Submit Search
Upload
Aiにwebアプリ診断をやらせてみる
•
2 likes
•
989 views
Isao Takaesu
Follow
2015/11/24 ssmjpで「AIにWebアプリ診断をやらせてみる」と題してLTした際のスライド。
Read less
Read more
Software
Report
Share
Report
Share
1 of 8
Download Now
Download to read offline
Recommended
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
Isao Takaesu
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
Isao Takaesu
脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -
Isao Takaesu
RECOMMENDER for Web security engineers - 初級編 -
RECOMMENDER for Web security engineers - 初級編 -
Isao Takaesu
機械学習関連情報の収集方法
機械学習関連情報の収集方法
Isao Takaesu
機械学習を使ったハッキング手法
機械学習を使ったハッキング手法
Isao Takaesu
安全なWebアプリ構築1回
安全なWebアプリ構築1回
Project Samurai
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
More Related Content
What's hot
Proxy War EPISODEⅡ
Proxy War EPISODEⅡ
zaki4649
Owasp japan6th
Owasp japan6th
Masakazu Ikeda
サイバーセキュリティ錬金術
サイバーセキュリティ錬金術
Isao Takaesu
5分で分かるサイボウズのSRE
5分で分かるサイボウズのSRE
uchan_nos
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
Kyo Ago
RECOMMENDER for Web security engineers - 中級編 -
RECOMMENDER for Web security engineers - 中級編 -
Isao Takaesu
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Owasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
Css2013 api distance
Css2013 api distance
Info_SecureBrain
Getting started with Handoff
Getting started with Handoff
Yuichi Yoshida
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
sonickun
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
Shunsuke Taniguchi
AI for media
AI for media
Daiyu Hatakeyama
20140716 Movable Type seminar
20140716 Movable Type seminar
Six Apart
AI for Media - for Developer
AI for Media - for Developer
Daiyu Hatakeyama
Mackerel Day#2 チェック監視が救う!!エンジニア0カンパニー
Mackerel Day#2 チェック監視が救う!!エンジニア0カンパニー
Kiyotaka Kunihira
RubyでDSL
RubyでDSL
Yukimitsu Izawa
MBSD Cybersecurity Challenges 2018
MBSD Cybersecurity Challenges 2018
Tomoya Takezaki
WBAレクチャー#1BRAの審査と登録(山川宏)
WBAレクチャー#1BRAの審査と登録(山川宏)
The Whole Brain Architecture Initiative
What's hot
(20)
Proxy War EPISODEⅡ
Proxy War EPISODEⅡ
Owasp japan6th
Owasp japan6th
サイバーセキュリティ錬金術
サイバーセキュリティ錬金術
5分で分かるサイボウズのSRE
5分で分かるサイボウズのSRE
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
RECOMMENDER for Web security engineers - 中級編 -
RECOMMENDER for Web security engineers - 中級編 -
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Owasp top10 HandsOn
Owasp top10 HandsOn
Css2013 api distance
Css2013 api distance
Getting started with Handoff
Getting started with Handoff
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
AI for media
AI for media
20140716 Movable Type seminar
20140716 Movable Type seminar
AI for Media - for Developer
AI for Media - for Developer
Mackerel Day#2 チェック監視が救う!!エンジニア0カンパニー
Mackerel Day#2 チェック監視が救う!!エンジニア0カンパニー
RubyでDSL
RubyでDSL
MBSD Cybersecurity Challenges 2018
MBSD Cybersecurity Challenges 2018
WBAレクチャー#1BRAの審査と登録(山川宏)
WBAレクチャー#1BRAの審査と登録(山川宏)
Viewers also liked
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
drewz lin
B wapp – bee bug – installation
B wapp – bee bug – installation
Ronan Dunne, CEH, SSCP
ITエンジニアのための機械学習理論入門 第5章
ITエンジニアのための機械学習理論入門 第5章
Isao Takaesu
introduce "Stealing Machine Learning Models via Prediction APIs"
introduce "Stealing Machine Learning Models via Prediction APIs"
Isao Takaesu
CODE BLUE 2016 - Method of Detecting Vulnerability in Web Apps
CODE BLUE 2016 - Method of Detecting Vulnerability in Web Apps
Isao Takaesu
CODE BLUE 2016 - 機械学習でWebアプリケーションの脆弱性を見つける方法
CODE BLUE 2016 - 機械学習でWebアプリケーションの脆弱性を見つける方法
Isao Takaesu
Discussion AIの脆弱性について
Discussion AIの脆弱性について
Isao Takaesu
C#の強み、或いは何故PHPから乗り換えるのか
C#の強み、或いは何故PHPから乗り換えるのか
Yoshifumi Kawai
Crecimiento y Desarrollo Craneofacial en Ortodoncia y Ortopedia
Crecimiento y Desarrollo Craneofacial en Ortodoncia y Ortopedia
celso
Viewers also liked
(9)
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
B wapp – bee bug – installation
B wapp – bee bug – installation
ITエンジニアのための機械学習理論入門 第5章
ITエンジニアのための機械学習理論入門 第5章
introduce "Stealing Machine Learning Models via Prediction APIs"
introduce "Stealing Machine Learning Models via Prediction APIs"
CODE BLUE 2016 - Method of Detecting Vulnerability in Web Apps
CODE BLUE 2016 - Method of Detecting Vulnerability in Web Apps
CODE BLUE 2016 - 機械学習でWebアプリケーションの脆弱性を見つける方法
CODE BLUE 2016 - 機械学習でWebアプリケーションの脆弱性を見つける方法
Discussion AIの脆弱性について
Discussion AIの脆弱性について
C#の強み、或いは何故PHPから乗り換えるのか
C#の強み、或いは何故PHPから乗り換えるのか
Crecimiento y Desarrollo Craneofacial en Ortodoncia y Ortopedia
Crecimiento y Desarrollo Craneofacial en Ortodoncia y Ortopedia
Similar to Aiにwebアプリ診断をやらせてみる
アプリの「無事故リリース」を目指して~品質管理部によるSmartBeat活用事例~
アプリの「無事故リリース」を目指して~品質管理部によるSmartBeat活用事例~
CYBIRD Co.,Ltd.
