環境で攻撃を再現することができます。
関連記事:検出された脆弱性についての説明や修正方法は表示されますか?
<スキャン結果 問題無し>
検出された脆弱性を修正して再度スキャンを実行すると、Vulnerabilities欄のアイコンが緑の「None」に変更されます。
※スキャン結果に問題がなかった場合はメールは送信されません。
「Scan Count」は、スキャンのために送ったHTTPリクエストの総数です。例えば、1つのURLにパラメータが2つあった場合、パラメータ毎にSQLインジェクションとXSS用のリクエストを送りますので、総数はHTTPリクエスト総数は4になります。リクエスト総数は今後スキャンエンジンがアップデートして検査パターンが増えると増加します。
【関連記事】