WebとAPIのセキュリティ
ネットワーク層を超えて、Vulnyは実際の侵害につながる問題がないかWebアプリケーションとAPIをテストします。
VulnyのWebアプリケーションスキャナは何をテストするのか?
VulnyのWebアプリケーションスキャナは、実際の侵害に最もつながりやすい弱点がないかサイトをテストします。発見したすべてのWebサービスを安全に調査し、OWASP Top 10 のクラス — インジェクション、クロスサイトスクリプティング(XSS)、アクセス制御の不備、セキュリティ設定ミス — に加えて、バックアップ、.gitディレクトリ、環境ファイルといった露出した機密ファイル、欠落または脆弱なセキュリティヘッダー、公開すべきでないデフォルトページ、脆弱なTLS設定を調べます。検出テンプレートは継続的に更新されるため、スキャナは出荷日の固定リストではなく、新たに公開されたWebの弱点をチェックし続けます。各問題には深刻度、影響を受けるURL、平易な言葉での修正方法が付いて返るため、開発者は専門的なセキュリティ知識がなくても再現して解消できます。スキャンは非破壊的です — Vulnyは弱点を悪用したりデータを改変したりせずに、その存在を確認します。
Shadow-API の発見とは何か、なぜ重要なのか?
シャドーAPIとは、存在するもののドキュメントに記載されていないエンドポイントのことです — 古いAPIバージョン、忘れられた管理ルート、あるいは誰にも告げずにチームが出荷したサービスなど。誰も監視していないからこそ、格好の標的となります。Vulnyはアプリケーションをクロールして、文書化されたものと未文書化のものの両方のAPIエンドポイントをマッピングし、それぞれを安全にファジングして、認証・認可の欠陥やインジェクションのバグ(SSRF、LFI、SSTI、パストラバーサルを含む)を調べます。その結果として、忘れていた部分も含めた実際のAPI表面と、各エンドポイントの弱点が正確にどこにあるかのマップが得られます。現代の侵害はフロントエンドよりもAPIを経由して起こることが増えているため、真のAPIインベントリを把握することが戦いの半分です。存在を知らないエンドポイントは守れません。検出結果は実世界のリスクで優先順位付けされるため、最も危険な露出が上位に浮かび上がります。
WebとAPIのスキャンは実行しても安全か?
はい — VulnyのWebとAPIのスキャンは設計上、非破壊的です。弱点を悪用したり、データを削除したり、サービスをオフラインにしたりすることなく弱点を特定して確認し、スキャンはレートを意識しているためサーバーに過負荷をかけません。これにより、メンテナンスウィンドウ内だけでなく、本番環境に対して継続的に実行しても安全です。スキャンできるのは、所有している資産、または明示的にテストを許可された資産のみです。スキャンを開始することでその許可を確認したことになり、Vulnyは新しいターゲットの初回スキャン前にドメインの所有権を検証します。これによりスキャナは法的にも運用的にも安全に保たれます。攻撃者が試みるのと同じ深さのテストを得られますが、実際の攻撃 — あるいは不注意なスキャナ — が伴う可用性やデータ整合性へのリスクは一切ありません。