アクセシビリティとこれからのWebデザイン
アクセシビリティとこれからのWebデザイン
力也 伊原
コロナ時代を生き抜く(?) Slackアプリ開発・運用知見まとめ
コロナ時代を生き抜く(?) Slackアプリ開発・運用知見まとめ
Masayuki Uehara
Discussion for Social WEB Bisiness
Discussion for Social WEB Bisiness
Daisuke Masubuchi
Pythonで検索エンジン2
Pythonで検索エンジン2
Yasukazu Kawasaki
ネットワーク分散型フレームワークConView
ネットワーク分散型フレームワークConView
Rakuten Group, Inc.
機械学習でお小遣いを稼ぐ! - 本推薦 Twitter bot の紹介 -
機械学習でお小遣いを稼ぐ! - 本推薦 Twitter bot の紹介 -
Masakazu Ishihata
サイトサーチアナリティクスとは
サイトサーチアナリティクスとは
Makoto Shimizu
Introduction of my works
Introduction of my works
Yasunori Ozaki
「新しい」を生み出すためのWebアプリ開発とその周辺
「新しい」を生み出すためのWebアプリ開発とその周辺
Yusuke Wada
Custom Visionを活用するためのTips
Custom Visionを活用するためのTips
Yoshitaka Seo
アクセシビリティを考えたalt属性を自動生成してみよう!
アクセシビリティを考えたalt属性を自動生成してみよう!
典子 松本
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
S Akai
[2018/9/27(木): 三木会@大阪] プログラミング無しでここまでできる!Neural Network Console活用のススメ
[2018/9/27(木): 三木会@大阪] プログラミング無しでここまでできる!Neural Network Console活用のススメ
Insight Technology, Inc.
Custom Vision
Custom Vision
Tomokazu Kizawa
Going Serverless, Building Applications with No Servers
Going Serverless, Building Applications with No Servers
Keisuke Nishitani
20120623 cv勉強会 shirasy
20120623 cv勉強会 shirasy
Yoichi Shirasawa
[db analytics showcase Sapporo 2017] MicrosoftのAIテクノロジーを活用しよう ~インテリジェントAPIからデ...
[db analytics showcase Sapporo 2017] MicrosoftのAIテクノロジーを活用しよう ~インテリジェントAPIからデ...
Naoki (Neo) SATO
Web creed
Web creed
Net Kanayan
Phpconf2010
Phpconf2010
KLab株式会社
Similar to Aiにwebアプリ診断をやらせてみる
(20)
アプリの「無事故リリース」を目指して~品質管理部によるSmartBeat活用事例~
アプリの「無事故リリース」を目指して~品質管理部によるSmartBeat活用事例~
アクセシビリティとこれからのWebデザイン
アクセシビリティとこれからのWebデザイン
コロナ時代を生き抜く(?) Slackアプリ開発・運用知見まとめ
コロナ時代を生き抜く(?) Slackアプリ開発・運用知見まとめ
Discussion for Social WEB Bisiness
Discussion for Social WEB Bisiness
Pythonで検索エンジン2
Pythonで検索エンジン2
ネットワーク分散型フレームワークConView
ネットワーク分散型フレームワークConView
機械学習でお小遣いを稼ぐ! - 本推薦 Twitter bot の紹介 -
機械学習でお小遣いを稼ぐ! - 本推薦 Twitter bot の紹介 -
サイトサーチアナリティクスとは
サイトサーチアナリティクスとは
Introduction of my works
Introduction of my works
「新しい」を生み出すためのWebアプリ開発とその周辺
「新しい」を生み出すためのWebアプリ開発とその周辺
Custom Visionを活用するためのTips
Custom Visionを活用するためのTips
アクセシビリティを考えたalt属性を自動生成してみよう!
