Friday 4:15 p.m.–4:45 p.m.

Room 203 #pyconjp_203

Pythonと機械学習によるWebセキュリティの自動化

Isao Takaesu

Audience level:
Novice
Category:
Testing
Slide:
slide https://www.slideshare.net/babaroa/pythonweb-79571974
Video:
video https://youtu.be/BvtgbUy0BxA

Description

Webアプリの脆弱性を見つけ出すWebアプリ診断。この業務は、セキュリティエンジニアのスキルと経験に大きく依存するため、長年、人手不足が叫ばれています。また、その業務の特殊さ故に、自動化は難しいとも言われてきました。 本セッションでは、このWebアプリ診断業務を「Python+機械学習」を駆使して自動化を試みた際のテクニックやノウハウなどをお話いたします。

Abstract

日本ではWebアプリケーションの脆弱性を見つけ出す業務(Webアプリ診断)に係る人材が不足しています。私は人材不足を解消する一つの方法として、「**Python**」と「**機械学習**」に着目し、Webアプリ診断の「**自動化**」を進めています。 本セッションでは、Webアプリ診断にとって重要となる、以下の二つのタスクを自動化するテクニックと注意点をデモンストレーションを交えながらお話します。 1. **Webアプリのクローリング** Webアプリに潜む脆弱性を網羅的に見つけるために、何十~何千のページを人間がクローリングする必要があります。クローリングでは、入力フォームに適切な値を入力したり、ログインが必要なWebアプリの場合はログインアカウントを作成した後にログインするなどの複雑な操作が必要です。 [https://www.youtube.com/watch?v=aXw3vgXbl1U][1] 1. **脆弱性の検出** クローリングができたら次は脆弱性を見つける必要があります。ここでは、従来の脆弱性スキャナのように多くの検査シグネチャを投げまくるのではなく、Webアプリの挙動を観察した上で、より効率よく(熟練したセキュリティエンジニアのように)脆弱性を見つけ出します。 [https://www.youtube.com/watch?v=N5d9oM0NcM0][2] [1]: https://www.youtube.com/watch?v=aXw3vgXbl1U [2]: https://www.youtube.com/watch?v=N5d9oM0NcM0
  • このエントリーをはてなブックマークに追加
CONTACT