アクセシビリティを考えたalt属性を自動生成してみよう!
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
[2018/9/27(木): 三木会@大阪] プログラミング無しでここまでできる!Neural Network Console活用のススメ
[2018/9/27(木): 三木会@大阪] プログラミング無しでここまでできる!Neural Network Console活用のススメ
Custom Vision
Custom Vision
Going Serverless, Building Applications with No Servers
Going Serverless, Building Applications with No Servers
20120623 cv勉強会 shirasy
20120623 cv勉強会 shirasy
[db analytics showcase Sapporo 2017] MicrosoftのAIテクノロジーを活用しよう ~インテリジェントAPIからデ...
[db analytics showcase Sapporo 2017] MicrosoftのAIテクノロジーを活用しよう ~インテリジェントAPIからデ...
Web creed
Web creed
Phpconf2010
Phpconf2010
More from Isao Takaesu
Deep Exploit@Black Hat Europe 2018 Arsenal
Deep Exploit@Black Hat Europe 2018 Arsenal
Isao Takaesu
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
Isao Takaesu
サイバーセキュリティ錬金術 - ノイズから価値あるデータを生成する技術 -
サイバーセキュリティ錬金術 - ノイズから価値あるデータを生成する技術 -
Isao Takaesu
ハニーポッター技術交流会
ハニーポッター技術交流会
Isao Takaesu
GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成
Isao Takaesu
Pythonと機械学習によるWebセキュリティの自動化
Pythonと機械学習によるWebセキュリティの自動化
Isao Takaesu
Convolutional Neural Networkに対する攻撃手法
Convolutional Neural Networkに対する攻撃手法
Isao Takaesu
More from Isao Takaesu
(7)
Deep Exploit@Black Hat Europe 2018 Arsenal
Deep Exploit@Black Hat Europe 2018 Arsenal
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
サイバーセキュリティ錬金術 - ノイズから価値あるデータを生成する技術 -
サイバーセキュリティ錬金術 - ノイズから価値あるデータを生成する技術 -
ハニーポッター技術交流会
ハニーポッター技術交流会
GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成
Pythonと機械学習によるWebセキュリティの自動化
Pythonと機械学習によるWebセキュリティの自動化
Convolutional Neural Networkに対する攻撃手法
Convolutional Neural Networkに対する攻撃手法
Aiにwebアプリ診断をやらせてみる
1.
AIにWebアプリ診断をやらせてみる ssmjp 2015/11/24 ~絶賛開発中!!~
2.
1.自己紹介 • 名前:babaroa@bbr_bbq • 仕事:Webアプリケーションの脆弱性診断 •
職歴:銀行系システム開発、Webアプリ開発など • 趣味:スキャナ作り、機械学習 ・6,720分でWebアプリケーションスキャナを作る方法 ・多層パーセプトロンでCAPTCHAを認識する … http://qiita.com/bbr_bbq
3.
2.GOAL ~目指しているもの~ 人間の診断員と同じように、Webアプリの脆弱性を見つける。 そんなAIを作りたい。 ・診断対象のWebアプリを隅々まで巡回し、 ・様々な診断を実施し、 ・脆弱性を発見したら報告する。 具体的には… 完成にはあと30年くらいかかる見込み…
4.
3.いまできること ・Webアプリの巡回 ページ種別の判別(ログイン?会員登録?) 最適なパラメータ値の入力
ページ遷移の成否を判別 ・脆弱性スキャン ・脆弱性の報告 会員登録機能でアカウントを作った後にログインを試行し、 ログイン後のページを粛々と巡回しながらスキャンする。 こんなことができます… AIで実現
5.
4.診断の流れ ① AIに診断対象のURLを伝える ←
ここだけ人間が関与 ② フォームタグ(FORM)などを頼りに次遷移のURLを取得 ③ 遷移先のページ種別を判別(ログイン?会員登録?検索?) Bayesian network ④ 正常遷移できるパラメータ値の組み合わせを学習 DQN(Deep Q-Network) ⑤(学習結果を基に)遷移を再現しながらスキャンを実行 ⑥ 診断結果を報告 loop 全ページの診断が終わるまで「学習→遷移→スキャン」を ひたすら繰り返す。
6.
5.デモ 診断対象:OWASP BWA Cyclone シグネチャ:SQLインジェクション「‘¥」 レスポンスに出力されるSQL構文エラーを検出して脆弱性判定 例)
7.
デモの様子はこちらをご覧ください。 https://www.youtube.com/watch?v=263uJZUvNNU&feature=youtu.be
8.
6.今後の予定 ・巡回能力の強化(~1年) 複雑なアプリの巡回、CAPTCHA/画像認証の突破 ・脆弱性スキャン能力の強化(~1、2年) 人間の知覚を要して検出する脆弱性にも一部対応
誤検知の低減 ・自然言語処理の組み込み ・バグバウンティプログラムへの参戦 30年より前倒しして完成させたい…
Download Now